云计算和Saas安全的需要一个全面的方法
Richard a .尖顶,CIO,学习国际树
作为前首席信息官,我实现了云计算的好处,杠杆的计算需求通过“基础架构即服务”(IaaS)、平台即服务(PaaS)交付模型和软件即服务(SaaS)应用程序的使用。特别是,基于saas的应用越来越组织可以快速而方便地利用新的应用程序。这是驾驶巨大的增长和创新angellist有11000多个SaaS初创企业在美国上市和IDC预测基于SaaS市场到2019年将超过1120亿美元。
虽然云计算和SaaS的商业模式可以使IT组织能够降低基础设施成本,使更多的灵活性来支持客户,这也增加了在处理复杂性的安全。不仅是IT组织放弃控制(和可见性)的IT基础设施,利用基于saas应用程序的程度,也有第三方存储和控制敏感数据。不久前,保安人员将努力保护组织的周长;今天的新计算和服务模型,必须承认,传统的周边已经不复存在,或者如果一个周长确实存在,它可能包括保护一个数字(也许高达数十?)的第三方云服务和saas应用程序提供者。
使用基于saas应用程序正在迅速成为首选方法为组织提供新功能
我认为SaaS安全的双重挑战。首先,关于使用第三方云服务提供者(包括传统数据中心外包服务),组织需要有信心这些供应商是实施适当的安全控制,应当匹配(或者至少是相似的)他们将实现在他们自己的数据中心和网络。这些控件范围从物理访问人员,包括身份管理系统管理访问和适当的网络加密。许多非营利组织致力于行业标准化这些控件。值得注意的是,云安全联盟(CSA - cloudsecurityallianc.org)开发了云控制矩阵(CCM),专门为云计算安全控制框架。利用CCM, CSA开发了一个审计、认证,为云服务提供商和注册表项目被称为安全、信任和保证注册(明星)。在一个类似的模型中,美国联邦政府已经开发了其FedRAMP项目,云服务提供商的一种方式来满足最低安全控制要求在三个不同的层次定义由NIST 800 - 53年安全控制套件。
然而,即使一个IT安全经理对控制的底层的云服务提供商,关于一个组织的情况下利用SaaS应用程序?在这种情况下,很可能将存储的敏感数据,由第三方控制和利用组织的客户或合作伙伴的方式从未接触的数据组织的网络、防火墙、或任何其他安全设备或过程控制的组织。CIO或CISO,这种情况给了一个重要问题,随着SaaS应用程序可以留下一个小的可见性和控制对应用程序和数据的安全。因此第二个挑战是如何扩展组织的安全政策和控制公共云,SaaS应用程序。
这一挑战引发了所谓的云访问安全代理(CASBs),产品作为安全实施点本地或坐在云端和逻辑之间存在组织和云服务提供商提供的一系列服务,包括身份验证和授权、设备配置、应用白名单、加密、报警,恶意软件检测,等。一些CASB市场的主要供应商包括Bitglass, Forcepoint Cloudlock /思科和极高的网络。CASB解决方案的使用正在迅速发展,Gartner的报告,到2020年,85%的大型组织将使用CASB解决方案,从2015年的不到5%。
从积极的一面来看,CASB供应商有明显的功能和市场填补这一空白。前首席信息官,然而,我有一个疲惫的观点解决企业IT安全挑战通过继续添加工具然后工作内部整合。我很少见到这种策略很好地工作。这样我已经成为支持者认为,最好的方法来解决企业IT安全挑战是使用的IT安全平台提供的功能来帮助防止,并在必要的时候,发现违反的企业。在这个市场,帕洛阿尔托网络,思科和检查软件提供集成平台解决方案(披露:我是一个成员的帕洛阿尔托网络公共部门咨询委员会)。
作为一个例子的价值平台,帕洛阿尔托网络最近延长了对云解决方案的平台功能和SaaS应用程序。尤其引人注意(和操作上吸引人的)是,我可以设置我的安全控制类型的数据(例如,定制控件根据数据的敏感性),和帕洛阿尔托网络技术使我在其平台执行这些政策,不管这个数据驻留在自己的数据中心,一个外包数据中心,或在公共云SaaS应用程序。188金宝搏地址这极大地简化了整个企业安全策略的管理和预防提供了先进的威胁。此外,越来越多的利用被攻击者的目的是通过恶意软件感染用户通过基于SaaS应用程序,因为对手知道大多数组织没有监控那些SaaS应用程序相同的能力他们internally-based应用程序的方式。这些平台的一个关键组件是能够带来威胁检测和预防能力,IT基础设施和应用程序的所有方面,包括那些居住在云端。
使用基于saas应用程序正在迅速成为首选方法为组织提供新功能。来自业务用户的需求,因此,IT组织必须接受和继续扩张计划的数量和使用SaaS。因此,IT组织需要开发一个全面的方法应对安全挑战,依靠第三方计算和应用程序,即使用户和数据可能永远不会遍历组织的网络或数据中心。
