在云計算領域IT安全是一個吃力不討好的任務。只有當IT安全無法保障的時候,別人才會注意到它。為了. . .
在云計算領域IT安全是一個吃力不討好的任務。只有當IT安全無法保障的時候,別人才會注意到它。為了在虛擬化,智能手機,云計算領域也做好此工作,你必須避免技術和政治錯誤。以下是本文介紹的5個應該竭力避免的安全錯誤:
云計算領域應避免的安全錯誤:1.認為公司的業務心態與五年前一致。
事實并非如此。隨著公司允許雇員在上班時使用個人移動設備,并且將傳統的計算資源和程序推放至云計算上(有時是在你不知情的情況下),你的力量和影響力正逐步被削減。你必須主動將合理的安全做法應用到快速發展的技術選擇上(有時選擇還是被非IT部門做出)。這聽起來是“不可能的任務”,但你必須這樣做。這可能需要制定新的IT政策指導以規避風險因素,因此這里不能有任何錯誤假設。
云計算領域應避免的安全錯誤:2.不能與IT與上層經理建立融洽工作關系。
IT安全部門相對IT其他部門通常較小。IT安全依賴于IT職員完成基本的安全工作。安全專業人士可能擁有精通的專業知識,擁有諸如CISSP等許多證書。但這并不代表他們能得到其他人的欣賞或喜歡。尤其安全人員經常是對其他人的項目說不的人士。
而且,不要認為權力結構總是讓信息主管作為最高決策者:CIO作為IT項目的指揮官的傳統角色正有著基本轉變,而首席財務官在IT項目上有著越來越多的最終發言權。一些證據表明CFO甚至不喜歡IT部門。CFO關于安全的見解可能只是像一般人的法律觀念--“遵從”.然而,安全專業人士的工作必須是交流,交流,再交流。
云計算領域應避免的安全錯誤:3.不明白虛擬化已經破壞每個人的安全基礎。
公司正逐步實現80%的服務器基礎結構虛擬化,而且桌面虛擬化項目也在日益增多。但是安全仍然滯后,許多人仍然錯誤假設其開始結束于交換機虛擬網(VLANs)。事實上,虛擬化架構正在通過開放可以利用的路徑改變一切。正如之前在IT行業已經發生數次的:盡管人們并沒有足夠重視安全方面的影響,突破性的技術也已可用。
一些傳統的安全產品,比如殺毒軟件,通常不能在虛擬機上良好地運行。物理設備也可能會有一些盲點。現在,專用于虛擬環境的安全產品最終被放到市場--而安全專業人士也要弄清是否真正需要使用這些安全產品,同時還要跟上不斷變化的廠商安全計劃,比如VMware,微軟,思杰。在最終提升安全水平特別是在災難恢復方面,虛擬化潛力巨大。
云計算領域應避免的安全錯誤:4.未充分應對可能的數據泄漏。
一旦敏感數據被盜竊或者被無意泄露,這將會成為一個噩夢。除了技術檢測和技術修復以外,我們必須遵守數據泄漏的相關法規。但是究竟是哪一部法律呢?在美國,幾乎每個州都有自己的數據泄密法,還有諸如高新技術法的聯邦法案,這些法律會影響某些行業(比如醫療行業)。一旦數據泄漏,這就會成為重大事件,而且調查將花費巨大:這要求IT安全經理,IT部門,法律部門,人力資源部,公共事務部等部門的協同合作。公司應該為最壞的情況做好準備,并且在內部進行數據泄漏操練。
云計算領域應避免的安全錯誤:5.滿足于現有的IT安全廠商。
與IT及安全廠商結為親密的合作伙伴相當必要。但是在任何廠商關系中都存在的風險是:忘記用批判的眼光看待產品及服務,尤其是在與競爭對手相比估量其自身所有之時;或者是在尋求方法解決認證,授權,脆弱性評估和惡意軟件保護等基本問題之時。許多廠商正力圖轉變傳統的安全控制至虛擬化和云計算的領域。在某種意義上,現在形勢有些混亂,因為IT行業正經歷一次徹底改造。但是,那只是意味著我們需要更加大力地推進IT安全以使公司獲得其現有與將來所需。
(來源:論壇)
