企业邮箱云安全挑战
为了安全地使用公有云、私有云、混合云等丰富多样的数字化服务,越来越多的企业需要满足不断增多的各种安全要求。企业要满足这些需求,必须首先意识到云安全方面的三大挑战:保护多租户环境下的信息,虚拟化和私有云安全,以及SaaS可视化和控制。这三大挑战将为企业的云安全建设提供实用的分类方法。
评估和控制多租户环境下的安全和合规风险
安全管理人员关注公有云的相关安全问题。缺乏持续性的合规和风险的评估以及安全过程,使得一些敏感的场景无法迁移到公有云。
使用多租户的云服务并不直接导致安全问题,跟云厂商采取的安全措施有关,对云厂商的形成强大的挑战。持续的对云厂商进行风险监控还需要一段路。
安全管理人员甚至所有IT人员都关注公有云厂商是否安全。实际上,没有直接证据证明公有云厂商自身安全不到位会对用户造成重大影响。然而,如何评估公有云厂商安全性以及监管机构对公有云的接受度仍然值得探讨。公有云厂商缺乏透明度,合规状态不明确,风险评估和安全过程不成熟,使得一些敏感场景无法迁移到公有云。
对于企业而言,使用多租户的云服务并不会直接导致安全问题,还得看云厂商采取哪些安全措施。综合评估云厂商提供的服务和安全性,持续对云厂商进行风险监控,能够让企业在享受优质云服务的同时做到安全、合规。不过,市场对云厂商的评估和持续监控还没有形成优质实践。
使用CWPP和微隔离等新技术保护虚拟环境下的工作负载
对硬件资源的虚拟化催生了新的安全技术,比如工作负载安全。工作负载指的是服务器、虚拟机和容器等系统核心业务的载体。云服务商的安全措施在某种意义来说比自建IDC机房的安全措施更好,但这并不意味着把工作负载从本地迁移到公有云上就能自动获得安全保障。实际上,云服务使用者应该利用好云厂商的安全特点和优势,由此产生效果也会更好。比如,利用好云厂商的安全自动化,能够大幅减少配置错误、管理错误、补丁缺失、人工操作失误等造成安全漏洞数量,从而大大提高云的安全特性。云工作负载保护平台(CWPP, cloud workload protection platform)和微隔离等新的技术能够在保证各种云环境下的安全,越来越受到国内外组织重视。
明确SaaS**环境下的数据保护和行为监控
从当前企业支出来看,SaaS是比IaaS更重要的计算领域。由企业的哪个角色来负责SaaS治理尚无定论,对SaaS“所有权”的监管有所缺失,都影响了SaaS应用领域的推广。
对此,有些企业专门制定了SaaS评估、使用和部门职责的相关规定,也有些专家、架构师组成专门部门来管理SaaS应用。这些都是比较好的实践,能够帮助企业更好、更快做出关于SaaS使用的决策。
另一方面,安全团队在保护数据和监控行为时,要使用比SaaS厂商提供的控制机制更高级的技术手段。有数据显示,在10,000个使用的SaaS应用中,诸如身份治理和管理(IGA, identity governance and administration)和CASB等单点控制技术变得越来越重要。使用第三方产品来集中有效管理安全策略、权限和行为,也越来越被各种规模的企业所重视。
