CISO給董事會成員的云安全建議

當(dāng)筆者與董事會成員討論有關(guān)云安全事宜的時候，發(fā)現(xiàn)他們可大致分為兩類：一類是顧慮到安全問題反對把企業(yè)數(shù)據(jù)遷移至云平臺的，這類人為數(shù)較少；另一類人為數(shù)較多，他們雖擔(dān)心云安全問題，但已經(jīng)主動或不經(jīng)意地開始使用云服務(wù)。這些人連同他們所在的企業(yè)正在使用Office 365、Salesforce或者AWS等云平臺，這表明他們已經(jīng)決定將數(shù)據(jù)放在云上面。實際上他們在向云遷移的征程中已經(jīng)邁出了第一步，但在決策時沒有將可能面臨的安全風(fēng)險考慮在內(nèi)。

我們暫且不管這些董事屬于何方陣營，我認(rèn)為有一點(diǎn)非常重要，那就是一個企業(yè)的首席信息安全官(CISO)必須要參與到有關(guān)云安全的討論當(dāng)中，只有這樣才能讓企業(yè)高層明白在安全方面不能只做“事后諸葛”，而是要居安思危，未雨綢繆。鑒于此，筆者向各位企業(yè)首席信息安全官提出如下四點(diǎn)建議：在與董事會討論云安全相關(guān)話題時，這些建議需要重點(diǎn)強(qiáng)調(diào)。

云也是一種風(fēng)險

談及云安全的重要性，只有強(qiáng)調(diào)它會給業(yè)務(wù)帶來風(fēng)險時，董事們才更容易有所觸動。各位董事每天都在圍繞風(fēng)險做出決策，云只是所有風(fēng)險里的一種。在每一場有關(guān)云安全的談話中，董事會成員都應(yīng)該先問自己一個問題，而這個問題在任何一場有關(guān)風(fēng)險話題的談話中都有可能會提及，那就是：當(dāng)我們把數(shù)據(jù)部署于云，如何做才能降低這些風(fēng)險帶給企業(yè)的實質(zhì)性影響？

任何一款云應(yīng)用使用的數(shù)據(jù)都有所不同，這需要企業(yè)有針對性地進(jìn)行評估。例如，如果企業(yè)在云上存儲的是面向大眾的營銷資料，資料泄露帶給業(yè)務(wù)的風(fēng)險就不是很高。但另外一方面，如果是某一新品的源代碼庫，那么泄露所帶來的風(fēng)險必定是貽害無窮。

公有云自帶的安全措施遠(yuǎn)遠(yuǎn)不夠

董事們應(yīng)該掌握公有云自身以及如何確保公有云安全的最基本認(rèn)識。幾乎所有云供應(yīng)商都會在其平臺上內(nèi)置某種形式的安全措施。此外，使用者往往都認(rèn)定這些由供應(yīng)商提供的安全措施足夠有效，但事實上卻遠(yuǎn)非如此。在安全方面企業(yè)和公有云供應(yīng)商應(yīng)該有著同等的責(zé)任：平臺基礎(chǔ)設(shè)施的安全應(yīng)該由云供應(yīng)商負(fù)責(zé)，而確保數(shù)據(jù)安全則是企業(yè)的責(zé)任。

現(xiàn)實情況是，云上存儲的數(shù)據(jù)與企業(yè)內(nèi)部存儲的數(shù)據(jù)，在安全性方面毫無差異。因此說，如果你需要部署額外安全措施來保護(hù)那些非云上存儲的數(shù)據(jù)，那對于云上存儲的數(shù)據(jù)就更需要采取措施來進(jìn)行保護(hù)。此外，你所部屬的安全措施要能夠與其他安全架構(gòu)實現(xiàn)完全集成，并以高速自動化的方式進(jìn)行協(xié)作。只有這樣，企業(yè)才有更大的機(jī)會防御網(wǎng)絡(luò)攻擊，保護(hù)數(shù)據(jù)免于外泄。

云安全并不另類

云安全經(jīng)常被看作是“另類”安全，需要另類的方法來處理。每當(dāng)聽到有人如此表述的時候，我一般會問同一個問題給他們：這樣的話，用我們?nèi)ス芾砭W(wǎng)絡(luò)邊緣、數(shù)據(jù)中心和移動設(shè)備安全的方式，來管理云服務(wù)安全，豈不更好？

董事們都應(yīng)支持在企業(yè)內(nèi)實施始終如一的安全措施，這不但可行，而且也是在云、網(wǎng)絡(luò)和端點(diǎn)成功阻截網(wǎng)絡(luò)攻擊的唯一希望。首席信息安全官們知道對多重安全措施和產(chǎn)品進(jìn)行管理和編排會使安全環(huán)境變得復(fù)雜，產(chǎn)生偏差和風(fēng)險的幾率大大增加，同時提高成本。強(qiáng)調(diào)那些風(fēng)險和潛在的花費(fèi)是董事們欣賞并理解的行為，因此也會正確地區(qū)分優(yōu)先次序。

保護(hù)云安全也是防御哲學(xué)中的一部分

在網(wǎng)絡(luò)安全方面，筆者遇到的那些積極的董事都已經(jīng)開始采用防御哲學(xué)來指導(dǎo)工作。這套哲學(xué)的基礎(chǔ)是對網(wǎng)絡(luò)實現(xiàn)一致的可視化和保護(hù)，無論是對數(shù)據(jù)中心、網(wǎng)絡(luò)邊緣、移動設(shè)備亦或是云。在各位首席信息安全官的協(xié)助下，這些董事開始明白：要想阻止悲劇發(fā)生，就應(yīng)該將防御設(shè)定為主要目標(biāo)，并成為在安全方面投資的決策基礎(chǔ)。對于那些希望能夠說服董事會成員的首席信息安全官來說，最重要的是要能夠向其展示一套完整的安全方案是如何實現(xiàn)包括云在內(nèi)的各類安全的，以及最終是如何消除業(yè)務(wù)風(fēng)險、阻截網(wǎng)絡(luò)攻擊的。