上个月信息安全论坛发布了未来两年10大信息安全威胁。虽然整个列表很有见地,但其中只有一半与云部署涉及的安全和合规挑战有关,在未来两年内,对于利用云计算[注]的人来说,需要注意下面5个关键安全问题:
1.服务提供商成为一个关键漏洞来源
从最近的新闻来看,这个问题已经很明显。从其业务性质来看,服务提供商提供的服务是所有类型的敏感/有价值数据的“聚合”。网络犯罪分子和黑客已经认识到这一点,他们已经开始将主要目标转移到服务提供商。想想看,如果攻击者能够成功渗透服务提供商的网络,他们将获取信息宝库。而事实上,在未来两年,作为大量敏感数据的中央存储库的服务提供商仍然将继续发展,这方面的威胁只会越来越大。为了应对这个问题,企业必须采取措施来保护其最敏感和最重要的数据,并决定哪些数据可以发送到公共云服务提供商。
2.移动应用成为泄露的主要途径
随着携带自己设备到工作场所(BYOD[注])技术的发展,员工开始越来越多的使用部署在平板电脑和手机等移动设备的移动应用程序,而这让IT部门非常难以控制其敏感数据在何时何地以何种方式被谁访问。BYOD意味着很多频繁使用的员工设备将用于工作环境,而实际上,这些设备通常没有企业设备相同的安全技术。再加上云计算应用程序(用于个人和企业),这更加提高了企业数据泄露的风险。在这种情况下,IT和安全部门应该部署安全技术来差异化对待其不同的数据类型,部署不同程度的限制,更好地保护最敏感的数据和知识产权。
3.加密失效
加密是一个非常广泛的说法,加密使用正在不断增加,很多企业越来越依赖于加密来满足其数据安全需求。如果有人问我这个说法是否正确:加密会失效?我不得不说,是的,有些加密会失效。这是因为并不是所有加密都是一样的。企业需要明白,有些加密比其他加密更加强大,在加密技术的部署方面存在差异化。例如在某些公司,他们要求客户部署最安全的FIPS140-2验证的加密技术,同时物理地保存加密密钥。这两点对于成功的加密很重要。另外,企业还可以利用令牌,这是另一种安全方法。
4.首席执行官已经了解云安全问题,现在你必须努力解决这个问题
我们现在都听说云计算安全是一个董事会级的问题,这意味着,首席执行官必须了解这方面的问题。我们现在已经开始看到越来越多的预算被分配到云计算保护和安全项目,IT和安全部门具有比过去更多的资源来帮助抵御安全风险。现在IT和安全部门需要找到最好的技术和解决方案来满足其企业的独特需求。
5.信息安全无法满足新一代员工的需求
这可能是最重要的一点。干扰或阻止员工与云计算交互的安全解决方案将不会成功,为什么呢?因为员工总是会找到方法来解决。或者在另一种情况下,IT和安全团队将会收到最终用户的投诉和操作问题,造成企业的分歧(例如,员工会说“这些人正在阻止我进行工作”)以及降低生产效率。企业必须想办法让云数据控制网关对最终用户保持透明和可见,让他们可以根据需求利用云应用程序,以及继续执行搜索数据等功能,即使当数据已经被加密。
相信这5个安全问题预测将帮助企业思考在未来几年内如何改善和巩固其企业IT和安全政策。