ענן מבוססי מערכות ה- IT למלא תפקידים חשובים כמעט בכל התעשייה המודרנית. חברות, מלכ"רים, ממשלות ואפילו מוסדות חינוך משתמשים בענן כדי להרחיב את טווח ההגעה לשוק, לנתח את הביצועים, לנהל את משאבי האנוש ולהציע שירותים משופרים. באופן טבעי, אבטחה יעילה ענן הממשל הוא חיוני עבור כל גוף שרוצה לקצור את היתרונות של ה- IT מבוזרת.
כמו לכל תחום IT, למחשבי ענן יש חששות ביטחוניים ייחודיים. למרות עצם הרעיון של שמירה על נתונים בטוח בענן כבר מזמן נחשב סתירה בלתי אפשרית, פרקטיקות בתעשייה נפוצה לחשוף טכניקות רבות המספקות אבטחה ענן יעיל. כמו ספקי ענן מסחריים כמו אמזון AWS הוכיחו על ידי שמירה על תאימות FedRAMP, אבטחה ענן יעיל הוא גם מעשי ומעשי בעולם האמיתי.
$config[code] not foundשרטוט מפת דרכים לביטחון אפקטיבי
אין פרויקט אבטחה IT יכול לתפקד ללא תוכנית מוצקה. פרקטיקות שמעורבות בענן חייבות להשתנות בהתאם לתחומים ולמימושים שהם מבקשים להגן עליהם.
לדוגמה, נניח שמשרד ממשלתי מקומי יביא את המכשיר שלך או את מדיניות BYOD. ייתכן שיהיה צורך לפקח על בקרות פיקוח שונות יותר מאשר אילו היה פשוט מונע מעובדיו גישה לרשת הארגונית באמצעות הטלפונים החכמים, המחשבים הניידים והטאבלטים האישיים שלהם. כמו כן, חברה שרוצה להפוך את הנתונים שלה לנגישים יותר למשתמשים מורשים על ידי אחסנה בענן, קרוב לוודאי שתצטרך לנקוט צעדים שונים כדי לפקח על הגישה מאשר אם היא תשמור על מסדי הנתונים שלה ועל השרתים הפיזיים שלה.
זה לא אומר, כפי שהציעו כמה, כי בהצלחה שמירה על ענן בטוח הוא פחות סביר מאשר שמירה על אבטחה על LAN פרטיים. הניסיון הוכיח כי היעילות של אמצעי אבטחה שונים ענן תלוי עד כמה הם דבקים מתודולוגיות מוכחות מסוימות. עבור מוצרים ושירותים של ענן המעסיקים נתונים ממשלתיים ונכסים, שיטות עבודה מומלצות אלה מוגדרות כחלק מתוכנית ניהול הסיכונים וההרשאות הפדרלית, או FedRAMP.
מהי תוכנית ניהול סיכונים ואישור הפדרלי?
תוכנית ניהול סיכונים ואישור הפדרלי היא תהליך רשמי, כי סוכנויות פדרליות להעסיק לשפוט את היעילות של שירותי מחשוב ענן ומוצרים. על פי הסטנדרטים של הלב שנקבעו על ידי המכון הלאומי לתקנים וטכנולוגיה, או NIST, בפרסומים מיוחדים שונים, או SP, ו תקן מידע פדרלי רגיל, או FIPS, מסמכים. תקנים אלה מתמקדים בהגנה יעילה המבוססת על ענן צמתים.
התוכנית מספקת הנחיות עבור משימות אבטחה נפוצות רבות בענן. אלה כוללים טיפול נאות בתקריות, שימוש בטכניקות זיהוי פלילי כדי לחקור הפרות, תכנון contingencies כדי לשמור על זמינות המשאבים וניהול סיכונים. התוכנית כוללת גם פרוטוקולי הסמכה עבור ארגוני צד שלישי להסמכה, או 3PAOs, כי להעריך יישומי ענן על בסיס כל מקרה לגופו. שמירה על תאימות 3PAO מוסמך הוא סימן בטוח כי אינטגרטור IT או ספק מוכן לשמור על מידע בטוח בענן.
שיטות אבטחה יעילות
אז איך חברות לשמור על נתונים בטוחים עם ספקי ענן מסחריים? אמנם יש אינספור טכניקות חשוב, כמה ראוי להזכיר כאן:
אימות ספק
יחסי עבודה חזקים בנויים על אמון, אבל זה תום לב חייב מקורו איפשהו. לא משנה כמה ספק ענן מבוסס היטב, חשוב שהמשתמשים יאמתו את נוהלי הציות והמנהל שלהם.
תקני האבטחה של הממשלה כוללים בדרך כלל אסטרטגיות ביקורת וניקוד. בדיקה של ביצועי העבר של ספק הענן שלך היא דרך טובה לגלות אם הם ראויים לעסק שלך בעתיד. אנשים המחזיקים.gov ו-.mil כתובות דוא"ל יכולים גם לגשת FedRAMP חבילות אבטחה הקשורים לספקים שונים כדי לאשש את דרישות התאימות שלהם.
נניח תפקיד יזום
למרות ששירותים כמו Amazon AWS ו- Microsoft Azure מציינים את דבקותם בסטנדרטים מבוססים, בטיחות ענן מקיפה לוקחת יותר ממפלגה אחת. בהתאם לחבילת שירות ענן שאתה רוכש, ייתכן שיהיה עליך לכוון את יישום ספק של תכונות מפתח מסוימות או לייעץ להם כי הם צריכים לעקוב אחר נהלי אבטחה ספציפיים.
לדוגמה, אם אתה יצרן מכשירים רפואיים, חוקים כמו חוק ניידות ביטוח בריאות וחשבון, או HIPAA, עשויים לחייב אותך לנקוט צעדים נוספים כדי להגן על נתוני בריאות הצרכן. דרישות אלה לעתים קרובות קיים באופן עצמאי מה את צריכה לעשות את הספק כדי לשמור על הסיכון הפדרלי שלהם הסמכה ניהול תוכנית הסמכה.
בכל מינימום, אתה תהיה האחראי הבלעדי לשמירה על נוהלי אבטחה המכסים את האינטראקציה הארגונית שלך עם מערכות ענן. לדוגמה, אתה צריך להקים מדיניות סיסמה מאובטחת עבור הצוות שלך ואת הלקוחות. הפלת הכדור על קצה שלך יכול להתפשר אפילו יישום האבטחה ענן יעיל ביותר, כך לקחת אחריות עכשיו.
מה שאתה עושה עם שירותי הענן שלך משפיע בסופו של דבר על היעילות של תכונות האבטחה שלהם. העובדים שלך עשויים לעסוק בשיטות IT של צל, כגון שיתוף מסמכים באמצעות סקייפ או ב- Gmail, מסיבות של נוחות, אך פעולות לכאורה לא מזיקות אלה עלולות להפריע לתוכניות ההגנה על ענן בקפידה. בנוסף לאימון צוות כיצד להשתמש בשירותים מורשים כראוי, אתה צריך ללמד אותם כיצד להימנע ממלכודות מעורבים זרימי נתונים לא רשמיים.
להבין את תנאי שירות ענן שלך כדי לשלוט על הסיכון
אירוח הנתונים שלך בענן אינו מעניק לך בהכרח את אותן ההטבות שיש לך עם אחסון עצמי. חלק מהספקים שומרים על הזכות לעקוף את התוכן שלך כדי שיוכלו להציג מודעות או לנתח את השימוש שלך במוצרים שלהם. ייתכן שיהיה עליך לגשת למידע שלך במהלך מתן תמיכה טכנית.
במקרים מסוימים, החשיפה לנתונים אינה בעיה עצומה. עם זאת, כאשר אתה מתעסק במידע אישי או נתוני תשלום המאפשרים זיהוי אישי, קל לראות כיצד גישה של צד שלישי עלולה לגרום לאסון.
זה עשוי להיות בלתי אפשרי לחלוטין למנוע את כל הגישה למערכת מרוחקת או מסד נתונים. עם זאת, עבודה עם ספקים המשחררים רשומות ביקורת ויומני גישה למערכת שומרת אותך בידיעה אם הנתונים נשמרים באופן מאובטח. ידע כזה הולך דרך ארוכה לקראת לסייע לגופים למתן את ההשפעות השליליות של כל הפרות כי מתרחשות.
לעולם אל תניח הביטחון הוא חד פעמי
אנשים חכמים ביותר לשנות את הסיסמאות האישיות שלהם על בסיס קבוע. אתה לא צריך להיות בדיוק כמו שקדן על אבטחה מבוססי ענן IT?
לא משנה כמה פעמים התאימות של ספק השירות שלך מכתיב להם לנהל ביקורת עצמית, אתה צריך להגדיר או לאמץ קבוצה משלך של סטנדרטים להערכה שגרתית. אם אתה מחויב גם לדרישות ציות, יהיה זה נכון שתחוקק משטר קפדני שיבטיח שתוכל לעמוד בהתחייבויותיך גם אם ספק הענן שלך לא יעשה זאת באופן עקבי.
יצירת יישומי ענן אבטחה שעובדים
אבטחה ענן יעיל הוא לא איזה עיר מיסטית שנמצאת לנצח מעבר לאופק. כתהליך מבוסס היטב, זה גם בהישג יד של רוב משתמשי IT שירות וספקי לא משנה אילו סטנדרטים הם תואמים.
על ידי התאמת פרקטיקות המתוארות במאמר זה למטרות שלך, זה אפשרי להשיג ולשמור על סטנדרטים אבטחה לשמור על הנתונים שלך בטוח בלי להגדיל באופן דרמטי תקורה מבצעית.
תמונה: SpinSys
1 הערה ▼
