Riesgos de seguridad específicos en el entorno de nube híbrida
Las empresas que trabajan en entornos cloud híbridos deben considerar muchos tipos de riesgos para la seguridad y consideraciones de gobierno. La comprensión de la seguridad es un blanco móvil. La educación es clave para asegurar que todos en la organización entiende sus funciones y responsabilidades de seguridad.
Riesgos para la seguridad del sistema informático
Según el Instituto Nacional de Estándares y Tecnología (NIST), un cuerpo de estándares del gobierno, los sistemas informáticos están sujetos a muchas amenazas, que van desde la pérdida de datos a la pérdida de un centro de computación en toda causa de incendio o desastre natural. Estas pérdidas pueden provenir de empleados de confianza o de los hackers.
NIST divide estos riesgos en las siguientes categorías:
Errores y omisiones, incluyendo errores de datos o errores de programación
El fraude y el robo
Sabotaje Empleado
La pérdida de apoyo a la infraestructura física
Los hackers
Código malicioso
Las amenazas a la privacidad personal individual
Los riesgos de seguridad de nube híbrida
Muchos de los mismos riesgos de seguridad que enfrentan las empresas cuando se trata de sus propios sistemas informáticos se encuentran en la nube, pero hay algunos giros importantes. El Cloud Security Alliance (CSA), una organización dedicada a asegurar las mejores prácticas de seguridad en la nube, señaló en su reciente publicación, " Orientación de seguridad para áreas críticas de Focus en Cloud Computing, " que las áreas significativas de riesgo de seguridad operacional en la nube son las siguientes:
La seguridad tradicional: Un entorno de nube híbrida cambia la seguridad tradicional, porque ya no estás totalmente en control. Algunos de los activos informáticos que está utilizando no son de sus instalaciones. Ahora usted debe asegurarse de que las fuertes medidas de seguridad tradicionales están siendo seguidos por el proveedor de la nube.
Seguridad física cubre la seguridad de los equipos informáticos, los activos de red y la infraestructura de telecomunicaciones. CSA recomienda tanto " activa y pasiva " defensas para la seguridad física.
La seguridad de los recursos humanos aborda el lado humano de la ecuación - asegurando la verificación de antecedentes, la confidencialidad y la segregación de funciones (es decir, aquellos que desarrollan aplicaciones no funcionan ellos).
Continuidad del negocio planes deben ser parte de cualquier acuerdo de nivel de servicio para asegurarse de que el proveedor cumpla con su acuerdo de nivel de servicio para la operación continua con usted.
Recuperación de desastres planes deben asegurarse de que sus activos (por ejemplo, datos y aplicaciones) están protegidos.
El manejo de incidentes: Un entorno de nube híbrida cambia manejo de incidentes en al menos dos maneras. En primer lugar, mientras que usted puede tener control sobre su propio centro de datos, si se produce un incidente, usted tendrá que trabajar con su proveedor de servicios debido a que los controles de proveedores de servicios, al menos, parte de la infraestructura.
En segundo lugar, la naturaleza multi-inquilino de la nube a menudo hace que la investigación de un incidente más complicado. Por ejemplo, ya que la información puede ser mezclados, análisis de registros puede ser difícil, ya que el proveedor de servicios está tratando de mantener la privacidad. Usted necesita saber cómo su proveedor de servicio define un incidente y asegúrese de que puede negociar la forma en que vamos a trabajar con el proveedor para asegurarse de que todo el mundo está satisfecho.
La seguridad de la aplicación: Cuando una aplicación está en la nube, ha expuesto a todo tipo de amenaza de seguridad. El CSA divide la seguridad de aplicaciones en diferentes áreas, incluyendo asegurar el ciclo de vida de desarrollo de software en la autentificación cloud-, autorización y gestión de identidades CUMPLIMIENTO.-, gestión de solicitud de autorización, supervisión de aplicaciones, pruebas de penetración de aplicaciones y gestión de riesgos.
Cifrado y gestión de claves: El cifrado de datos se refiere a un conjunto de algoritmos que puede transformar el texto en un formulario llamado texto cifrado, que es una forma encriptada de texto sin formato que terceros no autorizados no puedan leer. El destinatario de un mensaje cifrado utiliza una clave que activa el algoritmo para descifrar los datos y proporcionar en su estado original al usuario autorizado. Por lo tanto, puede cifrar los datos y asegurarse de que sólo el destinatario puede descifrarlo.
En la nube pública, algunas organizaciones pueden tener la tentación de cifrar toda su información porque están preocupados por su movimiento a la nube y qué tan seguro es una vez que está en la nube. Recientemente, los expertos en el campo han comenzado a considerar otras medidas de seguridad, además de cifrado que se pueden utilizar en la nube.
Identidad y acceso a la administración: Gestión de identidad es un tema muy amplio que se aplica a muchas áreas del centro de datos. El objetivo de la gestión de la identidad es el control de acceso a los recursos informáticos, aplicaciones, datos y servicios.
Gestión de la identidad cambia de manera significativa en la nube. En un centro de datos tradicional, podría utilizar un servicio de directorio para la autenticación y luego desplegar la aplicación en una zona segura de cortafuegos. La nube menudo requiere múltiples formas de identidad para asegurar que el acceso a los recursos es seguro.
Con el uso creciente de la computación en nube, tecnología inalámbrica y dispositivos móviles, que ya no tienen límites bien definidos con respecto a lo que es interno y lo externo a sus sistemas. Usted debe evaluar si existen agujeros o servidores a través de vulnerabilidades, de red, componentes de la infraestructura, y los puntos finales, y luego monitorear continuamente. En otras palabras, tiene que ser capaz de confiar en su propia infraestructura, así como la infraestructura de un proveedor de la nube.
-
Aspectos de la gestión de la identidad en la computación en nube - La evaluación de riesgos de datos en un entorno de nube híbrida
- La construcción de su plan de gestión de servicios de nube híbrida
- Comparando los sistemas integradores de empresas para la computación en nube
- El desarrollo de un entorno seguro de nube híbrida
- ¿Cómo beneficiarse de la gestión de la identidad en la computación en nube
¿Cómo controlar los datos en cloud computing Controles en los datos en el entorno cloud computing incluir las políticas de gobierno establecidos en el lugar para asegurarse de que sus datos se puede confiar. La integridad, confiabilidad y confidencialidad de sus datos debe ser irreprochable.…
¿Cómo crear una estrategia de seguridad informática en la nube Incluso si su organización de TI ya tiene una estrategia de seguridad bien diseñado, diferentes cuestiones saldrán a la superficie con la computación en nube. Por lo tanto, la estrategia tiene que tomar este modelo de computación diferente en…
¿Cómo gestionar los clientes de cloud computing Si usted es un gerente de negocios usando un proveedor de servicios de cloud computing, lo que necesita la visibilidad tanto en la infraestructura informática y de las aplicaciones que está utilizando en la nube. Es necesario comprender algunos de…
Cómo gestionar entornos híbridos en la computación en nube Su empresa, probablemente tendrá un híbrido medio ambiente: un centro tradicional de datos, una nube privada, y algunos servicios de cloud computing. Ese híbrido es parte de lo que hace que la gestión de la nube tan complejo. Pueden utilizar los…
Cómo asegurar los datos para el transporte en la computación en nube Cuando el transporte de datos en un entorno de cloud computing, tener dos cosas en cuenta: Asegúrese de que nadie pueda interceptar sus datos a medida que se mueve del punto A al punto B en la nube, y asegúrese de que no hay fugas de datos…
Cómo utilizar los estándares en la computación en nube Computación en la nube las normas son un conjunto básico de mejores prácticas comunes y repetibles que han sido acordadas por un grupo empresarial o de la industria. Por lo general, diferentes proveedores, grupos de usuarios de la industria y los…
La gestión de los recursos de computación en nube En teoría, los recursos basadas en servicios de computación en nube no debería ser diferente de los recursos en su propio entorno, salvo que viven de forma remota. Lo ideal es que se tiene una vista completa de los recursos de computación en…
Navegando por el cloud computing interfaz técnica Debido a que el mercado de servicios de computación en la nube es tan nuevo, algunas aplicaciones se han construido desde cero para este nuevo entorno. Hasta el momento, no hay aplicaciones corporativas fueron construidas con este modelo en…
Los riesgos de la gobernabilidad cloud computing El gobierno de TI está estrechamente entretejida con los objetivos y políticas de negocio para garantizar que los servicios se han optimizado para las expectativas del cliente. Debido TI y objetivos de negocio están estrechamente tejida en una…
Los riesgos de seguridad de los proveedores de la nube en un entorno de nube híbrida Muchos problemas de seguridad surgen cuando estás trabajando con un proveedor de nube externa en un entorno de nube híbrida. Si desea crear una nube privada, utilizar una nube pública, o implementar un entorno híbrido, debe tener una estrategia…
Los riesgos de seguridad de los usuarios finales internos en un entorno de nube híbrida Puede implementar todos los últimos controles de seguridad técnica en su entorno de nube híbrida y todavía se enfrentan a riesgos de seguridad si sus usuarios finales internos no tienen una comprensión clara de su papel en el mantenimiento del…
Los componentes arquitectónicos de un modelo de proveedor de la nube ¿Cómo todos los componentes de un modelo de proveedor de la nube encajan entre sí desde una perspectiva arquitectónica? El siguiente diagrama muestra los diferentes servicios en la nube y cómo se relacionan entre sí a partir de los tres…