Riscos de segurança específicos no ambiente de nuvem híbrida
As empresas que trabalham em ambientes de nuvem híbrida deve considerar muitos tipos de riscos de segurança e considerações de governança. Compreender a segurança é um alvo em movimento. A educação é fundamental para garantir que todos na organização entende seus papéis e responsabilidades de segurança.
riscos de segurança do sistema informático
De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), um organismo de normalização do governo, sistemas de computadores estão sujeitos a muitas ameaças, que vão desde a perda de dados para a perda de uma instalação de computação inteiro por causa de incêndio ou desastre natural. Estas perdas podem vir de funcionários de confiança ou de hackers.
NIST divide esses riscos nas seguintes categorias:
Erros e omissões, incluindo erros de dados ou erros de programação
Fraude e roubo
sabotagem de funcionários
Perda de apoio infra-estrutura física
hackers maliciosos
Código malicioso
Ameaças à privacidade pessoal individual
riscos de segurança nuvem híbrida
Muitos dos mesmos riscos de segurança que as empresas enfrentam ao lidar com seus próprios sistemas informáticos são encontradas na nuvem, mas há algumas reviravoltas importantes. o Cloud Security Alliance (CSA), uma organização dedicada a garantir as melhores práticas de segurança na nuvem, observou em sua recente publicação, “Orientações de Segurança para Áreas Críticas de foco no Cloud Computing”, que áreas significativas de risco de segurança operacional na nuvem incluem o seguinte:
segurança tradicional: Um ambiente de nuvem híbrida alterações de segurança tradicional, porque você não está mais totalmente no controle. Alguns dos ativos de computação que você está usando não estão em suas instalações. Agora você deve garantir que as medidas de segurança tradicionais fortes estão sendo seguidos pelo seu provedor de nuvem.
Segurança física abrange a segurança dos equipamentos de TI, ativos de rede e infra-estrutura de telecomunicações. CSA recomenda ambas as defesas “ativa e passiva” para segurança física.
segurança de recursos humanos lida com o lado do povo da equação - garantindo verificação de antecedentes, confidencialidade e segregação de funções (isto é, aqueles que desenvolvem aplicações não operá-los).
A continuidade dos negócios planos precisam ser parte de qualquer acordo de nível de serviço para garantir que o fornecedor atende o seu acordo de nível de serviço para operação contínua com você.
recuperação de desastres planos devem garantir que seus ativos (por exemplo, dados e aplicativos) estão protegidos.
tratamento de incidentes: Um ambiente de nuvem híbrida muda tratamento de incidentes em pelo menos duas maneiras. Em primeiro lugar, ao passo que você pode ter controle sobre o seu próprio centro de dados, se ocorrer um incidente, você precisa trabalhar com seu provedor de serviços porque os controles de provedor de serviço, pelo menos, parte da infra-estrutura.
Em segundo lugar, a natureza multi-tenant de nuvem muitas vezes faz a investigar um incidente mais complicado. Por exemplo, porque as informações podem ser misturados, análise de log pode ser difícil, uma vez que o fornecedor de serviços está tentando manter a privacidade. Você precisa descobrir como seu provedor de serviços define um incidente e verifique se você pode negociar como você vai trabalhar com o fornecedor para garantir que todos estão satisfeitos.
segurança do aplicativo: Quando uma aplicação é na nuvem, está exposto a todo tipo de ameaça à segurança. O CSA divide a segurança da aplicação em diferentes áreas, incluindo a fixação do ciclo de vida de desenvolvimento de software na autenticação em nuvem, autorização, gestão e identidade compliance-, gestão de pedido de autorização, monitorização aplicação, testes de penetração de aplicação, e de gestão de riscos.
Criptografia e gerenciamento de chaves: A encriptação de dados refere-se a um conjunto de algoritmos que podem transformar o texto em um formulário chamado cyphertext, que é uma forma criptografada de texto simples que terceiros não autorizados não pode ler. O destinatário de uma mensagem criptografada usa uma chave que aciona o algoritmo para descriptografar os dados e fornecê-lo em seu estado original para o usuário autorizado. Portanto, você pode criptografar os dados e garantir que somente o destinatário pode decifrá-lo.
Na nuvem pública, algumas organizações podem ser tentados para criptografar todas as suas informações, porque eles estão preocupados com o seu movimento para a nuvem e como é seguro uma vez que está na nuvem. Recentemente, especialistas na área começaram a considerar outras medidas de segurança, além de criptografia que podem ser usados na nuvem.
Identidade e acesso de gerenciamento: gerenciamento de identidade é um tema muito amplo que se aplica a muitas áreas do centro de dados. O objetivo do gerenciamento de identidade é para controlar o acesso aos recursos do computador, aplicativos, dados e serviços.
gerenciamento de identidade muda significativamente na nuvem. Em um centro de dados tradicional, você pode usar um serviço de diretório para autenticação e, em seguida, implantar o aplicativo em uma zona segura firewall. A nuvem muitas vezes requer várias formas de identidade para garantir que o acesso aos recursos é seguro.
Com o aumento do uso de computação em nuvem, a tecnologia sem fio e dispositivos móveis, você já não tem fronteiras bem definidas sobre o que é interno eo que é externo a seus sistemas. Você deve avaliar se os furos ou vulnerabilidades existem servidores em, rede, componentes de infra-estrutura e terminais, e depois monitorá-los continuamente. Em outras palavras, você precisa ser capaz de confiar em sua própria infra-estrutura, bem como a infra-estrutura de um provedor de nuvem.