摘要:云计算服务提供商也正在重新审视如何保护数据,因为目前的数据泄露事件不会停止脚步。实际上,许多网络安全专家预计2018年将为各类组织的受损信息设置新的记录。为保护数据,云计算服务提供商和用户必须在防止未经授权访问敏感信息方面发挥作用。 |
云计算服务提供商也正在重新审视如何保护数据,因为目前的数据泄露事件不会停止脚步。实际上,许多网络安全专家预计2018年将为各类组织的受损信息设置新的记录。为保护数据,云计算服务提供商和用户必须在防止未经授权访问敏感信息方面发挥作用。
云计算服务提供商需要承担所服务的组织的责任
政府IT领导者应该能够信任他们用来处理敏感数据的软件即服务供应商,而云计算提供商必须通过部署最有效的安全措施来赢得政府用户的信任。这不是一次性的责任,因为黑客正在积极规划和实施新的攻击手段,包括人工智能的武器化,创建勒索软件和测试物联网终端的漏洞。
当今有良好云计算服务提供商提供了先进的入侵和利用检测流程,他们进行例行的第三方扫描并实施其他标准安全功能。但是,一些最具前瞻性的提供商正在超越标准措施并使用诸如“纵深防御”等技术来保护数据。
也被称为“城堡方法”,深度防御部署多种安全机制,因此如果一方防御失败,另一方自动取代它。通过为处理敏感信息的系统部署众多保护层,保护硬件,软件和流程,而不是集中在单一方面,云计算服务提供商可以应用这一原则。纵深防御等综合方法对来自各个方向的威胁都有意义。
政府机构需要了解什么是云计算服务提供商
政府IT专业人士应该能够信任云计算服务提供商,但是在黑客频繁发生的环境中,他们有责任主动确保他们的提供商使用最新的技术和技术来保护数据。云计算服务用户应该寻找特定的SaaS安全功能来应对当前的关键威胁。
多个身份验证选项是云平台上必备的功能,其中包括诸如安全声明标记语言(Security Assertion Markup Language)这样的工具,该安全声明标记语言是一种授权机构管理员控制身份验证的授权协议,无需云计算服务提供商存储用户的密码的另一个必备工具是访问控制,使组织的管理员能够保持职责分离。
与此同时,采用自己的关键解决方案对于那些最严格的安全和法规遵从需求的机构来说可能是一个不错的选择。借助BYOK,组织可以管理自己的加密密钥。这意味着他们可以对工作区进行加密和解密,保持对云中数据的唯一访问。在使用BYOK时,所有加密活动的详细审计日志为组织提供了系统完整性的全面验证。
为了确保云计算服务提供商采取必要的防范措施以及敏感数据,政府IT专业人员应确认提供商定期进行第三方渗透测试,并能够提供符合广泛接受标准的证据,例如国际标准化组织或服务组织组织控制。具有这些认证的云计算服务提供商已通过严格的独立审计。
数据安全是双向的
随着终端数量激增和威胁增加,云计算服务提供商和使用云计算服务的组织都必须主动承担保持数据安全的角色。云提供商可以通过持续评估他们的安全状况并确保他们采取的措施为其客户(无论是商业还是政府)提供严格的保护来发挥作用。
负责监管云服务的政府IT专业人员可以通过主动确保其云计算解决方案符合安全标准来保护数据、资产和所服务的社区。而黑客威胁没有止境,但通过了解当前的安全趋势和创新,IT专业人员可以做出正确的决策。
编辑:Harris