RichardA.Spires是Learning Tree國(guó)際公司首席執(zhí)行官，美國(guó)國(guó)土安全部和美國(guó)國(guó)稅局前任首席信息官。

作為一名前首席信息官，Spires已經(jīng)看到了云計(jì)算的顯著好處，既可以通過(guò)基礎(chǔ)設(shè)施即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)交付模型來(lái)實(shí)現(xiàn)按需計(jì)算的杠桿作用，也可以實(shí)現(xiàn)使用軟件即服務(wù)(SaaS)應(yīng)用程序。尤其是，基于SaaS的應(yīng)用程序越來(lái)越成為組織可以快速輕松地利用新應(yīng)用程序的方式。這正推動(dòng)著巨大的增長(zhǎng)，美國(guó)在《創(chuàng)新天使榜》有超過(guò)11,000家SaaS初創(chuàng)公司，而IDC公司預(yù)測(cè)，到2019年，基于SaaS的市場(chǎng)將超過(guò)1,120億美元。

IT組織需要開發(fā)一種綜合方法來(lái)解決依賴于第三方計(jì)算和應(yīng)用程序帶來(lái)的安全挑戰(zhàn)。

盡管云計(jì)算和SaaS業(yè)務(wù)模型可以使IT組織降低基礎(chǔ)設(shè)施成本，并提高支持客戶的敏捷性，但同時(shí)也增加了處理IT安全性的復(fù)雜性。IT組織不僅放棄了對(duì)某些IT基礎(chǔ)設(shè)施的控制和可視性，以達(dá)到利用基于SaaS的應(yīng)用程序的程度，而且還讓第三方存儲(chǔ)和控制敏感數(shù)據(jù)。不久之前，IT安全人員將致力于保護(hù)組織的IT范圍;使用當(dāng)今的新計(jì)算和服務(wù)模型，必須承認(rèn)傳統(tǒng)的邊界已不存在，或者如果邊界確實(shí)存在，則可能包括保護(hù)許多第三方云服務(wù)和SaaS應(yīng)用程序提供者。

Spires認(rèn)為SaaS安全性是雙重挑戰(zhàn)。首先，關(guān)于使用第三方IT云服務(wù)提供商(以包括更多傳統(tǒng)的外包數(shù)據(jù)中心服務(wù))，組織需要確信這些提供商正在實(shí)施應(yīng)匹配(或至少與之相似)的適當(dāng)安全控制。他們將在自己的數(shù)據(jù)中心和網(wǎng)絡(luò)中實(shí)施什么。這些控制范圍從人員的物理訪問(wèn)，到包括用于系統(tǒng)管理訪問(wèn)的身份管理和適當(dāng)?shù)木W(wǎng)絡(luò)加密。許多非營(yíng)利組織一直在為行業(yè)標(biāo)準(zhǔn)化這些控制措施。值得注意的是，云安全聯(lián)盟開發(fā)了Cloud Controls Matrix(CCM)，這是專門為云計(jì)算設(shè)計(jì)的安全控制框架。利用Cloud Controls Matrix，云安全聯(lián)盟為云計(jì)算服務(wù)提供商開發(fā)了審核、認(rèn)證和注冊(cè)計(jì)劃，稱為安全、信任和保證注冊(cè)(STAR)。在類似的模型中，美國(guó)聯(lián)邦政府開發(fā)了FedRAMP計(jì)劃，這是一種云計(jì)算服務(wù)提供商可以滿足NIST800-53安全控制套件所定義的三個(gè)不同級(jí)別上的最低安全控制要求的方法。

但是，即使IT安全經(jīng)理相信底層云計(jì)算服務(wù)提供商的控制套件，對(duì)于組織利用SaaS應(yīng)用程序的情況又如何呢?在這種情況下，敏感數(shù)據(jù)很可能將由第三方存儲(chǔ)和控制，并由組織的客戶或合作伙伴使用，以使數(shù)據(jù)永遠(yuǎn)不會(huì)與組織的網(wǎng)絡(luò)，防火墻或任何其他安全設(shè)備或過(guò)程控制接觸由組織。作為首席信息官和首席信息安全官，這種情況令人擔(dān)憂，因?yàn)镾aaS應(yīng)用程序?qū)?yīng)用程序及其數(shù)據(jù)的安全性幾乎沒(méi)有可見性和控制力。因此，第二個(gè)挑戰(zhàn)是如何將組織的安全策略和控制擴(kuò)展到公共云和SaaS應(yīng)用程序。

這項(xiàng)挑戰(zhàn)引起了所謂的云訪問(wèn)安全代理(CASB)的關(guān)注，這些產(chǎn)品充當(dāng)位于企業(yè)內(nèi)部或云中并在組織與云計(jì)算服務(wù)提供商之間邏輯地存在以提供一系列服務(wù)的安全實(shí)施點(diǎn)。其中包括身份驗(yàn)證和授權(quán)、設(shè)備配置文件、應(yīng)用程序白名單、加密、警報(bào)、惡意軟件檢測(cè)等。云訪問(wèn)安全代理(CASB)市場(chǎng)中的一些供應(yīng)商包括Bitglass、Forcepoint、Cloudlock/Cisco和Skyhigh Networks。云訪問(wèn)安全代理(CASB)解決方案的使用迅速增長(zhǎng)，據(jù)Gartner公司的調(diào)查報(bào)告，到2020年，將有85%的大型組織使用云訪問(wèn)安全代理(CASB)解決方案，而2015年這一比例不到5%。

從積極的方面來(lái)看，云訪問(wèn)安全代理(CASB)供應(yīng)商具有強(qiáng)大的功能，正在填補(bǔ)市場(chǎng)空白。但是，作為一名前首席信息官，Spires對(duì)如何通過(guò)繼續(xù)添加工具，然后在內(nèi)部進(jìn)行集成以解決企業(yè)IT安全性挑戰(zhàn)感到困惑。很少看到這種策略能很好地工作。因此，Spires支持以下觀點(diǎn)：應(yīng)對(duì)企業(yè)IT安全挑戰(zhàn)的優(yōu)秀方法是使用IT安全平臺(tái)，該平臺(tái)可提供一系列功能來(lái)幫助防止(必要時(shí))發(fā)現(xiàn)企業(yè)中的漏洞。在這個(gè)市場(chǎng)上，Palo Alto Networks，Cisco和Check Point Software提供了集成的平臺(tái)解決方案。

作為平臺(tái)價(jià)值的一個(gè)示例，Palo Alto Networks公司最近將其平臺(tái)功能擴(kuò)展到了云計(jì)算解決方案和SaaS應(yīng)用程序中。特別有趣的(并且在操作上很有吸引力)的是，Spires可以為某種數(shù)據(jù)類型設(shè)置其安全控制(例如，根據(jù)數(shù)據(jù)的敏感度來(lái)定制控制)，而Palo Alto Networks公司技術(shù)使其能夠在其整個(gè)平臺(tái)上實(shí)施這些策略，無(wú)論該數(shù)據(jù)駐留在自己的數(shù)據(jù)中心，外包數(shù)據(jù)中心還是公共云中的SaaS應(yīng)用程序中。這顯著簡(jiǎn)化了整個(gè)企業(yè)中安全策略的管理，并提供了高級(jí)威脅防護(hù)。此外，網(wǎng)絡(luò)攻擊者使用的一種日益增長(zhǎng)的攻擊目的是通過(guò)基于SaaS的應(yīng)用程序通過(guò)惡意軟件感染用戶，因?yàn)楣粽咧来蠖鄶?shù)組織都無(wú)法像使用內(nèi)部基于應(yīng)用程序的方式那樣監(jiān)視這些SaaS應(yīng)用程序。這些平臺(tái)的關(guān)鍵組成部分是能夠?qū)⑼{檢測(cè)和防御功能引入IT基礎(chǔ)設(shè)施和應(yīng)用程序的各個(gè)方面的能力，包括駐留在云中的那些方面。

基于SaaS的應(yīng)用程序的使用正成為為組織快速交付新功能的選方法。需求來(lái)自業(yè)務(wù)用戶，因此，IT組織必須接受并計(jì)劃SaaS的數(shù)量和用途的持續(xù)擴(kuò)展。因此，即使用戶和數(shù)據(jù)可能永遠(yuǎn)不會(huì)穿越組織的網(wǎng)絡(luò)或數(shù)據(jù)中心，IT組織也需要開發(fā)一種綜合方法來(lái)解決依賴于第三方計(jì)算和應(yīng)用程序帶來(lái)的安全挑戰(zhàn)。

網(wǎng)頁(yè)名稱：云計(jì)算和SaaS安全性需要綜合方法
標(biāo)題網(wǎng)址：http://www.rwnh.cn/news46/200696.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、品牌網(wǎng)站制作、搜索引擎優(yōu)化、靜態(tài)網(wǎng)站、網(wǎng)站改版、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)