Hirdetés
. Hirdetés

Nyilvános felhők biztonsági szempontjai

|

A biztonsági eszközök esetében átfogó megközelítést kell követni, és kiválasztani azokat az eszközöket, amelyek megfelelnek az adott kontextusban a céljok teljesítésének.

Hirdetés

Ha egy vállalat nyilvános felhőt vesz igénybe, ilyen kérdésekkel szembesül: Ki felelős az infrastruktúra biztonságáért a nyilvános felhőben? Milyen eszközeik vannak a felhasználóknak, hogy ellenőrizzék a felhőszolgáltatót? Honnan tudják, hogy megbízhatnak-e egy szolgáltatóban? A Network Computing portál összegyűjtött néhány fontos választ.

A digitális infrastruktúra felhőbe vándorlása az elmúlt évek során egyértelmű tendenciává vált a vállalati szektorban. A COVID-19 járvány pedig felgyorsította ezt a folyamatot. A nyilvános felhőket használók köre ma már minden méretű kormányzati és üzleti szervezetre kiterjed. Ez a váltás azonban számos olyan biztonsági kérdést és aggályt vetett fel, amelyek a felelősségétől az ügyféladatok sértetlenségének megőrzéséig terjednek.

Általános szabály, hogy az ügyfelek külön eljárásrendet alakítsanak ki, amely a külső felhőszolgáltatásokkal való együttműködés különböző szempontjaival foglalkozik, és meghatározza ennek a kapcsolatnak a mutatóit. Legjobb esetben az ügyfélnek világos elképzelése van az alkalmazható biztonsági mechanizmusokról.

Hirdetés

Ennek az ellenkezője is fennáll, amikor az ügyfél arra számít, hogy az IaaS megkapja a biztonsági szolgáltatások teljes spektrumát, és csak az útközben felmerülő problémákkal kell megküzdeni. A felhőbe költözve a cégek többnyire a korábbiaknál szervezettebb környezetbe kerülnek, ami támasztékot ad a szigorúbb biztonsági magatartásuknak is. Kevésbé elterjedt megközelítés az információs rendszer nulláról történő felépítése a felhőszolgáltató modern és biztonságos eszközeivel, a teljes kiszervezés helyett.

Egyes felhőszolgáltatókat kifogás ér, mert üzleti modelljüket erőforrásokra, például lemezekre, magokra és csatornákra bontják, nem pedig olyan szolgáltatásokra, amelyekre az ügyfélnek valóban szüksége van. E narratíva szerint az ügyfélnek nem érdeke a felhőszolgáltatás technikai megvalósításának csínját-bínját megismerni mindaddig, amíg gyorsan, zökkenőmentesen és megfelelő szintű biztonsággal megkapják a szükséges funkciókat.

Ez a fajta helyzet a felhőalapú ügyfelek kis szegmensére vonatkozik, főleg kis- vagy középvállalkozásokra. A nagy szervezetek a szolgáltatókkal való együttműködés során főként a következő elvhez tartják magukat: adja meg nekünk az erőforrásokat, és felhasználjuk őket arra, amire szükségünk van.

Ami a szabályozók e piacra gyakorolt hatását illeti, minden kormányzati felügyelet végül drágítja a szolgáltatást. Ugyanakkor egyes ügyfelek félreértelmezik a merev szabályozási követelményeket, és túlzott igényeket támasztanak a szolgáltatókkal szemben, amikor felhőbe költöznek. Ebben az esetben a felhőszolgáltató tanácsadó közvetítőként is működhet az ügyfél és a szabályozó hatóság közötti párbeszédben.

Az információbiztonsági szakembereinek el kell fogadniuk, hogy egyes feladataik és kiváltságaik az áttérés után a szolgáltató felelősségi körébe kerülnek. Ennek ellenére a szervezet biztonsági osztályának az ellenőrzés kezdetén meghatározott szabványokon alapuló ellenőrzésre és a megfelelőség ellenőrzésére kell összpontosítania.

Amint a vállalat tapasztalatot szerez a felhő-infrastruktúrával kapcsolatban, összetettebb és értelmesebb kérdéseket kezd megfogalmazni a szolgáltató számára. Az infobiztonsági csapat tagjai egyre jobban érdeklődnek a hálózati biztonság, a webes erőforrások védelme és a szolgáltató által kínált felügyeleti eszközök iránt. Számukra az is egyre fontosabb, hogy a felhőszolgáltató hogyan figyeli a biztonsági eseményeket, hogyan reagál a vírustámadásokra, és hogyan tájékoztatja az ügyfeleket ezekről az eseményekről.

Szavatolni kell a folyamatosságot, azaz szükség van tartalék eljárásokra, és B tervre egy másik szolgáltatóra való áttéréshez.

Meg kell határozni azokat a célokat, amelyeket a cég el akar érni a felhőbe költözéssel. Át kell gondolni a kritériumokat, és ki kell deríteni, hogy a választott felhőszolgáltató megfelel-e azoknak.

A biztonsági eszközök esetében átfogó megközelítést kell követni, és kiválasztani azokat az eszközöket, amelyek megfelelnek az adott kontextusban a céljok teljesítésének.

A biztonsági inverziónak nevezett koncepció a felhő evolúciójának fontos eleme. Az az alapgondolata, hogy az infobiztonsági szakembereknek a felhasználóra kell összpontosítaniuk, nem pedig az adatközpontra, mint régen. Ez a helyzet azért tűnik ésszerűnek, mert minden információs rendszer az emberek szolgálatában működik, de az emberek a gyenge láncszemek a biztonsági hurokban. Az inverzió a biztonság több szempontú megközelítésének alapját adja, amely figyelembe veszi a szervezet tevékenységének minden aspektusát.

A szolgáltatóval szembeni bizalmatlanság olyan probléma, mint az alkalmazottakkal szembeni bizalmatlanság. Az egyetlen módja annak, hogy megnyugodjanak a szolgáltatást igénybe vevők az infrastruktúrájuk biztonságáról, ha képet kapnak róla, hogyan működik a nyilvános felhők biztonsága. Az ellenőrzési folyamat során az ügyfél a szolgáltatója segítségével megbizonyosodhat róla, hogy a szolgáltató végrehajtotta és betartotta-e az összes szükséges biztonsági eljárást, beleértve azokat is, amelyek meghatározzák a cégekkel való kapcsolattartás és a rendszergazdák munkájának ellenőrzési szabályait.

Eközben a különféle tanúsítványok és igazolások jelenléte nem feltétlenül olyan tényező, amely növeli a szolgáltató iránti bizalmat. Ennek ellenére a tanúsítás nemcsak marketing eszköz, hanem a felhőszolgáltatás működésének megszervezése is, így kétségtelenül szerepet játszik a bizalom megszilárdításában.

Ugyanakkor nyilvánvaló, hogy egyetlen vállalat sem védett a bennfentes fenyegetések ellen. Az érzékeny adatok kiszivárgásának megakadályozását szolgáló hatékony módszer a felhőszolgáltató információs rendszerében előforduló események rögzítése, tárolása és elemzése.

A helyes megközelítés a számítási teljesítmény és az adateszközök olyan szolgáltató ellenőrzése alá vonása, amelynek kockázatai standardizáltak és megbízható erőforrásai vannak. Ezért a vállalatok továbbra is felhőbe helyezik infrastruktúrájukat, és összefognak a szolgáltatókkal, hogy megtalálják a megfelelő mechanizmusokat az interakció ellenőrzésére és rendszerezésére.

Az egyik ígéretes stratégia a biztosítótársaságok bevonása az ügyfélkockázatok fedezésére. A biztosítókat érdekelni fogja a felhőalapú szolgáltató biztonsági rendszerének átfogó értékelése, és független auditorként és garanciavállalóként léphetnek fel a két fél között.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.