解说混合云安全性与合规性,降低风险的指导原则
发布时间:2022-03-19 20:47:08 所属栏目:云计算 来源:互联网
导读:混合云安全已经经过一段时间的发展。云计算带来了各种维度,这些维度需要一种方法来扩展当前的政策、实践和技能。必须采取以企业为中心的视图,以实现集中可见性、保护控制和控制风险。 1.安全策略 拥有私有云和公共云环境(混合云和多云)的企业应明确定义
|
混合云安全已经经过一段时间的发展。云计算带来了各种维度,这些维度需要一种方法来扩展当前的政策、实践和技能。必须采取以企业为中心的视图,以实现集中可见性、保护控制和控制风险。 1.安全策略 拥有私有云和公共云环境(混合云和多云)的企业应明确定义云安全策略以监控和执行保护控制。该政策应涵盖监管合规要求(例如 PCI、HIPAA、ISO、FFIEC、GDPR、政府或国家级要求等)、企业控制、数据驻留、隐私评估的需求。 他们应根据云服务提供商定义的共享责任模型和必须纳入的客户团队责任来确定覆盖范围。监管政策不断变化,企业风险和合规团队必须监控、评估和整合这些变化。 2.网络弹性计划 企业还应将其网络弹性计划扩展到云。他们必须考虑针对云环境的额外响应方案。风险管理人员应在计划中包括频繁的进攻性测试、桌面练习、员工教育,并将所有云环境纳入其中。 3.安全互连 拥有多个私有数据中心设施的企业将通过支持电信的网络连接在它们之间实现安全连接。强烈建议从数据中心扩展支持电信的连接,利用云原生连接,例如(直接连接、快速路由)以及 Equinix 等互连位置。 4.保护控制平面 云服务提供商控制平面或门户是风险面之一。主账户和其他高级特权账户可以访问在云本地启用的计算、存储元素、数据、格式模板、安全性和合规性配置。 对控制平面拥有更高权限的用户可以在移动部门或离开公司时拥有相同的访问权限。如果用户是恶意的或意外删除、修改了基于云的资产,对用户的这种访问可能会使企业面临风险。 5.保护数据平面 除了支持第三方供应商提供商安全工具之外,云服务提供商还支持原生云安全功能。每个云服务提供商都在这些功能上都有细微差别;它们被深入到工作负载部署方法的自动化过程中。 6.卫生监控和补救 缺乏基本卫生是利用混合多云环境的企业的最高风险因素。卫生的定义范围从识别为 COTS 软件(操作系统、应用程序、中间件)的一部分的漏洞、自定义应用程序、访问管理控制、根据公司安全策略进行的系统强化。 7.集成的安全和合规管理 云控制平面、工作负载、应用程序的安全和合规是相互交织的。必须以自动化和集成的方式监控和评估本机到云配置和工作负载配置的所有资产、合规性状况。监控、漂移分析并利用补救措施来保护环境,同时利用补救措施来证明环境的合规性状态。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
