摘要：采用多云数据管理模型的企业面临许多法规遵从性挑战，但IT治理策略正在帮助他们保护不同的信息。

    采用多云数据管理模型的企业面临许多法规遵从性挑战，但IT治理策略正在帮助他们保护不同的信息。
　　
　　对于追求多云战略的企业CIO，存在各种各样的治理、风险管理和法规遵从挑战。企业CIO必须简化漏洞管理，与云计算提供商建立共享责任模型，解决GDPR合规性挑战，解决跨云计算使用的微服务问题，及时了解影子IT部署。
　　
　　“企业CIO们越来越多地采用多云数据管理环境，其中不仅包括使用各种云计算服务提供商，还包括公共云和私有云。”网络风险管理服务商Coalfire Systems公司的首席执行官TomMc Andrew说。
　　
　　McAndrew说，采用多云环境有一些驱动因素，其中包括希望避免将组织锁定为与单一供应商的关系或依赖于单一供应商。多云方法还可提高灵活性，使企业能够利用来自不同云计算服务提供商的新服务，当然也可能降低成本。但多云提供的灵活性和成本节约并非没有风险。
　　
　　“这些好处也带来了组织必须平衡和管理的挑战，其中包括与安全、隐私和合规性相关的挑战，”McAndrew说。
　　
　　规范化跨架构的漏洞管理
　　
　　至关重要的是要记住，多云数据管理解决方案很复杂，因此需要特定的云计算安全和治理策略。
　　
　　McAndrew说：“在这些政策的推动下，方法和理解的一致性将降低潜在风险。”
　　
　　例如，企业可以通过规范跨不同体系结构的漏洞管理来最小化漏报。通过这样做，IT组织可以开发更多专业知识，并利用特定于平台的工具（如Amazon Inspector，Azure安全中心和谷歌云安全指挥中心）进行安全管理。
　　
　　这些政策推动的方法和理解的一致性将降低潜在风险。
　　
　　另一个关键挑战是为IT组织和云计算服务提供商或内部私有云团队开发共享责任模型。McAndrew说，从安全性和合规性的角度来看，了解谁负责管理关键控制和安全流程至关重要。
　　
　　根据McAndrew的说法，他经常看到主要关注数据存储位置的IT组织，同时对谁有权访问这些数据不够重视。许多最近与云计算相关的安全事件是由于企业没有完全理解他们的共同责任，因此没有正确配置他们的云计算解决方案。
　　
　　改进风险分类框架
　　
　　最近实施的GDPR和其他法规遵从性挑战提高了人们对用于捕获、记录和交换个人身份信息（PII）信息的系统的认识。当所有系统都驻留在企业的专有数据中心时，跟踪PII数据的内部使用是很困难的。它在混合环境中变得更加复杂，在这种环境中，计算和存储系统可能位于内部部署数据中心和云端，或在这两种环境之间共享。
　　
　　有时很难在云计算环境中控制自动数据复制和备份过程，但必须确保组织已经销毁了敏感信息的所有临时副本。
　　
　　“与大多数组织一样，我们投入了大量精力来通过我们的业务系统映射PII信息流，以准备与GDPR相关的请求，”身份和访问管理服务提供商Okta公司的首席信息官MarkSettle说，“我们还更新了数据保留政策。”
　　
　　Settle建议其他CIO参与GDPR数据分类计划，以进一步明确保护非金融系统的标准，超越已遵守“萨班斯-奥克斯利法案”规定的标准。他们可以通过在风险评级框架中纳入PII标准并将GDPR分类工作扩展到其他风险领域（如知识产权威胁）来实现这一目标。
　　
　　扩大使用第三方微服务进行信用检查，获取账户余额，检查病史和进行背景检查也会引起PII问题。第三方微服务正成为企业与客户建立更频繁和亲密关系的越来越受欢迎的方式。这些服务可以托管在各种私人和公共系统中。
　　
　　“关于微服务的使用，我们需要API级别的身份验证，以及最终用户身份验证，以访问第三方持有的敏感信息，”Settle说。Okta正在完成其中几个的详细API库存。主要系统。
　　
　　另一个好做法是简化跨云计算生态系统的监控。AWS、Azure、谷歌云平台均提供独特的监控和管理功能，但几乎没有机会进行互操作。因此，许多CIO必须聘请具有供应商特定技能的专家来避免每个云平台的法规遵从性挑战，或者他们必须构建或购买并配置相对昂贵的网络安全和合规性工具集，以确保他们对每个独特的环境都有适当的控制。
　　
　　企业云管理服务商Nutanix公司首席信息官WendyPfeiffer表示，该公司去年开始探索不同的选择，因为该公司致力于通过ISO/IEC27001认证和GDPR兼容。
　　
　　“我担心我们无法在保持我们所经历的快速增长的同时，将我们的网络规模运营纳入合规性。”她说。
　　
　　最后，Pfeiffer选择了Nutanix公司自己的PrismPro，并将其与Zenoss集成，从统一的管理控制台管理公司的云计算环境。
　　
　　“无论云平台是什么，在单个操作系统上进行监控和管理，为我们提供了非常自由的运行工作负载，同时确保我们根据政策处理GDPR监管的数据。”Pfeiffer说。这使得Nutanix公司在11个月内可以在整个组织内获得ISO/IEC27001、ISO/IEC27017和ISO/IEC27018认证。
　　
　　为影子IT提供政策和监督
　　
　　云计算服务很容易启动。因此，影子IT继续增长。这会产生严重的合规性和安全威胁，但是使IT策略更加严格以禁止影子IT可能会适得其反。
　　
　　文件管理服务商FileCloud公司的首席运营官Venkat Ramasamy说：“我们已经对谁可以采购和推出新服务实施了组织和技术检查和平衡。”
　　
　　同样重要的是找到提高所有云计算实例和服务的可见性的方法，然后确定需要哪些自动系统和警报来通知安全团队潜在的风险。
　　
　　关键是限制组织内部云的流氓影子IT使用，并最大限度地降低与之相关的风险，但仍然要创建一个环境，使组织能够充分利用多云环境的优势。
　　
　　“政策和监督提供了方向，并为适当的使用设定了基本规则，理想情况下，允许一致的流程，如变更管理和合规管理，”Coalfire的McAndrew说，“云计算是一个强大的工具，它可以像用户做的那样有价值。将会放大其安全状况好坏。如果管理得当，则会改善其业务。”
　　
　　编辑：Harris