O desenvolvimento de um ambiente seguro nuvem híbrida
Uma abordagem séria para a segurança pode ter sucesso na mitigação muitos riscos de segurança em um ambiente de nuvem híbrida. Para desenvolver um ambiente híbrido seguro, você deve avaliar o estado atual de sua estratégia de segurança, bem como a estratégia de segurança oferecidos pelo seu provedor de nuvem.
Conteúdo
Video: Cloud Computing: qual a nuvem ideal para a sua empresa?
Avalie o seu estado atual da segurança
Em um ambiente híbrido, a segurança começa com avaliar o seu estado atual. Você pode começar por responder a um conjunto de perguntas que podem ajudar a formar a sua abordagem para a sua estratégia de segurança. Aqui estão algumas perguntas importantes a considerar:
de ter avaliado a sua própria infra-estrutura de segurança tradicional recentemente?
Como você controla os direitos de acesso a aplicações e redes - tanto aqueles dentro da sua empresa e aqueles que estão fora do firewall? Quem tem o direito de acessar os recursos de TI? Como você pode assegurar que apenas as identidades direito ter acesso aos seus aplicativos e informações?
você pode identificar vulnerabilidades em aplicações web e riscos e, em seguida, corrigir eventuais pontos fracos?
Você tem uma maneira de rastrear o risco de segurança ao longo do tempo para que você pode facilmente compartilhar informações com aqueles que precisam atualizado?
São os seus ambientes de servidores protegidos em todos os momentos de ameaças externas à segurança?
Se você estiver usando criptografia, você mantém suas próprias chaves ou obtê-los a partir de um provedor confiável, confiável? Você usa algoritmos padrão?
você pode monitorar e quantificar os riscos de segurança em tempo real?
você pode implementar políticas de segurança de forma consistente em todos os tipos de no local e arquiteturas em nuvem?
Como você protege todos os seus dados, não importa onde ele é armazenado?
você pode satisfazer os requisitos de auditoria e de relatórios para dados na nuvem?
você pode atender aos requisitos de conformidade de sua indústria?
Qual é o seu programa de segurança de aplicativos?
Quais são os seus planos de desastres e de recuperação? Como você pode assegurar a continuidade do serviço?
Avaliar a segurança do seu fornecedor de nuvem
Um ambiente de nuvem híbrida apresenta um conjunto especial de desafios quando se trata de segurança e governança. As nuvens híbridas usar a sua própria infra-estrutura mais a do seu provedor de serviços. Por exemplo, os dados podem ser armazenados em suas instalações, mas processados na nuvem. Isso significa que sua infra-estrutura no local pode ser conectado a uma nuvem mais público, que vai afetar os tipos de controles de segurança que você precisa.
Controles devem estar no local para segurança de perímetro, acesso, integridade de dados, malware, e similares - não só em sua posição, mas também com o seu provedor de nuvem. prestadores de serviços em nuvem, cada um tem sua própria maneira de gerenciar a segurança. Eles podem ou não ser compatível com o cumprimento e plano de segurança global da sua organização. É absolutamente crítico que sua empresa não enterrar a cabeça na areia, assumindo que o provedor de nuvem cobriu segurança.
Você precisa verificar se o seu provedor de nuvem garante o mesmo nível de segurança que você procura interna (ou um nível superior, se você estiver olhando para melhorar sua estratégia global de segurança). Você deve pedir um monte de perguntas difíceis para garantir que a estratégia de segurança e governança da sua empresa pode ser integrado com o seu provedor de.
Aqui estão algumas dicas que podem ajudar a começar e que também pode ser útil na avaliação de sua estratégia de segurança:
Pergunte ao seu provedor de nuvem que tipo de empresas que eles serviço. Também fazer perguntas sobre a arquitetura do sistema, a fim de entender mais sobre como multi-tenancy é tratado.
Visitar as instalações sem aviso prévio, a fim de entender o que as medidas de segurança física estão no lugar. De acordo com a CSA, isso significa caminhar através de todas as áreas, desde a área de recepção para a sala do gerador e até mesmo inspecionar os tanques de combustível. Você também precisa verificar se há perímetro de segurança (por exemplo, verificar como as pessoas acessam o edifício) e se o operador está preparado para uma crise (por exemplo, extintores de incêndio, alarmes, etc.).
Verifique onde o provedor de nuvem está localizado. Por exemplo, está em uma área de alta criminalidade ou uma área propensa a desastres naturais, como terremotos ou inundações?
Que tipo de documentação up-to-date que o provedor de nuvem tem no lugar? Será que ela tem planos de resposta a incidentes? planos de emergência? planos de backup? planos de restauração? verificação de antecedentes do pessoal de segurança e outros membros da equipe?
Que tipo de certificações faz o provedor? Não pessoal de segurança em nuvem tem certificações como CISSP, CISA, e ITIL?
Descubra onde seus dados serão armazenados. Se sua empresa tem normas de conformidade que deve atender cerca de dados que residem em países estrangeiros, isso é importante saber.
Descubra quem terá acesso aos seus dados. Também verificar para ver como os dados serão protegidos.
Saiba mais sobre os planos de backup e de retenção de dados do provedor. Você vai querer saber se seus dados são misturados com outros dados. Se você quer sua parte traseira de dados quando você terminar o seu contrato, estas questões podem ser importantes.
Como será o seu provedor de impedir ataques de negação de serviço (DoS)?
Que tipo de contratos de manutenção que seu provedor tem no lugar pelo seu equipamento?
Será que o seu provedor de nuvem monitorar continuamente suas operações? você pode ter visibilidade sobre esta capacidade de monitoramento?
Como incidentes são detectados? Como as informações são registradas?
Como são incidentes manipulados? Qual é a definição de um incidente? Quem é o seu ponto de contato em seu prestador de serviços? Quais são os papéis e responsabilidades dos membros da equipe?
Como é que o seu provedor de alça de segurança de aplicativos e segurança de dados?
Que métricas é que o seu monitor de provedor de nuvem para garantir que as aplicações permaneçam seguros?
Dada a importância da segurança no ambiente de nuvem, você pode supor que um grande provedor de serviços de nuvem terá um conjunto de acordos globais de nível de serviço para seus clientes. Na verdade, muitos dos contratos-tipo se destinam a proteger o prestador de serviços - e não o cliente. Assim, sua empresa realmente deve entender o contrato, bem como a infra-estrutura, processos e certificações seu provedor de nuvem detém.
Você deve articular claramente suas necessidades de segurança em nuvem e estratégia de governança e determinar a responsabilidade. Se o seu provedor de nuvem não quero falar sobre esses itens, você provavelmente deve considerar um provedor de nuvem diferente. Por outro lado, o seu provedor de nuvem pode realmente ter alguns truques na manga que pode melhorar a sua própria segurança!