云安全ABC:云中的商業(yè)數(shù)據(jù)是否安全
真是讓人震驚。數(shù)據(jù)竊賊,黑客,罪犯,他們潛伏在網(wǎng)絡里千方百計進入您的企業(yè)網(wǎng)站,因此如果保護措施不夠完善的話,他們就能輕易竊取敏感的商業(yè)數(shù)據(jù)。
那么,眾多企業(yè)該如何安全有效地使用云、如何保護數(shù)據(jù)和基礎設施以免遭不法分子的侵襲?企業(yè)是否能安全地使用云計算?
這些問題其實都不簡單,IT咨詢顧問公司The Tech Consultant負責人Ara Trembly如是說。
Trembly表示,首先我們需要仔細審核自己的業(yè)務流程,并以客觀的角度來評估整個組織流程、安全問題、商業(yè)數(shù)據(jù)的重要性和價值。
“對于一些企業(yè)來說,使用云是不明智的,” Trembly說道,“視數(shù)據(jù)為生命的企業(yè)”不會把它放在易受攻擊的地方。“保險公司、金融機構、醫(yī)療中心都屬于這類企業(yè)。”
問題是,如果這類企業(yè)不能將這些關鍵數(shù)據(jù)放置在擁有最高保護措施能最大化降低風險的組織內部,他們就不能保證安全能完全滿足需要。“違背HIPPA的問題很容易發(fā)生。這并不是說現(xiàn)在已經(jīng)出現(xiàn)類似問題,而是指有可能發(fā)生類似問題。”
無論是公有云還是私有云,它將永遠不可能以超臨界數(shù)據(jù)安全企業(yè)要求的那樣使用云。或者這類與安全性有關的挑戰(zhàn)使得這一切不可能實現(xiàn)嗎?
“目前,我還不肯定,”Trembly說。“云和網(wǎng)絡應用的問題,其實就是糟糕的網(wǎng)絡安全問題。我并不期待這一切能有顯著的改善。網(wǎng)絡安全性如此之差的原因在于信息是可售的,因此如果有人竊取數(shù)據(jù),他們就能夠出售。也許有人會說這些問題最終都會得以解決,但是我不這么認為。”
這是數(shù)據(jù)安全面臨的真正挑戰(zhàn)問題,Trembly說,因為罪犯總是防不勝防,而負責定期阻止入侵和黑客攻擊活動的安全人員,卻往往都具有滯后性。“他們(黑客)緊盯社會保險帳號信息和任何暴露他人隱私的內容。工業(yè)間諜活動收集來的信息都是可售的。”
這就是不法分子的動機,利益會驅使他們永遠快人一步,Trembly表示,“他們愿意傾注所有精力和寶貴時間來攻破你所想要阻止的一切嘗試。有很多受到資助的違法企業(yè)。正如我們以處理和保護信息謀生,他們則以盜取信息謀生。”
由于這些動機和其固有的危險性,與保險業(yè)和金融服務業(yè)有關的顧客把信息放在云上是不安全的。#p#
不管你現(xiàn)在使用的是公有云還是私有云,都存在有云安全的問題,Trembly說。相比之下,在有入侵防范措施的內部系統(tǒng),安全問題就沒有那么嚴峻了。“但是如果一定要根據(jù)自己的意愿來實現(xiàn)安全,就不要使用云。”
如果某些關鍵數(shù)據(jù)類業(yè)務必須使用云來實現(xiàn)某些IT功能,那么對于某些非基本功能諸如房屋維修、供應訂購是完全可以接受的,他表示,“這些功能都與關鍵數(shù)據(jù)無關。”如果你有更好的方法,可以不用拘泥于此,Trembly補充道。
云有許多優(yōu)點,其中一個突出的好處是可以節(jié)省成本,Trembly說。如果企業(yè)數(shù)據(jù)遭到破壞,節(jié)省成本就顯得不那么重要了。因為它不僅會給企業(yè)帶來巨大麻煩,而且也會挫傷企業(yè)用戶的積極性、損害公司名譽。“一旦公諸于眾,事情就要圍繞修復信任、重拾客戶認可而進行,如果不能獲得大家都信任,客戶將遠離。”
當面臨選擇時你的企業(yè)應當怎樣做?在考慮是否采納云方案的時候如何進行抉擇?
以下是Trembly提到的有關云安全的重要問題:
1.關鍵的問題是數(shù)據(jù)的價值
然后,考慮以下的相關問題:數(shù)據(jù)徹底破壞將會怎樣? 會不會使業(yè)務完全終止?系統(tǒng)恢復是否需要花費巨額代價?會不會是一場夢魘?“你真的有必要考慮到各種情形,”Trembly說。
2.你將如何保護公司的數(shù)據(jù)?
“你打算如何投資?你是否樂意采購及維持一套入侵防御系統(tǒng)?你必須熟知這些問題。”你將做出哪些改變確保數(shù)據(jù)被保護。
Trembly說客戶最關心的是怎樣設置員工的使用政策以及在工作上使用個人設備。然而,仍然有必要確保鎖定數(shù)據(jù)保護。
“捫心自問,如果打算使用便攜式設備就要統(tǒng)一標準化管理,這樣就不必過多擔憂,或者讓大家自愿使用這些設備就是IT人士的噩夢。” Trembly表示。允許人們使用的設備越多,出現(xiàn)的安全問題的機會也就越多。這真是令IT人員感到困惑。
你也可以制定明確的政策決定選派哪些員工能夠訪問數(shù)據(jù)安全。詳細說明他們的訪問權限是否有限制,Trembly說。這點確實很重要。限制無關人員的訪問權限是一個聰明的辦法。但這是否意味著其他方面可以一蹴而就呢?
