Riesgos de seguridad específicos en el entorno de nube híbrida
Las empresas que trabajan en entornos cloud híbridos deben considerar muchos tipos de riesgos para la seguridad y consideraciones de gobierno. La comprensión de la seguridad es un blanco móvil. La educación es clave para asegurar que todos en la organización entiende sus funciones y responsabilidades de seguridad.
Riesgos para la seguridad del sistema informático
Según el Instituto Nacional de Estándares y Tecnología (NIST), un cuerpo de estándares del gobierno, los sistemas informáticos están sujetos a muchas amenazas, que van desde la pérdida de datos a la pérdida de un centro de computación en toda causa de incendio o desastre natural. Estas pérdidas pueden provenir de empleados de confianza o de los hackers.
NIST divide estos riesgos en las siguientes categorías:
Errores y omisiones, incluyendo errores de datos o errores de programación
El fraude y el robo
Sabotaje Empleado
La pérdida de apoyo a la infraestructura física
Los hackers
Código malicioso
Las amenazas a la privacidad personal individual
Los riesgos de seguridad de nube híbrida
Muchos de los mismos riesgos de seguridad que enfrentan las empresas cuando se trata de sus propios sistemas informáticos se encuentran en la nube, pero hay algunos giros importantes. El Cloud Security Alliance (CSA), una organización dedicada a asegurar las mejores prácticas de seguridad en la nube, señaló en su reciente publicación, " Orientación de seguridad para áreas críticas de Focus en Cloud Computing, " que las áreas significativas de riesgo de seguridad operacional en la nube son las siguientes:
La seguridad tradicional: Un entorno de nube híbrida cambia la seguridad tradicional, porque ya no estás totalmente en control. Algunos de los activos informáticos que está utilizando no son de sus instalaciones. Ahora usted debe asegurarse de que las fuertes medidas de seguridad tradicionales están siendo seguidos por el proveedor de la nube.
Seguridad física cubre la seguridad de los equipos informáticos, los activos de red y la infraestructura de telecomunicaciones. CSA recomienda tanto " activa y pasiva " defensas para la seguridad física.
La seguridad de los recursos humanos aborda el lado humano de la ecuación - asegurando la verificación de antecedentes, la confidencialidad y la segregación de funciones (es decir, aquellos que desarrollan aplicaciones no funcionan ellos).
Continuidad del negocio planes deben ser parte de cualquier acuerdo de nivel de servicio para asegurarse de que el proveedor cumpla con su acuerdo de nivel de servicio para la operación continua con usted.
Recuperación de desastres planes deben asegurarse de que sus activos (por ejemplo, datos y aplicaciones) están protegidos.
El manejo de incidentes: Un entorno de nube híbrida cambia manejo de incidentes en al menos dos maneras. En primer lugar, mientras que usted puede tener control sobre su propio centro de datos, si se produce un incidente, usted tendrá que trabajar con su proveedor de servicios debido a que los controles de proveedores de servicios, al menos, parte de la infraestructura.
En segundo lugar, la naturaleza multi-inquilino de la nube a menudo hace que la investigación de un incidente más complicado. Por ejemplo, ya que la información puede ser mezclados, análisis de registros puede ser difícil, ya que el proveedor de servicios está tratando de mantener la privacidad. Usted necesita saber cómo su proveedor de servicio define un incidente y asegúrese de que puede negociar la forma en que vamos a trabajar con el proveedor para asegurarse de que todo el mundo está satisfecho.
La seguridad de la aplicación: Cuando una aplicación está en la nube, ha expuesto a todo tipo de amenaza de seguridad. El CSA divide la seguridad de aplicaciones en diferentes áreas, incluyendo asegurar el ciclo de vida de desarrollo de software en la autentificación cloud-, autorización y gestión de identidades CUMPLIMIENTO.-, gestión de solicitud de autorización, supervisión de aplicaciones, pruebas de penetración de aplicaciones y gestión de riesgos.
Cifrado y gestión de claves: El cifrado de datos se refiere a un conjunto de algoritmos que puede transformar el texto en un formulario llamado texto cifrado, que es una forma encriptada de texto sin formato que terceros no autorizados no puedan leer. El destinatario de un mensaje cifrado utiliza una clave que activa el algoritmo para descifrar los datos y proporcionar en su estado original al usuario autorizado. Por lo tanto, puede cifrar los datos y asegurarse de que sólo el destinatario puede descifrarlo.
En la nube pública, algunas organizaciones pueden tener la tentación de cifrar toda su información porque están preocupados por su movimiento a la nube y qué tan seguro es una vez que está en la nube. Recientemente, los expertos en el campo han comenzado a considerar otras medidas de seguridad, además de cifrado que se pueden utilizar en la nube.
Identidad y acceso a la administración: Gestión de identidad es un tema muy amplio que se aplica a muchas áreas del centro de datos. El objetivo de la gestión de la identidad es el control de acceso a los recursos informáticos, aplicaciones, datos y servicios.
Gestión de la identidad cambia de manera significativa en la nube. En un centro de datos tradicional, podría utilizar un servicio de directorio para la autenticación y luego desplegar la aplicación en una zona segura de cortafuegos. La nube menudo requiere múltiples formas de identidad para asegurar que el acceso a los recursos es seguro.
Con el uso creciente de la computación en nube, tecnología inalámbrica y dispositivos móviles, que ya no tienen límites bien definidos con respecto a lo que es interno y lo externo a sus sistemas. Usted debe evaluar si existen agujeros o servidores a través de vulnerabilidades, de red, componentes de la infraestructura, y los puntos finales, y luego monitorear continuamente. En otras palabras, tiene que ser capaz de confiar en su propia infraestructura, así como la infraestructura de un proveedor de la nube.