作为越来越多的企业利用云对关键业务应用他们发现,最大的挑战之一是将现有的内部控制与云保护措施结合起来。高度管制的企业和政府组织尤其必须保持全面安全以及这些混合系统的顺从姿态。足球竞猜app软件探讨了深入的问题:
- Shawn Kingsberry, CIO恢复问责制和透明度局
- Craig Sutherland,首席建筑师和工程师,首席助理,博思艾伦
- 迈克·罗斯曼,总裁,Securosis
- Ken Ammon,首席战略官,Xceedium
信贷:斯蒂芬·萨奥尔
NW:让我们先从一个基本问题。当公司正在建设混合云,谁负责,当涉及到安全性呢?什么是痛点作为公司努力解决这个问题?
阿蒙:我认为你最终会得到一个共享安全模式。云服务提供商是提供许多安全功能这是不需要花钱的,是随服务而来的,利用这些功能最符合你的利益。但是您需要定义您的遵从性需求,如果您不能获得必要的覆盖,您可以添加您自己的覆盖安全架构。
[ 外表:云安全成为2013年最具颠覆性的技术
分析:越来越有信心在云安全]
我们面临的挑战,当然是你必须弄清楚如何文书的能力,以及如何管理它。当然,这是有道理的做到这一点的企业级的基础上,这样就意味着开发将跨越X + N的云服务提供商,这将满足您的策略和事件响应需求的架构,使您可以访问您所需要的审计数据,并简化你的政策的实施跨越了可能是云服务提供商自身内部的嵌入式安全服务。
罗斯曼:很多人都认为在云中有东西是一样有它在本地,除非你不看2020欧洲杯预赛。他们会想,“我有远程数据中心,这很好。2020欧洲杯预赛我能够管理我的东西,得到我需要的数据。”But at some point these folks are in for a rude awakening in terms of what the true impact of not having control over layer four and down is going to mean in terms of lack of visibility.
所以我认为人们会想,“嘿,这更便宜,但基本上是一样的。”And they don't take the steps to build a program office and really work through the little details of jurisdiction and incident response and the compliance impact, of not having control over what could be pretty sensitive and critical data.
SUTHERLAND:在决定谁负责控制时,决策需要考虑服务交付和部署模型。的云安全联盟在这个领域提供了一些很好的指导,NIST云计算安全工作组正在扩展这些模型。最终,这些责任需要在采购过程中通过合同来分配,如果云供应商可以在没有警告的情况下修改协议(有时会发生这种情况),单靠服务水平协议是不够的。
但是回到最初关于混合云中的安全难点的问题,我要补充一点,有时当您正在研究新的参考架构并为云开发新的模型时,一些企业团队可能会默认将遗留解决方案强加到云环境中,不管它是否存在混合动力或者纯粹是公开的。
虽然每个人都希望使用自己熟悉的解决方案,但有时这些控件并不适合云。此外,您需要在适当的抽象级别上考虑控制,并在控制真正要解决或减轻的风险的上下文中考虑和构建它。因此,这意味着理解云中的新事物和不同之处,并实现适合云的控制,并充分实现云的好处。
NW:所以我的第一个愿望是将我所有的遗留控制扩展到这个新环境中,但是,听起来,我总是必须为云支持这些控制。
SUTHERLAND:在这个成本敏感的环境中,你需要开始重新使用现有的基础设施,并有大量的可重复使用。问题是,只是知道的细微差别和某些工具的限制。
AMMON:让我们忽略云提供商在客户可见性之下所使用的安全控制。,从hypervisor到混凝土板。剩下的安全工具有三类:1)云中提供的工具,比如火墙和VPN;2)现有哪些操作在云环境内没有什么不同企业的安全工具;3)其他安全必要的工具来管理云提供的独特的环境。以下是云安全工具的新要求两个例子:其一,由于云计算的弹性性质,这些工具必须适应自动缩放架构,并能够自动发现新的系统和应用策略。其次是全能的出现带来的挑战云API层。在API层中,用户正在实现自动配置的实践……基本上是机器制造机器。这需要一种新的安全范型来管理审计和控制自动的机器对机器特权访问的独特挑战。这当然需要新的特定于云的安全技术。
当你谈论的时候有什么不同吗SaaS特别是?你只需要花费他们给你什么呢?
ROTHMAN:我们看到许多SaaS玩家在身份识别领域有所开放。因此,不必管理所有这些不同的权威资源和用户列表,您可以通过神奇的联邦(一些供应商支持诸如此类的标准)绕过它SAML提供具体的断言和集成),所以你不必使用SaaS的球员的身份模型。
但是,当你开始对具体的控制和管理思维的访问,大部分的东西发生在SaaS供应商的支持范围内。所以没有很大的灵活性。Salesforce的是一个公司,允许客户使用辅助技术来加密一些您在自己的环境下存放在外地一级的数据。他们收购了一家名为纳瓦霍人也许两三年前就提供该功能。
但就谁该为什么负责这一连续性而言基础设施即服务甚至平台即服务在SaaS中,几乎所有发生在安全方面的事情都是由客户负责的,而在SaaS中,服务提供商或云提供商实际上承担了所有的控制设置、审计和所有这些事情的责任。
SUTHERLAND:即使在基础设施提供商的情况下,云供应商的控制也为任何遵从性解决方案提供了基础,共享责任模型涉及在云服务或管理层之上选择适当的控制,以便与适当的用户级控制相结合特权身份管理或者只是基于主机和端点控制。因此,这可能涉及集成供应商的组件,以解决任何的从安全或隐私或操作风险,监管和法律要求的合规性目标。
NW:云服务提供商,无论是SaaS还是IaaS供应商,是否希望买方尽可能多地控制安全环境?
萨瑟兰:这最终是消费者的责任。但是,如果从SaaS过渡到作为服务的平台到基础设施,消费者将承担更多的责任。有了额外的灵活性,您还可以为实现的安全控制承担更多的责任。但是,要开发一个完全兼容或低风险的解决方案,除了您自己在服务层上的控制之外,还需要实现用户实体控制(一些云提供商称之为用户实体控制)。
KINGSBERRY:我们最近就云计算安全问题采访了大约30位行业和联邦政府的领导人,并建立了我们的云中心来解决每一个安全问题。我们把邮件和协作迁移到微软365作为第一政府云计算市场客户,并并行地将其他关键基础设施组件迁移到Amazon。所有NetFlow流经我们恢复问责制和透明度委员会(RATB)云集线器内部部署,甚至微软365 Web邮件,如果您使用Microsoft 365向它发送回来通过我们在合规方面云集线器堆栈电子邮件意义。我们有我们的堆栈像Xceedium帮助我们管理Microsoft 365和亚马逊之间的访问控制范围内的能力。
因此,在本质上,我们有知名度的软件之间的相同级别的服务和基础设施即服务。这是一个共同的责任,但我有审计和合规性。没有社会安全号码,例如,会因为它可以让顺道离开我们的组织Proofpoint的。一切都要通过我们的NetWitness基础设施和McAfee的数据丢失预防。我们将RATB云中心分为六个关键服务:1)治理2)保护3)访问控制4)监控5)系统管理6)故障转移。每个类别都有在RATB云服务交付中扮演关键角色的组件。Proofpoint、RSA NetWitness和McAfee数据丢失预防管理器只是构成我们云中心栈的几个组件。现在我们可以把工作负载放在任何地方,这无关紧要。
问:你们的联邦客户普遍要求你们承担更多的责任吗?
KINGSBERRY:如果你看看联邦数据中心整合计划,大约70%的联邦数据中心2020欧洲杯预赛已经外包出去了。因此,联邦cio已经将数据中心作为一种服务交付。2020欧洲杯预赛从联邦政府的立场来看,一切都与数据有关。数据的分类定义了所需的安全控制级别(如FISMA低、中、高)。我认为联邦政府已经没有必要问这样的问题了:“我能利用云服务获得同样级别的信息保障吗?”联邦政府明白你可以。保护联邦数据是联邦机构和提供商之间的共同责任。各机构的角色和职责将有所不同,因为FISMA管理风险,而且每个机构对风险的看法也不同。
NW:作为萨瑟兰前面提到的,很多这已烤成的合同条款。有没有最佳实践,针对如何?
罗斯曼:很多与你有多少杠杆与供应商来做。有了上面两个或三个公共云提供商,还有的不会是一个很大的谈判。除非你有机构的整体混乱伴随着你的到来,如[Kingsberry的]的情况下,你只是一个数字来这些家伙。当你处理更小,更饿了云供应商,这也适用于SaaS的为好,那么你就必须要解决一些合同变量的能力。
因此,它是理解的协议指定的内容,了解谁去负责什么的问题。但我还没有看到很多人的过于成功获得更好的条件或谈判特别优惠或做任何那样的东西,因为,记住,云和是一个云提供商是所有关于杠杆。所以,如果你已经有了一个不同的交易为您的每一位客户有没有办法真正杠杆作用。
这是一个了解你能做什么,他们会做什么,看着它从威胁建模的角度来看,我们知道我们不能够修改合同,任何伟大的交易,我们的风险在哪里,和我们需要做些什么来解决或缓解这些风险时做出的决定?
KINGSBERRY:当我们去亚马逊的时候,我们谈判了好几个月。我们真的让我们的法律总顾问直接和亚马逊谈,他们必须修改他们的条款,否则我们不会迁移。微软。实际上,我们修改了整个协议。就在我们同意所有这些改变的时候,微软GovCloud发布了。他们从我们那里了解到联邦政府需要什么,然后这些条款和条件就被整合到了我们今天知道的GovCloud中。如果他们不排除我们的数据可能在第三世界国家出现的可能性,政府是不会介入的。
NW:所以仍然有很多学习怎么回事,两岸人民必须适应的。
罗斯曼:这真是初期,当你想到的是,我们还没有通过诉讼和先例的周期,这可能需要几年的时间。在此之前,这一切的东西是相当的学术。
NW:云安全工具本身的成熟度如何?他们在他们应该在的地方吗?