云计算和SaaS安全需要全面的方法

作者: Richard A. Spires 2020-11-06 10:29:10

曾任美国国土安全部和美国国税局首席信息官,现任Learning Tree International公司首席执行官的Richard A.Spires对云计算技术和SaaS安全进行了分析和阐述。

他表示,采用云计算有很多好处,既有通过基础设施即服务(IaaS)和平台即服务(PaaS)交付模型实现按需计算的优势,也包括使用软件即服务(SaaS)应用程序的好处。特别是,基于SaaS的应用程序正日益成为企业快速便捷地采用新应用程序的方式。这推动了巨大的市场增长,而在美国上市的SaaS初创企业如今有11000家以上,而根据调研机构IDC公司的分析,到2019年,全球基于SaaS的市场规模超过1120亿美元。

IT组织需要开发一种全面的方法来解决依赖第三方计算和应用程序带来的安全挑战

尽管云计算和SaaS业务模型可以使IT组织降低基础设施成本并提高支持客户的敏捷性,但同时也增加了处理IT安全性的复杂性。IT组织不仅在某种程度上放弃了对某些IT基础设施的控制和可视性,在某种程度上利用了基于SaaS的应用程序,而且还让第三方存储和控制敏感数据。不久前,IT安全人员还致力于保护组织的IT外围环境。随着出现新的计算和服务模型,人们不得不承认传统的外围设备已经不复存在。

A.Spires认为,SaaS安全性是双重挑战。首先,对于第三方云计算服务提供商的使用(包括更传统的外包数据中心服务),组织需要对这些提供商正在实施适当的安全控制措施具有信心,这些控制应该与(或至少类似)他们将在其自己的数据中心和网络中实施的内容相匹配。这些控制范围从人员的物理访问到包括系统管理访问的身份管理和适当的网络加密。一些非营利组织一直在努力使这一行业的控制标准化。

值得注意的是,云安全联盟(CSA)已经开发了云计算控制矩阵(CCM),这是一个专门为云计算设计的安全控制框架。利用云计算控制矩阵(CCM),云安全联盟(CSA)为云计算服务提供商开发了一个审计、认证和注册程序,称之为安全、信任和保证注册(STAR)。美国联邦政府也开发了类似的模型FedRAMP,这是一种云计算服务提供商满足NIST 800-53安全控制套件定义的三个不同级别的最低安全控制要求的方法。

但是,即使IT安全主管对底层云计算服务提供商的控制套件具有信心,那么对于使用SaaS应用程序的组织又将如何呢?在这种情况下,敏感数据很可能将由第三方存储和控制,并由组织的客户或合作伙伴使用,从而使数据永远不会与组织的网络、防火墙或任何其他安全设备或过程控制接触。这对于首席信息官或首席信息安全官(CISO)来说,这种情况令人担忧,因为SaaS应用程序对应用程序及其数据的安全性几乎没有可见性和控制力。因此,第二个挑战是如何将组织的安全策略和控制扩展到公共云和SaaS应用程序。

这一挑战已经产生了所谓的云访问安全代理(CASB),这些产品充当位于企业内部或云中的安全实施点,并且在逻辑上存在于组织和云计算服务提供商之间以提供一系列服务包括身份认证和授权、设备配置文件、应用程序白名单、加密、警报、恶意软件检测等。CASB市场中的一些行业领先供应商包括Bitglass、Forcepoint、Cloudlock /Cisco和Skyhigh Networks。CASB解决方案的使用正在快速增长,根据调研机构Gartner公司的调查报告,到2020年,将有85%的大型组织使用CASB解决方案,而2015年这一比例还不到5%。

从积极的方面来看,CASB供应商具有强大的功能,正在填补市场空白。但是A.Spires表示,他对如何通过继续添加工具,然后在内部进行集成以解决企业IT安全性挑战感到困惑。他很少看到这种策略能很好地实施。因此支持以下观点:应对企业IT安全挑战的最佳方法是使用IT安全平台,该平台可提供一系列功能来帮助企业发现漏洞。在这个市场上,Palo Alto Networks、思科和Check Point Software公司提供了集成的平台解决方案。

作为平台价值的一个示例,Palo Alto Networks公司最近将其平台功能扩展到了云计算 解决方案和SaaS应用程序中。尤其吸引人(并且在操作上很有吸引力)的是,组织可以为一种数据类型设置安全控制(例如根据数据的敏感性来定制控制),而Palo Alto Networks公司的技术使用户能够在其整个平台上实施这些策略。无论其数据驻留在用户自己的数据中心,外包数据中心还是公共云中的SaaS应用程序中。这极大地简化了其组织中安全策略的管理,并提供了高级威胁防护。

此外,网络攻击者使用的越来越多的利用之一旨在通过基于SaaS的应用程序通过恶意软件感染用户,因为网络攻击者知道大多数组织都无法像使用内部基于应用程序的方式来监视这些SaaS应用程序。这些平台的关键组成部分包括能够将威胁检测和防御功能引入IT基础设施和应用程序的各个方面,包括那些驻留在云中的应用程序。

基于SaaS的应用程序的使用正成为组织快速交付新功能的首选方法。其需求来自业务用户,因此IT组织必须接受并规划SaaS的数量和用途的持续扩展。因此,即使用户数据不会在组织的网络或数据中心处理或存储,IT组织也需要开发一种全面的方法来应对依赖于第三方计算和应用程序带来的安全挑战。

云计算 SaaS安全 云安全
上一篇:在启动人工智能项目之前要问的4个关键问题 下一篇:自动驾驶汽车深度学习如何应对挑战?
评论
取消
暂无评论,快去成为第一个评论的人吧

更多资讯推荐

5种云计算所需的机器学习技能

为了成功采用人工智能技术,组织的IT团队需要开发一些机器学习技能,并了解如何将这些转化为主要云平台所需的技能。

Dan Sullivan ·  2020-11-10 10:41:07
这里有你需要的5个机器学习必备技能

机器学习,听起来很酷。这名字不禁令人以为是一排机器人坐着学习知识的样子,但其实是让机器人拥有像人一样的学习能力的高端技术,这样就能高效快捷地从数据中找出有用的东西。

快快网络 ·  2020-11-02 15:49:35
在云端你需要的5个机器学习技能

下面让我们探索IT专业人员在云端成功利用AI所需的5个机器学习技能,并了解Amazon、微软和谷歌为支持这些技能所提供的产品。

邹铮 ·  2020-11-02 00:27:31
气计算,人工智能高度发达的未来世界

随着现在互联网技术的快速发展,像"云计算"、"雾计算"等互联网技术概念不断涌现。我对下一代人工智能与物联网深入融合到最高阶段的表现做了个描述就是"气计算"。

悟道老生 ·  2020-08-12 09:43:40
AI与云计算的深度融合会带来什么?

从AI几十年的发展光景来看,可以说它是一个厚积薄发、对资源消耗极高的技术。在这种情况下,低成本、高效能地进行开发,就成为企业难以触及之地,而云平台恰恰能够填补这个缺口。

佚名 ·  2020-07-24 22:05:49
为什么AIOps工具最终可以为云计算注入新的活力

AIOps与云计算的未来AIOps在整个IT行业中都具有广阔的应用前景。然而,在许多方面,云计算是AIOps有望提供最大收益的领域之一。这是因为AIOps可以解决云中一些最复杂的挑战-其他技术尚未充分解决的挑战。

佚名 ·  2020-06-23 16:14:37
云计算人工智能的发展显著改善IT安全性

随着数据泄露越来越普遍,IT安全性变得越来越重要。幸运的是,人工智能工具和云计算资源正在提供新的解决方案。

Harris ·  2020-06-01 10:55:45
人工智能如何重新定义云计算技术并提高业务效率

在目前的状态下,人工智能在技术领域被用作流行语,但许多企业仍对软件一无所知。但是,将人工智能和云计算集成在一起将简化流程的实施,使企业能够以其最高性能看到每种解决方案的优势。

Harris ·  2020-05-12 10:42:58
Copyright©2005-2020 51CTO.COM 版权所有 未经许可 请勿转载