如今,世界各地的企业都开始依赖云平台来处理各种关键任务工作流,比如将CRM数据保存在云中,在云端处理业务单据,通过云来管理人力资源流程……所有这一切都意味着,企业将大部分特权业务数据托付给了云提供商。
虽然大多数主要的云提供商在保护数据安全方面做得很好,但大多数企业用户“上传数据后就不管不问”的一劳永逸态度是无法满足眼下的数据安全保护要求的,甚至可以说,这是很危险的。
事实上,只有当企业通过遵守一些云安全最佳实践来尽其所能时,云提供商才能保护好企业的数据。幸运的是,这些措施并没有那么复杂。以下是企业应该立即在其云运营中构建的四个最重要的云安全最佳实践。
永远不要跳过对云供应商的尽职调查
首先,企业在选择与之合作的云供应商时,始终要进行充分的尽职调查。当然,调查每个供应商的声誉很重要,但仔细审查他们的安全实践和用户协议的细节也同样重要。
至少,企业应该了解供应商将如何存储他们的数据以及存储在哪里,以及供应商如何阻止未经授权的用户进入的详细信息。
而且,企业还必须检查供应商是否能在发生数据泄露时提供任何保证或技术援助。如果这些信息不清楚或者不令人满意,最好去找一个更有信誉的供应商。
创建访问控制管理策略
下一步是设计和实施统一的访问控制管理策略。依赖云的企业面临的一个重大安全问题是,依赖于分散的身份验证和访问管理系统。这通常会导致糟糕的凭证管理和权限蔓延。
为了解决这些问题,建议通过单点登录(SSO)提供商来统一他们的身份验证和访问管理。至少,所有帐户(无论平台如何)都应该要求多因素身份认证,并进行频繁的访问权限审查。最后,采取措施防止身份盗用也很重要。这个问题很严重,所以在任何不好的事情发生之前一定要在这方面采取积极的措施。
持续教育员工并部署防护解决方案
归根结底,数据安全的最终责任在于那些受信任能够访问数据的人。如果没有适当的安全教育和培训,大多数用户只是意外打开一封垃圾邮件就可能造成数据泄露。这就是为什么在授予用户访问任何关键业务系统或数据的权限之前,坚持对他们进行适当的培训是云安全的基本最佳实践。
作为第二道防线,最好部署专为云环境设计的恶意软件和威胁防护解决方案。此类解决方案以上传数据扫描和主动威胁防御的形式提供保护,以防止未经授权的用户访问云托管的数据。虽然它们不能替代训练有素且有安全意识的用户群,但它们是防止无意的人为错误的绝佳保险。
实践数据最小化
最后但同样重要的是,对于企业来说,采取措施尽量减少自身委托给云提供商的数据是一个好主意。在实践上,需要细化业务流程,只收集开展工作所必须的数据。
例如,管理云中的交易管道需要存储一些可识别个人身份的客户数据,但它不需要任何硬财务数据或任何联系信息以外的东西即可生效。因此,最好将其编码并确保所有用户避免添加任何不必要的内容。
这有助于建立一个数据最小化策略,以降低企业在云中的脆弱性。此外,根据所涉及的数据类型,这也可能是企业必须遵守的法规监管要求。无论如何,减少存储在各种云平台上的数据可以简化数据安全工作的方方面面——从管理、访问控制到监管,并且应该始终是企业在线所做的一切的核心。
底线
归根结底,对于各种规模的组织来说,云平台和应用都在其业务运营中发挥着至关重要的作用。但是,随着在线安全威胁日益严峻,企业有责在保证最大限度降低风险并避免在数据安全方面冒险的情况下使用云服务。企业需要担负起安全主体责任,从上面列出的四个最佳实践开始,认真对待数据安全问题。