公共云资源正在帮助机构实现许多IT目标,但需要适当的工具和流程来确保敏感数据的安全。
与几乎所有部门的组织一样,联邦机构越来越依赖公共云资源,以提高IT资源利用,巩固数据中心和快速扩展资源,以满足动态需求模式。联邦机构增加了鼓励扩大利用公共云的联邦政策的激励。
在短短的几年中,对云的信任已经取得了很大的进展。在公共云的早期,机构和其他组织通常会立即拒绝将工作负载放在他们自己的数据中心之外的想法,因为他们担心云供应商会将他们的敏感数据置于风险之中。不过,从那以后,公共云供应商通过多年来提供基本无事故的服务,并获得大量安全和合规认证,证明了自己的能力,而许多最初的担忧都被证明是夸大其言。
但这并不意味着联邦机构可以对云安全视而不见,政府问责办公室(GAO)信息安全问题主管格雷戈里•威尔舒森(Gregory Wilshusen)表示。
Wilshusen在最近一次以“云服务”为主题的网络研讨会上说:“随着越来越多的联邦机构进入云服务领域提供服务,确保他们提供给云服务提供商的信息得到充分保护是非常重要的。自动化云安全:消除人为错误和保护数据.
“仅仅因为我们的数据不可思议 - 也许安全是不可能的,我们有时认为这是云服务提供商的责任。这不是。真正是联邦机构保护其数据的责任。“
Wilshusen与GAO IT和网络安全团队助理总监Larry Crosland、Nutanix联邦团队系统工程高级总监Dan Fallon一起参加了这次网络研讨会。三人讨论了是什么促使联邦机构转向云计算,云计算环境带来的安全风险,以及帮助机构保持数据安全的工具。
“有许多联邦政策司机”推动机构向公共云,克罗斯兰指出。其中包括管理和预算办公室(OMB)“云首发”政策,该政策要求机构在采购新的IT投资时考虑云服务。
这些政策不仅仅是官僚授权,而是实施,以鼓励机构利用迁移资源对云的实际利益。
“当然,一个只是为了获得管理IT资源的更多效率,”Wilshusen说。“经常,联邦机构有很多未经利用的资产。”
将资源推向公有云还有助于加速数据中心的整合,这是近年来联邦部门的一个重要举措。
成本节约是另一个重要的推动因素。Crosland和Wilshusen引用了GAO的报告该公司表示,自2015年以来,有16家机构增加了云计算支出,截至2019年4月,它们总共节约了数亿美元(以及改善客户服务等其他好处)。
而且,与许多组织一样,联邦机构正在追逐公共云最庆祝的利益:增加灵活性和灵活性。
Wilshusen指出:“如果服务需求增加或激增,机构很容易从云服务提供商那里获得这些增加的服务。”“当需求不存在时,很容易降低服务水平。”
虽然公共云数据不再驻留在机构的物理安全外围内,但是Wilshusen注意到,许多关键安全问题和考虑因素保持不变。
“代理商必须评估和管理其IT环境的风险,并通过云计算,他们还必须评估和管理与云环境相关的风险,”他说。“这包括识别威胁,以及云提供商实施的安全控制的充分性。”
此外,机构必须制定法定和监管性的数据安全规则,监控云服务提供商的性能,并确保云服务提供商的数据可移植性和删除策略符合他们的要求。
联邦机构在云安全方面有许多资源来依赖。Wilshusen解释说,国家标准与技术研究所(NIST)与各种机构合作,识别和优先考虑数据安全标准,并提供有关如何保护联邦信息的指导。
美国总务管理局(GSA)也是一个关键资源,负责开发政府范围内的采购工具和云解决方案。而国土安全部(DHS)则负责监控整个联邦政府的行动安全。
Crosland指出,其中几个机构与国防部合作开发了FedRAMP,这是一种评估和监测云服务安全控制的标准化方法。
但是,尽管如此,代理商还需要实施工具来帮助他们管理云蔓延,监控云环境并实时检测安全漏洞。Fallon指出,像Nutanix这样的供应商那样的软件服务(SaaS)工具可以帮助联邦机构自动化安全和合规任务。
理想情况下,Fallon表示,这样的萨斯工具将包含以下内容:
快速部署- 因为SaaS工具在云中托管,他们自己,他们可以实际地部署,实际上,Fallon解释说。“你不想为您的监控工具设置一个整个后端基础架构,”他说。“您不想为您的组织创建更多工作。”
整体安全与合规-云,法伦指出,应该让机构的事情变得更简单,云安全工具也不应该例外。“我们需要标准化跨云环境的治理和运营,”他说。“各机构需要能够持续、实时地监测这些环境。他们需要的工具可以在混合架构中从本地云到公共云。”
无风险试验- 因为SaaS安全工具不需要支持基础架构,因此Nutton表示,Nutanix可以免费为代理商提供争取。“萨斯送货平台的美丽是没有下载的,没有什么可以设置。所以我们提供免费试用版,您可以在线尝试。您实际上可以插入您的公共云凭据,并完全支持不仅是安全控制还是成本控制。“
自动报告和修复 - 云安全工具需要适应更改环境 - 不仅可以检测威胁,而且实时地检测漏洞,并依赖于自动化依赖。“代理商需要能够报告事件,然后修复它,”Farchon说。“并且他们需要在尽可能少的手动点击中这样做。”
“安全是云提供商和联邦机构之间的共同责任,”Fallon说。“使用正确的工具集可以减少机构的安全遵从性和监控负担。”
卡尔文·亨尼克是特约作家。他的作品出现在BizTech, Engineering Inc., The Boston Globe Magazine等杂志上。他也是再一次奔向牛仔竞技会:回忆录.在推特上关注他@calvinhennick..
©2020 Nutanix,Inc。保留所有权利。如需其他法律信息,请到这里.
