Sistem IT berasaskan awan memenuhi fungsi penting dalam hampir setiap industri moden. Syarikat, bukan keuntungan, kerajaan, dan bahkan institusi pendidikan menggunakan awan untuk mengembangkan jangkauan pasaran, menganalisis prestasi, menguruskan sumber manusia dan menawarkan perkhidmatan yang lebih baik. Secara semulajadi, tadbir urus keselamatan awan yang berkesan adalah penting bagi mana-mana entiti yang ingin meraih faedah IT teragih.
Sama seperti setiap domain IT, pengkomputeran awan mempunyai kebimbangan keselamatan yang unik. Walaupun idea untuk memastikan data yang selamat di awan telah lama dianggap sebagai percanggahan yang mustahil, amalan industri yang meluas menunjukkan banyak teknik yang memberikan keselamatan awan yang berkesan. Sebagai penyedia awan komersil seperti Amazon AWS telah menunjukkan dengan mengekalkan pematuhan FedRAMP, keselamatan awan yang berkesan dapat dicapai dan praktikal di dunia nyata.
$config[code] not foundMemetakan Hala Tuju Keselamatan yang Kesan
Tiada projek keselamatan IT boleh berfungsi tanpa pelan yang kukuh. Amalan yang melibatkan awan mesti berbeza mengikut domain dan pelaksanaan yang mereka cuba melindungi.
Contohnya, katakan agensi kerajaan tempatan membawa peranti anda sendiri, atau BYOD, dasar. Ia mungkin perlu membuat kawalan pengawasan yang berbeza daripada jika ia hanya menghalang para pekerjanya daripada mengakses rangkaian organisasi menggunakan telefon pintar peribadi, komputer riba dan tablet mereka. Begitu juga, syarikat yang ingin membuat datanya lebih mudah diakses oleh pengguna yang diberi kuasa dengan menyimpannya di dalam awan mungkin perlu mengambil langkah yang berbeza untuk memantau akses daripada jika ia mengekalkan pangkalan data dan pelayan fizikalnya sendiri.
Ini tidak boleh dikatakan, seperti yang telah disarankan oleh beberapa orang, yang berjaya memastikan keselamatan awan adalah kurang berkemampuan daripada mengekalkan keselamatan pada LAN persendirian. Pengalaman telah menunjukkan bahawa keberkesanan langkah keselamatan awan yang berbeza bergantung pada seberapa baik mereka mematuhi metodologi tertentu yang terbukti. Untuk produk dan perkhidmatan awan yang menggunakan data dan aset kerajaan, amalan terbaik ini ditakrifkan sebagai sebahagian daripada Program Pengurusan Risiko dan Kebenaran Persekutuan, atau FedRAMP.
Apakah Program Pengurusan Risiko dan Kebenaran Persekutuan?
Program Pengurusan Risiko dan Kebenaran Persekutuan adalah proses rasmi yang digunakan agensi-agensi persekutuan untuk menilai keberkesanan perkhidmatan dan produk pengkomputeran awan. Pada dasarnya terdapat standard yang ditakrifkan oleh National Institute for Standards and Technology, atau NIST, dalam pelbagai Penerbitan Khas, atau SP, dan Standard Pemprosesan Maklumat Persekutuan, atau FIPS, dokumen. Piawaian ini memberi tumpuan kepada perlindungan berasaskan awan yang berkesan.
Program ini menyediakan panduan untuk banyak tugas keselamatan awan yang biasa. Ini termasuk kejadian pengendalian yang betul, menggunakan teknik forensik untuk menyiasat pelanggaran, merancang luar jangka untuk mengekalkan ketersediaan sumber dan mengurus risiko. Program ini juga termasuk protokol akreditasi untuk Organisasi Akreditasi Pihak Ketiga, atau 3PAO, yang menilai pelaksanaan awan secara kes demi kes. Mengekalkan pematuhan yang diperakui 3PAO adalah tanda pasti bahawa penyepadu atau penyedia IT bersedia untuk menyimpan maklumat yang selamat di awan.
Amalan Keselamatan Berkesan
Jadi bagaimana syarikat menyimpan data dengan penyedia awan komersial? Walaupun terdapat banyak teknik penting, ada yang sepatutnya disebutkan di sini:
Pengesahan Pembekal
Hubungan kerja yang kuat dibina atas kepercayaan, tetapi niat baik itu harus berasal dari suatu tempat. Tidak kira betapa penyedia awan didirikan, penting bagi pengguna untuk mengesahkan amalan pematuhan dan tadbir urus mereka.
Piawaian keselamatan IT kerajaan biasanya menggabungkan strategi pengauditan dan pemarkahan. Memeriksa prestasi lalu penyedia awan anda adalah cara yang baik untuk mengetahui sama ada mereka layak untuk perniagaan masa depan anda. Individu yang memegang alamat e-mel.gov dan.mil juga boleh mengakses Pakej FedRAMP Keselamatan yang berkaitan dengan pembekal yang berbeza untuk mengesahkan tuntutan pematuhan mereka.
Anggapkan Peranan Proaktif
Walaupun perkhidmatan seperti Amazon AWS dan Microsoft Azure mengakui kepatuhan mereka terhadap standard yang ditetapkan, keselamatan awan komprehensif memerlukan lebih daripada satu pihak. Bergantung kepada pakej perkhidmatan awan yang anda beli, anda mungkin perlu mengarahkan pelaksanaan pembekal anda terhadap beberapa ciri utama tertentu atau menasihati mereka bahawa mereka perlu mengikuti prosedur keselamatan tertentu.
Sebagai contoh, jika anda adalah pengeluar peranti perubatan, undang-undang seperti Akta Kemampuan Portabiliti dan Kebajikan Insurans atau HIPAA, mungkin mandat bahawa anda mengambil langkah tambahan untuk melindungi data kesihatan pengguna. Keperluan ini sering wujud secara bebas daripada apa yang mesti dilakukan oleh pembekal anda untuk memastikan pensijilan Program Pengurusan Risiko dan Kebenaran Persekutuan.
Pada minimum, anda akan bertanggungjawab sepenuhnya untuk mengekalkan amalan keselamatan yang meliputi interaksi organisasi anda dengan sistem awan. Sebagai contoh, anda perlu memulakan dasar kata laluan selamat untuk kakitangan dan pelanggan anda. Menurun bola di akhir anda dapat berkompromi walaupun pelaksanaan awan keamanan yang paling efektif, jadi tanggung jawab sekarang.
Apa yang anda lakukan dengan perkhidmatan awan anda akhirnya memberi kesan kepada keberkesanan ciri keselamatan mereka. Pekerja anda mungkin terlibat dalam bayang-bayang amalan IT, seperti berkongsi dokumen melalui Skype atau Gmail, atas alasan kemudahan, tetapi tindakan-tindakan yang tidak berbahaya ini dapat menghalang pelan perlindungan awan yang telah dirancang dengan teliti. Sebagai tambahan kepada kakitangan latihan bagaimana menggunakan perkhidmatan yang diberi kuasa dengan betul, anda perlu mengajar mereka bagaimana untuk mengelakkan perangkap yang melibatkan aliran data tidak rasmi.
Memahami Syarat Perkhidmatan Awan Anda untuk Kawalan Risiko
Mengehos data anda di awan tidak semestinya memberikan anda elaun yang sama yang anda alami dengan simpanan diri. Sesetengah penyedia menyimpan hak untuk merangkak kandungan anda supaya mereka boleh menyiarkan iklan atau menganalisis penggunaan produk anda. Orang lain mungkin perlu mengakses maklumat anda semasa menyediakan sokongan teknikal.
Dalam sesetengah keadaan, pendedahan data bukan masalah besar. Sekiranya anda berurusan dengan maklumat pengguna atau data pembayaran yang dikenalpasti secara peribadi, bagaimanapun, adalah mudah untuk melihat bagaimana akses pihak ketiga dapat menyebabkan bencana.
Mungkin mustahil untuk menghalang semua akses ke sistem atau pangkalan data jauh. Walau bagaimanapun, bekerja dengan pembekal yang melepaskan rekod audit dan log akses sistem membolehkan anda mengetahui sama ada data anda dikekalkan dengan selamat. Pengetahuan semacam itu jauh ke arah membantu entiti mengurangkan kesan negatif dari sebarang pelanggaran yang berlaku.
Jangan sekali-kali Menganggap Keselamatan adalah Hal Ehwal Satu Kali
Orang yang paling pintar mengubah kata laluan peribadi mereka secara teratur. Bukankah anda sama seperti rajin mengenai keselamatan IT berasaskan awan?
Tidak kira berapa kerap strategi kepatuhan pembekal Anda menetapkan bahawa mereka menjalankan audit diri, Anda perlu menentukan atau mengadopsi set standar Anda sendiri untuk penilaian rutin. Sekiranya anda juga terikat dengan keperluan pematuhan, anda mestilah membuat rejimen yang ketat yang memastikan anda dapat memenuhi kewajipan anda walaupun pembekal awan anda gagal melakukannya secara konsisten.
Mencipta Pelaksanaan Keselamatan Awan yang Bekerja
Keselamatan awan yang berkesan bukanlah sebuah bandar mistik yang terletak selama-lamanya di luar ufuk. Sebagai satu proses yang mantap, jangkauan pengguna dan penyedia perkhidmatan TI yang paling baik tidak kira mana piawaian yang mereka patuhi.
Dengan menyesuaikan amalan yang digariskan dalam artikel ini untuk tujuan anda, mungkin untuk mencapai dan mengekalkan piawaian keselamatan yang memastikan data anda selamat tanpa meningkatkan operasi secara drastik.
Imej: SpinSys
1 Ulasan ▼