云風(fēng)險(xiǎn)策略完美無(wú)缺?別忘了考慮你的用戶群體
譯文云風(fēng)險(xiǎn)管理策略旨在通過(guò)緩解風(fēng)險(xiǎn),讓高風(fēng)險(xiǎn)變成較低的風(fēng)險(xiǎn)。你在制定策略時(shí)應(yīng)該采取分四步走的方法,并且充分考慮到不同的用戶們會(huì)如何認(rèn)識(shí)和看待該策略(比如,有些用戶需要的靈活性高于策略中規(guī)定的靈活性。)
如何制定云風(fēng)險(xiǎn)管理策略?
***步:確認(rèn)和識(shí)別資產(chǎn)
軟件即服務(wù)(SaaS)用戶僅限于他們用來(lái)訪問(wèn)SaaS應(yīng)用程序的臺(tái)式機(jī)、筆記本電腦,以及/或者平板電腦。
平臺(tái)即服務(wù)(PaaS)開發(fā)人員使用更多的資產(chǎn)。PaaS開發(fā)人員可使用計(jì)算機(jī)及其工具來(lái)開發(fā)和管理應(yīng)用程序;開發(fā)人員還在服務(wù)提供商提供的操作系統(tǒng)上運(yùn)行其開發(fā)的應(yīng)用程序。
基礎(chǔ)設(shè)施即服務(wù)(IaaS)專家使用服務(wù)提供商提供的網(wǎng)絡(luò)、存儲(chǔ)或計(jì)算資源。
第二步:評(píng)估和分析風(fēng)險(xiǎn)
你需要評(píng)估每種資產(chǎn)的風(fēng)險(xiǎn),然后將它們分類成低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)或高風(fēng)險(xiǎn)。至于風(fēng)險(xiǎn)是人為風(fēng)險(xiǎn)(比如錯(cuò)誤的應(yīng)用程序邏輯),還是自然災(zāi)害(比如地震頻發(fā)地區(qū)),那沒(méi)有什么關(guān)系。
第三步:實(shí)施防范措施
在實(shí)施防范措施之前,你應(yīng)該確保它可以因此將高風(fēng)險(xiǎn)緩解成較低的風(fēng)險(xiǎn)。典型的防范措施包括故障切換機(jī)制、閏年識(shí)別、嵌套式防火墻以及雙因子驗(yàn)證(比如強(qiáng)密碼外加面部識(shí)別)。如果針對(duì)某項(xiàng)資產(chǎn)的防范措施未能帶來(lái)積極的投資回報(bào),你就應(yīng)該為該資產(chǎn)投保。
第四步:評(píng)審資產(chǎn)、風(fēng)險(xiǎn)和防范措施
- 你應(yīng)該定期評(píng)審資產(chǎn)、風(fēng)險(xiǎn)和防范措施(通常是每三個(gè)月或每六個(gè)月評(píng)審一次)。你在這么做的過(guò)程中可能會(huì)發(fā)現(xiàn):
- 已購(gòu)置了新的資產(chǎn)。比如說(shuō),你從貴企業(yè)獲得***款式的平板電腦,你用它來(lái)訪問(wèn)SaaS應(yīng)用程序。回到***步即識(shí)別資產(chǎn),從頭來(lái)過(guò)。
- 由于你用PaaS開發(fā)的某個(gè)應(yīng)用程序的業(yè)務(wù)需求發(fā)生了變化,因而出現(xiàn)了新的風(fēng)險(xiǎn)。如果你的資產(chǎn)庫(kù)里面沒(méi)有出現(xiàn)任何新的資產(chǎn),就回到第二步即評(píng)估風(fēng)險(xiǎn)。不然,就回到***步,從頭來(lái)過(guò)。
- 可能需要實(shí)施新的防范措施。某項(xiàng)新技術(shù)可能讓防范措施花較少的錢就能獲得更高的成效,或者出現(xiàn)新的風(fēng)險(xiǎn)時(shí),就可能需要實(shí)施新的防范措施。至于你是PaaS開發(fā)人員還是IaaS基礎(chǔ)設(shè)施專家,那沒(méi)有關(guān)系。再次執(zhí)行分四步走的過(guò)程。
不同的用戶可能會(huì)如何認(rèn)識(shí)和看待策略?
用戶怎樣認(rèn)識(shí)和看待云風(fēng)險(xiǎn)管理的好處,這受到以下因素的影響:
- 他們扮演的云角色;
- 他們所在的部門;
- 云服務(wù)提供商授予他們的控制措施
SaaS用戶的認(rèn)識(shí)
在任何一家組織,SaaS用戶擁有的唯一控制權(quán)就是,可以從他們選擇的任何設(shè)備來(lái)訪問(wèn)SaaS應(yīng)用程序――該應(yīng)用程序涉及會(huì)計(jì)、人力資源還是供應(yīng)鏈跟蹤,那無(wú)關(guān)緊要。該用戶無(wú)法控制應(yīng)用程序的開發(fā)或虛擬機(jī)。
SaaS用戶可能會(huì)認(rèn)為服務(wù)提供商的云風(fēng)險(xiǎn)管理策略很有限,因?yàn)樘峁┥滩粫?huì)讓用戶使用其安全工具來(lái)掃描查找SaaS應(yīng)用程序的安全漏洞。
PaaS開發(fā)人員的認(rèn)識(shí)
PaaS開發(fā)人員可以使用自己喜歡的任何一種安全工具;因此,他們認(rèn)為提供商的風(fēng)險(xiǎn)管理策略很靈活。PaaS開發(fā)人員控制整個(gè)應(yīng)用程序的生命周期:從概念階段直到部署階段,他們還可以開發(fā)及構(gòu)建測(cè)試防范措施的安全工具。SaaS用戶對(duì)給黑客設(shè)置重重障礙、無(wú)法逾越的任何防范措施都會(huì)很滿意。
PaaS開發(fā)人員無(wú)法控制操作系統(tǒng)的更新和支持PaaS平臺(tái)的虛擬機(jī)。提供商不允許開發(fā)人員針對(duì)操作系統(tǒng)和虛擬機(jī)實(shí)施防范措施,他們因而可能會(huì)感到失望。
IaaS網(wǎng)絡(luò)專家的認(rèn)識(shí)
IaaS網(wǎng)絡(luò)專家可以在虛擬基礎(chǔ)設(shè)施中使用其自己的安全工具。網(wǎng)絡(luò)專家可能會(huì)認(rèn)為提供商的云風(fēng)險(xiǎn)管理策略非常靈活。
IaaS網(wǎng)絡(luò)專家對(duì)防范虛擬機(jī)避免非計(jì)劃停運(yùn)時(shí)間所需要的工具擁有控制權(quán)。提供商不允許IaaS網(wǎng)絡(luò)專家控制其物理服務(wù)器和網(wǎng)絡(luò)組成的基礎(chǔ)設(shè)施,他們可以理解。
總結(jié)
想緩解或杜絕與云有關(guān)的安全問(wèn)題,你最穩(wěn)妥的辦法就是要搞清楚哪些人將使用該策略,以及各方可能會(huì)對(duì)你管理風(fēng)險(xiǎn)的方法做出怎樣的反應(yīng)。
英文原文鏈接:http://www.techrepublic.com/article/factor-in-the-people-side-of-cloud-risk-management/
