Riscos de segurança específicos no ambiente de nuvem híbrida

As empresas que trabalham em ambientes de nuvem híbrida deve considerar muitos tipos de riscos de segurança e considerações de governança. Compreender a segurança é um alvo em movimento. A educação é fundamental para garantir que todos na organização entende seus papéis e responsabilidades de segurança.

riscos de segurança do sistema informático

De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), um organismo de normalização do governo, sistemas de computadores estão sujeitos a muitas ameaças, que vão desde a perda de dados para a perda de uma instalação de computação inteiro por causa de incêndio ou desastre natural. Estas perdas podem vir de funcionários de confiança ou de hackers.

NIST divide esses riscos nas seguintes categorias:

Erros e omissões, incluindo erros de dados ou erros de programação

  • Fraude e roubo

  • sabotagem de funcionários

  • Perda de apoio infra-estrutura física

  • hackers maliciosos

  • Código malicioso

  • Ameaças à privacidade pessoal individual

    • riscos de segurança nuvem híbrida

    Muitos dos mesmos riscos de segurança que as empresas enfrentam ao lidar com seus próprios sistemas informáticos são encontradas na nuvem, mas há algumas reviravoltas importantes. o Cloud Security Alliance (CSA), uma organização dedicada a garantir as melhores práticas de segurança na nuvem, observou em sua recente publicação, “Orientações de Segurança para Áreas Críticas de foco no Cloud Computing”, que áreas significativas de risco de segurança operacional na nuvem incluem o seguinte:

    • segurança tradicional: Um ambiente de nuvem híbrida alterações de segurança tradicional, porque você não está mais totalmente no controle. Alguns dos ativos de computação que você está usando não estão em suas instalações. Agora você deve garantir que as medidas de segurança tradicionais fortes estão sendo seguidos pelo seu provedor de nuvem.



    • Segurança física abrange a segurança dos equipamentos de TI, ativos de rede e infra-estrutura de telecomunicações. CSA recomenda ambas as defesas “ativa e passiva” para segurança física.

    • segurança de recursos humanos lida com o lado do povo da equação - garantindo verificação de antecedentes, confidencialidade e segregação de funções (isto é, aqueles que desenvolvem aplicações não operá-los).

    • A continuidade dos negócios planos precisam ser parte de qualquer acordo de nível de serviço para garantir que o fornecedor atende o seu acordo de nível de serviço para operação contínua com você.

    • recuperação de desastres planos devem garantir que seus ativos (por exemplo, dados e aplicativos) estão protegidos.

  • tratamento de incidentes: Um ambiente de nuvem híbrida muda tratamento de incidentes em pelo menos duas maneiras. Em primeiro lugar, ao passo que você pode ter controle sobre o seu próprio centro de dados, se ocorrer um incidente, você precisa trabalhar com seu provedor de serviços porque os controles de provedor de serviço, pelo menos, parte da infra-estrutura.

    Em segundo lugar, a natureza multi-tenant de nuvem muitas vezes faz a investigar um incidente mais complicado. Por exemplo, porque as informações podem ser misturados, análise de log pode ser difícil, uma vez que o fornecedor de serviços está tentando manter a privacidade. Você precisa descobrir como seu provedor de serviços define um incidente e verifique se você pode negociar como você vai trabalhar com o fornecedor para garantir que todos estão satisfeitos.

  • segurança do aplicativo: Quando uma aplicação é na nuvem, está exposto a todo tipo de ameaça à segurança. O CSA divide a segurança da aplicação em diferentes áreas, incluindo a fixação do ciclo de vida de desenvolvimento de software na autenticação em nuvem, autorização, gestão e identidade compliance-, gestão de pedido de autorização, monitorização aplicação, testes de penetração de aplicação, e de gestão de riscos.

  • Criptografia e gerenciamento de chaves: A encriptação de dados refere-se a um conjunto de algoritmos que podem transformar o texto em um formulário chamado cyphertext, que é uma forma criptografada de texto simples que terceiros não autorizados não pode ler. O destinatário de uma mensagem criptografada usa uma chave que aciona o algoritmo para descriptografar os dados e fornecê-lo em seu estado original para o usuário autorizado. Portanto, você pode criptografar os dados e garantir que somente o destinatário pode decifrá-lo.

    Na nuvem pública, algumas organizações podem ser tentados para criptografar todas as suas informações, porque eles estão preocupados com o seu movimento para a nuvem e como é seguro uma vez que está na nuvem. Recentemente, especialistas na área começaram a considerar outras medidas de segurança, além de criptografia que podem ser usados ​​na nuvem.

  • Identidade e acesso de gerenciamento: gerenciamento de identidade é um tema muito amplo que se aplica a muitas áreas do centro de dados. O objetivo do gerenciamento de identidade é para controlar o acesso aos recursos do computador, aplicativos, dados e serviços.

    gerenciamento de identidade muda significativamente na nuvem. Em um centro de dados tradicional, você pode usar um serviço de diretório para autenticação e, em seguida, implantar o aplicativo em uma zona segura firewall. A nuvem muitas vezes requer várias formas de identidade para garantir que o acesso aos recursos é seguro.

    • Com o aumento do uso de computação em nuvem, a tecnologia sem fio e dispositivos móveis, você já não tem fronteiras bem definidas sobre o que é interno eo que é externo a seus sistemas. Você deve avaliar se os furos ou vulnerabilidades existem servidores em, rede, componentes de infra-estrutura e terminais, e depois monitorá-los continuamente. Em outras palavras, você precisa ser capaz de confiar em sua própria infra-estrutura, bem como a infra-estrutura de um provedor de nuvem.


    Publicações relacionadas
    Riscos de governança computação em nuvem
    Aspectos da gestão de identidade na computação em nuvem
    Como beneficiar de gerenciamento de identidade na computação em nuvem
    Como criar uma estratégia de segurança de computação em nuvem
    Os riscos de segurança de provedores de nuvem em um ambiente de nuvem híbrida
    O que vai para as decisões de governança computação em nuvem?
    Sistemas comparando integradores empresas para computação em nuvem
    Como proteger os dados para o transporte na computação em nuvem
    Como usar padrões em computação em nuvem
    Avaliar os riscos de dados em um ambiente de nuvem híbrida
    O desenvolvimento de um ambiente seguro nuvem híbrida
    Os riscos de segurança de usuários finais internos em um ambiente de nuvem híbrida
    O que é híbrido de computação em nuvem?
    O ecossistema de gerenciamento de serviços em nuvem
    Gestão de recursos de computação em nuvem
    Navegando na computação em nuvem interface técnica
    Garantir a segurança no gerenciamento de desktops na computação em nuvem
    Como escolher o fornecedor de serviços de computação em nuvem direita
    Como conceber uma estratégia de computação em nuvem
    Como criar um plano de segurança de computação em nuvem