7号彩票_7号彩票代理_7号彩票平台-注册登录

主页 > 7号彩票 >

快速导航

新闻资讯

7号彩票

企业安全漏洞[云风险评估]:使用框架和标准

文字:[大][中][小] 2019-05-11  浏览次数:

 随着公司继续更快地迁移到云,您可能自然会认为安全和合规团队将对他们使用的云服务提供商和云服务进行深入的风险评估。可悲的是,事实并非如此。

Tenable Network Security最近发布的“2017年全球网络安全保障报告卡”发现,云风险评估被认为是全球最大的企业安全漏洞之一。该报告显示,60%的受访者有能力进行云风险评估,但这一数字自去年以来有所下降。此外,许多人对其风险评估功能以及容器化和DevOps环境没有信心,这两者在当今企业的许多云部署方案中都发挥着关键作用。

许多公司为风险评估工作的原因有几个。首先,云部署中涉及的一些技术相对较新并且发展相对较快,导致在大多数情况下无法确定特定的安全控制和风险参数。此外,云提供商不断更新和更改其环境和服务产品,使风险评估保证成为移动目标。再加上合规性和监管环境的变化,实施以云为中心的风险评估将更加艰巨。

云风险评估尚未实施的另一个原因可能是由于云安全技能的缺乏以及更有可能缺乏足够的人力来完成工作。

幸运的是,一些组织正在努力创建和发布云风险评估框架和标准,企业风险团队可以使用这些框架和标准来指导和执行风险分析工作。

欧洲网络和信息安全局(ENISA)发布了一个健全的风险评估框架,可用于识别涉及云的风险。

ENISA发布了两份文件——一个是通用的云信息保障框架,所有组件都需要评估云基础架构的安全性;第二份文件是框架补充指南,提供整体风险评估大纲。 ENISA文档提供了云计算风险的主要类别,包括人员安全,物理安全,操作,应用程序保证等。

帮助组织从安全角度评估云提供商环境的另一个指南是云安全联盟(CSA)共识评估计划调查问卷。本指南涵盖了许多与ENISA相同的领域,但它也符合CSA云控制矩阵,并且比ENISA文档更频繁地更新。

最后一份文件在规划云风险评估时可能很有用,它是“共享评估”中的“云风险”指南,它提供了一些与云风险评估相关的建议,但与ENISA不同。 CSA就是一个框架。

无论哪个框架组织被用作起点——并且审查和使用多个参考和建议将更有利,安全和风险团队需要增强和修改这些指南以满足其独特需求。

此外,这些指南对混合云架构的内部控制的规定较少;相反,他们主要关注云提供商和/或租户内提供的控制。

请务必强调数据安全控制,例如加密和密钥管理,基于角色的访问控制和多因素身份验证,数据生命周期控制和法律请求以及合同中的数据泄露通知。

最重要的是,确保您有一个治理计划,可以帮助您就安全团队和其他业务利益相关者之间的云风险进行有意义的对话。管理人员应该充分了解云部署,对企业的潜在影响以及可用选项的风险。开发一个记录良好且可重复的云风险评估流程是实现这一目标的最佳方式。

相关文章

·国浩科技网络安全扫描系统技术测试
·[精彩活动]第二届中国工业互联网大会
·网友上半年财务报告公布CDN营业收入
·百度捕捉物联网,ABC战略的全面布局
·防止火灾,爆炸,不要让灾难重演