混合IT环境需要混合网络安全

日期: 2017-11-29 作者:Mary K. Pratt翻译:陈晓诚 来源:TechTarget中国 英文

混合IT环境的兴起,以及与云和本地服务的混合,给高管们带来了新的安全问题。

安全专家认为,这是因为技术和安全领导者不仅要面对云和本地系统的威胁,还要面对企业在混合IT环境中一起使用这些系统时,所出现的漏洞。

“随着复杂性的扩大,有越来越多不同的环境–而且,这些环境往往会不断增加–运营,管理和安全性会变得更复杂,” Ed Moyle说,他是Rolling Meadows的全球独立非盈利协会ISACA的新兴业务和技术总监。

Moyle和其他几位安全专家都表示:混合IT环境需要一个网络安全计划,为其本地组件提供可靠的战略,同时包含保护其云计划的方法。

对这一安全规划和协议中新出现的问题,大多数企业都意识到了挑战。软件公司SolarWinds最近的一份报告发现,69%的IT专业人士表示,他们的企业使用三个云供应商的环境。

报告“IT Trends Report: Portrait of a Hybrid IT Environment”也发现,62%的北美受访者表示,基础设施新增的复杂性是一个挑战,而47%的受访者表示“缺乏对云基础设施安全性的控制和可视性”造成了复杂性。

然而,同一份报告也发现,只有39%的北美受访者表示,他们的企业在其混合IT开发战略中包含安全性。

共享的,一致的责任

咨询公司Protiviti的全球信息安全项目总监Scott Laliberte表示,企业IT领导者首先应该认识到,混合IT环境需要划分安全责任,而这种责任并不存在于现有的本地或云场景中。

他解释说:“你们有共享的责任,有云供应商的责任和企业自身的责任 – 也许还有一些第三方应用供应商的负责。”

Laliberte说,在与供应商的合同中,企业应该明确说明供应商将会承担哪些安全工作,以及企业承担的部分。

“Cybercrime: The Madness Behind the Methods”一书的作者Richard White说,许多IT企业,特别是中小企业,都没有采取这一措施。

“他们积极参与,但是他们几乎或者根本不知道他们将失去对数据的直接控制和可视性,”White说,他是马里兰大学网络安全和信息保障课程的负责人,同时也是Oxford Solutions的总经理。

“他们不明白在云层面或服务水平协议中应该承担什么责任,责任范围非常模糊。”

专家表示,分配安全责任,并记录每个人的责任只是必需完成的一部分。企业IT还必须明确他们将如何监督和管理这些双重责任 – 并确保双方都完成这些责任。

Laliberte说:“真正了解谁对哪一件事负责,对于那些不在企业直接控制范围内的控制权,你可以做哪些尽职调查,以及如何获得合规性证据。”

专家说,对于许多IT企业来说,很大一部分困难是在混合IT环境中保持一致的安全策略。例如,无论应用和基础设施位于何处,都应该在任何需要的地方应用和实施诸如数据泄漏防护功能和终端用户行为分析等工具。

Laliberte说,云访问安全代理,CASB在这方面很有帮助。CASB是一种软件工具或服务,位于企业的本地基础设施与其云供应商之间,确保两点之间的流量符合设定的安全策略。

但是,尽管CASB在监督和指标方面可以创建一致性,但它们并不是万能的。“它也有缺点,它可能成为故障点,有些可能会带来潜在的弹性和其他安全问题,”Laliberte解释说。

更好的治理,更多的动力

混合IT环境还经常需要额外的安全措施,这在本地环境中,或云设置中可能不需要。

专家们指出,企业可能需要对传输中的数据进行加密,当数据在本地和云之间移动,如果数据始终处于一个环境中,可能不需要这样做。而且,混合环境在使用加密时,需要有额外的考虑。

Laliberte说:“加密密钥的管理可能被忽视。通常情况下,这是由云供应商负责的,企业没有控制权。加密也是如此:供应商通常负责控制加密。”

Moyle说,在混合环境中,意外后果的风险也会增加,一个进程的升级可能会影响其他方面的安全性。

网络安全领导人认为,混合IT环境的额外复杂性也提高了对强有力治理的需求。而且,治理必须统一,企业不应该有两个完全独立的治理运营 – 一个用于本地,一个用于云。

“安全已经很难,为什么要分开管理?”Laliberte说。

其他人则认为,有这么多的责任需要明确,分配和监督,没有勤奋和动态的监管就不能做好。专业服务公司PwC的合伙人Shawn Connors表示,治理方面仍然令人困惑。

Connors说:“技术方面,比如如何把所有东西连接在一起,都是很好理解的。但是执行政策和标准,并理解其中的职责和责任,则不是,” “如果我必须从治理政策中完成X,Y,Z,我需要了解它是什么,并将其写入我与云服务供应商签订的合同中,并规定标准。这似乎仍然很困惑。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

陈晓诚
陈晓诚

TechTarget中国兼职翻译

相关推荐

  • 管理混合IT环境的四个原则

    混合IT环境的四个推动因素:数据采集必须与平台无关、数据集需要移动、应用程序必须重新编排以及需要一个单一的窗口来管理所有的云。

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 互联汽车面临的网络安全问题

    近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。

  • 网络安全投资商业案例

    在数字化时代,数据已经和现金一样具有价值,而不断增加的网络犯罪的威胁则迫使企业重新思考安全流程来保护他们的信息资产。