El desarrollo de un entorno seguro de nube híbrida
Un enfoque reflexivo a la seguridad puede tener éxito en la mitigación de muchos riesgos de seguridad en un entorno de nube híbrida. Desarrollar un entorno híbrido segura, debe evaluar el estado actual de su estrategia de seguridad, así como la estrategia de seguridad ofrecido por su proveedor de la nube.
Evalúe su estado actual de la seguridad
En un entorno híbrido, la seguridad comienza con la evaluación de su estado actual. Usted puede comenzar por responder a una serie de preguntas que pueden ayudar a formar su enfoque a su estrategia de seguridad. Aquí hay algunas preguntas importantes a considerar:
¿Ha evaluado su propia infraestructura de seguridad tradicional recientemente?
¿Cómo controlar los derechos de acceso a las aplicaciones y redes - tanto los que están dentro de su empresa y los que están fuera de su firewall? ¿Quién tiene derecho a acceder a los recursos de TI? ¿Cómo se asegura de que sólo las identidades derecho a tener acceso a las aplicaciones y la información?
¿Puede identificar las vulnerabilidades y los riesgos de la aplicación web y luego corregir los puntos débiles?
¿Tiene una forma de seguimiento de su riesgo de seguridad en el tiempo por lo que fácilmente puede compartir información con aquellos que lo necesitan actualizado?
¿Están protegidos sus entornos de servidores en todo momento de las amenazas de seguridad externas?
Si utiliza el cifrado, es lo que mantiene sus propias llaves o los obtenga de un proveedor de confianza, fiable? ¿Utiliza algoritmos estándar?
¿Se puede controlar y cuantificar los riesgos de seguridad en tiempo real?
¿Se puede aplicar políticas de seguridad coherente en todos los tipos de en las instalaciones y arquitecturas en la nube?
¿Cómo se protege todos sus datos sin importar dónde se almacena?
¿Se puede satisfacer los requisitos de auditoría e informes de datos en la nube?
¿Se puede cumplir con los requisitos de cumplimiento de su industria?
¿Cuál es su programa de seguridad de la aplicación?
¿Cuáles son sus planes de desastre y recuperación? ¿Cómo se asegura la continuidad del servicio?
Evaluar la seguridad de su proveedor de la nube
Un entorno de nube híbrida plantea un conjunto especial de desafíos cuando se trata de la seguridad y la gobernanza. Las nubes híbridas utilizan su propia infraestructura, más que la de su proveedor de servicios. Por ejemplo, los datos pueden ser almacenados en sus instalaciones, pero procesan en la nube. Esto significa que la infraestructura en las instalaciones puede ser conectado a una nube más público, que va a afectar a los tipos de controles de seguridad que necesita.
Los controles deben estar en su lugar para la seguridad perimetral, acceso, integridad de los datos, el malware, y similares - no sólo en su ubicación, sino también con su proveedor de nube. Los proveedores de servicios de la nube cada uno tiene su propia manera de gestionar la seguridad. Ellos pueden o no ser compatible con el cumplimiento y plan de seguridad general de su organización. Es absolutamente fundamental que su empresa no enterrar su cabeza en la arena por el supuesto de que el proveedor de la nube ha cubierto la seguridad.
Es necesario comprobar que el proveedor de la nube garantiza el mismo nivel de seguridad que usted exige internamente (o un nivel superior, si usted está buscando para mejorar su estrategia global de seguridad). Usted debe hacer muchas preguntas difíciles para garantizar que la estrategia de seguridad y la gobernanza de la empresa se puede integrar con su proveedor de.
Aquí hay algunos consejos que pueden ayudarle a empezar y que también puede ser útil en la evaluación de la estrategia de seguridad:
Pregunte a su proveedor de la nube qué tipo de empresas en las que el servicio. También hará preguntas acerca de la arquitectura del sistema con el fin de entender más acerca de cómo se maneja multicliente.
Visita las instalaciones sin previo aviso con el fin de entender lo que las medidas de seguridad física están en su lugar. Según el CSA, esto significa caminar a través de todas las áreas, desde la zona de recepción de la sala del generador e incluso la inspección de los tanques de combustible. También es necesario comprobar la seguridad perimetral (por ejemplo, comprobar cómo las personas acceden al edificio) y si el operador está preparado para una crisis (por ejemplo, los extintores, alarmas, etc.).
Compruebe donde se encuentra el proveedor de la nube. Por ejemplo, es en una zona de alto crimen o un área propensa a los desastres naturales como terremotos o inundaciones?
¿Qué tipo de documentación hasta a la fecha tiene el proveedor de la nube tiene en su lugar? ¿Tiene planes de respuesta a incidentes? Los planes de respuesta de emergencia? Planes de copia de seguridad? Los planes de restauración? Las verificaciones de antecedentes del personal de seguridad y otros miembros del personal?
¿Qué tipo de certificaciones hace el proveedor? ¿El personal de seguridad en la nube tienen certificaciones como CISSP, CISA, e ITIL?
Averigüe dónde se almacenarán los datos. Si su empresa tiene regulaciones de cumplimiento que debe cumplir sobre los datos que residen en el extranjero, esto es importante saber.
Averigüe quién tendrá acceso a sus datos. También puedes ver para ver cómo se protegerán los datos.
Para saber más acerca de los planes de copia de seguridad de datos y retención del proveedor. Usted querrá saber si sus datos se mezcla con otros datos. Si usted quiere que su vuelta de datos cuando usted termina su contrato, estos problemas pueden ser importantes.
¿Cómo será su proveedor de prevenir (DoS) de denegación de servicio?
¿Qué tipo de contratos de mantenimiento no su proveedor tiene en el lugar para sus equipos?
¿Tiene su proveedor de nube monitorear continuamente sus operaciones? ¿Se puede tener visibilidad sobre esta capacidad de monitoreo?
¿Cómo se detectan los incidentes? ¿Cómo se registra la información?
¿Cómo se manejan los incidentes? ¿Cuál es la definición de un incidente? ¿Quién es tu punto de contacto en el proveedor de servicios? ¿Cuáles son las funciones y responsabilidades de los miembros del equipo?
¿Cómo funciona su proveedor de mango seguridad de las aplicaciones y los datos de seguridad?
¿Qué métricas no su monitor proveedor de la nube para asegurar que las aplicaciones siguen siendo seguro?
Dada la importancia de la seguridad en el entorno de la nube, es posible asumir que un importante proveedor de servicios de nube tendrá un conjunto de acuerdos globales de nivel de servicio para sus clientes. De hecho, muchos de los acuerdos estándar están destinados a proteger a la empresa de servicios - no el cliente. Así, su empresa realmente debe entender el contrato, así como la infraestructura, los procesos y certificaciones de su proveedor de la nube contiene.
Usted debe articular claramente los requisitos de seguridad en la nube y la estrategia de gobierno y determinar la responsabilidad. Si su proveedor de nube no quiere hablar de estos artículos, probablemente debería considerar un proveedor de la nube diferente. Por otra parte, el proveedor de la nube en realidad puede tener algunos trucos bajo la manga que puede mejorar su propia seguridad!