Utvikle et sikker hybridmiljø - dummies

En gjennomtenkt tilnærming til sikkerhet kan lykkes i å redusere mange sikkerhetsrisikoer i et hybridmiljømiljø. For å utvikle et sikkert hybridmiljø må du vurdere den nåværende tilstanden til sikkerhetsstrategien din, samt sikkerhetsstrategien som tilbys av skyleverandøren din.

Vurder din nåværende sikkerhetstilstand

I et hybridmiljø starter sikkerheten med å vurdere din nåværende tilstand. Du kan begynne med å svare på et sett med spørsmål som kan hjelpe deg med å danne tilnærming til sikkerhetsstrategien din. Her er noen viktige spørsmål å vurdere:

• Har du nylig vurdert din egen tradisjonelle sikkerhetsinfrastruktur?

• Hvordan styrer du tilgangsrettigheter til applikasjoner og nettverk - både de i bedriften din og de som er utenfor brannmuren din? Hvem har rett til å få tilgang til IT-ressurser? Hvordan sikrer du at bare de riktige identitetene får tilgang til dine applikasjoner og informasjon?

• Kan du identifisere sårbarheter og risikoer for webapplikasjoner og deretter rette eventuelle svakheter?

• Har du mulighet til å spore sikkerhetsrisikoen over tid, slik at du enkelt kan dele oppdatert informasjon med de som trenger det?

• Er servermiljøene dine alltid beskyttet mot eksterne sikkerhetstrusler?

• Hvis du bruker kryptering, beholder du egne taster eller får dem fra en pålitelig og pålitelig leverandør? Bruker du standard algoritmer?

• Kan du overvåke og kvantifisere sikkerhetsrisiko i sanntid?

• Kan du implementere sikkerhetspolitikk konsekvent på tvers av alle typer lokaler og sky arkitekturer?

• Hvordan beskytter du alle dataene dine uansett hvor de er lagret?

• Kan du tilfredsstille revisjon og rapporteringskrav for data i skyen?

• Kan du oppfylle kravene til samsvar med din bransje?

• Hva er ditt program sikkerhetsprogram?

• Hva er dine katastrofe- og gjenopprettingsplaner? Hvordan sikrer du service kontinuitet?

Vurder din skytselgeres sikkerhet

En hybrid cloud-miljø utgjør et spesielt sett med utfordringer når det gjelder sikkerhet og styring. Hybride skyer bruker din egen infrastruktur pluss det som din tjenesteleverandør har. For eksempel kan data lagres på stedet, men behandles i skyen. Dette betyr at din lokale infrastruktur kan være koblet til en mer offentlig sky, som kommer til å påvirke hvilke sikkerhetskontroller du trenger.

Kontroller må være på plass for omkrets sikkerhet, tilgang, dataintegritet, skadelig programvare og lignende - ikke bare på din plassering, men også hos din skyleverandør.Cloud-tjenesteytere har hver sin måte å håndtere sikkerhet på. De kan eller ikke er kompatible med overholdelse og overordnet sikkerhetsplan for organisasjonen din. Det er helt kritisk at firmaet ditt ikke begraver sitt hode i sanden ved å anta at skyveleverandøren har sikkerhet dekket.

Du må verifisere at skyleverandøren din sikrer det samme sikkerhetsnivået du krever internt (eller et overordnet nivå hvis du ønsker å forbedre din overordnede sikkerhetsstrategi). Du må stille mange vanskelige spørsmål for å sikre at selskapets sikkerhets- og styringsstrategi kan integreres med leverandørens.

Her er noen tips som kan komme i gang, og det kan også være nyttig når du vurderer sikkerhetsstrategien din:

• Spør sky-leverandøren hva slags selskaper de betjener. Still også spørsmål om systemarkitektur for å forstå mer om hvordan multi-tenancy håndteres.

• Besøk anlegget uanmeldt for å forstå hvilke fysiske sikkerhetsforanstaltninger som er på plass. Ifølge CSA betyr dette at man går gjennom alle områder, fra mottaket til generasjonsrommet og til og med inspiserer drivstofftankene. Du må også sjekke omkretssikkerhet (for eksempel se hvordan folk får tilgang til bygningen) og om operatøren er forberedt på krise (for eksempel brannslukkere, alarmer og lignende).

• Sjekk hvor skyen leverandøren befinner seg. For eksempel er det i et høyt forbrytelsesområde eller et område som er utsatt for naturkatastrofer som jordskjelv eller flom?

• Hva slags oppdatert dokumentasjon har skyleverandøren på plass? Har det hendelsesplaner? Nødhjelpsplaner? Backup planer? Restaureringsplaner? Bakgrunnskontroller av sikkerhetspersonell og andre ansatte?

• Hvilke sertifiseringer har leverandøren? Har skyens sikkerhetspersonell sertifiseringer som CISSP, CISA og ITIL?

• Finn ut hvor dataene dine blir lagret. Hvis bedriften din har samsvarsregler, må det møtes om data bosatt i utlandet, dette er viktig å vite.

• Finn ut hvem som har tilgang til dine data. Sjekk også for å se hvordan data blir beskyttet.

• Finn ut mer om leverandørens data backup og oppbevaring planer. Du vil ønske å vite om dataene dine kommer i forbindelse med andre data. Hvis du vil ha dataene dine tilbake når du avslutter kontrakten din, kan disse problemene være viktige.

• Hvordan vil leverandøren forhindre deial-of-service-angrep (DoS)?

• Hva slags vedlikeholdskontrakter har leverandøren din på plass for utstyret sitt?

• Overvåker din skyleverandør kontinuerlig sin virksomhet? Kan du ha synlighet i denne overvåkingsevnen?

• Hvordan oppdages hendelser? Hvordan er informasjon logget?

• Hvordan håndteres hendelser? Hva er definisjonen av en hendelse? Hvem er ditt kontaktpunkt hos din tjenesteleverandør? Hva er rollens medlemmer og ansvar?

• Hvordan håndterer leverandøren applikasjonssikkerhet og datasikkerhet?

• Hvilke beregninger overvåker skyleverandøren din for å sikre at applikasjonene forblir sikre?

Gitt viktigheten av sikkerhet i skymiljøet, kan du anta at en stor skytselskapsleverandør vil ha et sett med omfattende servicenivåavtaler for sine kunder. Faktisk er mange av standardavtalen ment å beskytte tjenesteleverandøren - ikke kunden. Så, din bedrift må virkelig forstå kontrakten, samt infrastrukturen, prosessene og sertifiseringene din skyveleverandør har.

Du må klart formulere skyens sikkerhetskrav og styringsstrategi og avgjøre ansvar. Hvis din skyleverandør ikke vil snakke om disse elementene, bør du sannsynligvis vurdere en annen skyleverandør. På den annen side kan sky-leverandøren faktisk ha noen triks opp på ermet som kan forbedre din egen sikkerhet!