Help net security發佈了一篇組織正在努力應對哪些網路安全控制措施?
本報告旨在介紹雲端資安架構的概念和好處,並分析組織在使用雲端服務時面臨的主要風險和挑戰。報告還提供了一些建議,幫助組織選擇和實施合適的雲端資安控制,以保護其資料和基礎設施。
雲端資安架構的定義和目的
雲端資安架構是一種系統化的方法,用於識別、評估和減輕雲端環境中的資安風險。它提供了一步一步的指導,關於雲端供應鏈中的哪些方應該實施哪些資安控制。
雲端資安架構的目的是幫助組織實現以下目標:
- 確保雲端服務的可用性、完整性和機密性
- 遵守相關的法規和標準
- 提高雲端服務的效率和效益
- 增強雲端服務的信任和信譽
雲端服務的風險和挑戰
雲端服務雖然帶來了許多優勢,如經濟性、可擴展性、靈活性和易用性,但也帶來了一些資安風險和挑戰,主要包括以下幾個方面:
- 雲端服務的擴散:組織可能無法控制和監測其員工使用的雲端服務的數量和類型,導致成本增加、效率降低和資安問題增加。例如,一個平均的員工每天使用約36種雲端服務,而企業約有60%的資料存儲在雲端。
- 雲端服務的控制和所有權:組織在使用雲端服務時,必須將其資料和基礎設施的一部分控制和所有權交給雲端服務提供商(CSP)。不同的雲端模式(如軟體即服務、基礎設施即服務、平台即服務等)會有不同的資安控制分配,因此CSP可能無法滿足組織的所有資安需求。此外,CSP可能對組織的資安用例缺乏深入的了解,進一步增加了合作的障礙。
- 雲端服務的資安責任:許多組織在使用雲端服務時,沒有充分了解和確定資安責任的分配,導致資安漏洞和事故的發生。組織不能忽視、推卸或假設所有的資安控制都由CSP負責,而應該進行自己的盡職調查,根據資安情境選擇合適的控制,否則可能無法正確地處理資安風險。
雲端資安架構的選擇和實施
為了有效地應對雲端服務的資安風險和挑戰,組織應該選擇和實施一個適合其業務需求和目標的雲端資安架構。以下是一些建議:
- 在部署任何新的業務服務或產品之前,要求實施資安控制。這樣可以確保雲端服務在設計和開發階段就考慮到資安因素,避免事後補救的成本和風險。
- 按照每個數位轉型的里程碑,逐步地應用資安控制。這樣可以適應雲端服務的變化和演進,並及時發現和解決資安問題。
- 選擇一個符合國際標準和最佳實踐的雲端資安架構。例如,國際標準化組織(ISO)的ISO/IEC 27017和ISO/IEC 27018,以及美國國家標準技術研究所(NIST)的NIST SP 800-144和NIST SP 800-145等,都提供了有關雲端資安的指導和建議。
- 與CSP建立清晰和透明的合約和協議,明確規定雙方的資安責任和義務。例如,要求CSP提供資安政策和程序的文件,並定期進行資安審計和測試。
- 監測和評估雲端服務的資安狀況和績效,並及時採取改進措施。例如,使用資安儀表板和報告,以及資安事件管理和回應機制,來跟蹤和分析雲端服務的資安風險和事件。
雲端資安架構是一種有效的方法,幫助組織在使用雲端服務時提升其資安防禦能力。組織應該根據自己的業務需求和目標,選擇和實施一個適合的雲端資安架構,並與CSP建立良好的合作關係,共同應對雲端服務的資安風險和挑戰。
詳情請看:
Which cybersecurity controls are organizations struggling with?