1、確認(rèn)現(xiàn)有的基礎(chǔ)控制
基礎(chǔ)控制是企業(yè)安全理念的核心。它們包含了將近60個保護(hù)您企業(yè)最重要資產(chǎn)的安全控制。它們專注在確保云技術(shù)對您業(yè)務(wù)的應(yīng)用,以及您的操作是符合安全控制。
2、專注工作負(fù)載
云安全、企業(yè)信用直接與工作負(fù)載相關(guān)。每個工作負(fù)載都有獨特的考慮,如管理因素和用戶的依賴關(guān)系。通過對工作負(fù)載的重點關(guān)注,您可以制定一個更有針對性的安全計劃,比傳統(tǒng)的操作提供更安全的保障。
3、盡早建立共識
很多時候云技術(shù)不被合伙人重視。因此,重要的安全細(xì)節(jié)可能被忽略,從而導(dǎo)致整合與可用性成為問題。成功實施云安全的關(guān)鍵是項目相關(guān)人要心中有數(shù),商定好利弊。
4、實施一個風(fēng)險緩解計劃
云部署往往涉及一些內(nèi)部和外部的締約方。企業(yè)應(yīng)制定一個成文的風(fēng)險緩解計劃,允許管理員和員工在云端迅速處理問題。該計劃應(yīng)包括風(fēng)險的文件,對這些風(fēng)險的響應(yīng),同時也應(yīng)包括教育和培訓(xùn)。
5、不要忘了圖像管理
許多云應(yīng)用都會用到虛擬化功能。企業(yè)應(yīng)落實圖像存儲的管理流程,確保只有適當(dāng)?shù)膱D像是主動可用的。還有一點很重要,所有已部署的圖像都要被正確識別和管理,以防止圖像擴(kuò)張。
6、進(jìn)行安全評估
云計算是復(fù)雜的。遷移云技術(shù)之前,企業(yè)應(yīng)首先評估應(yīng)用程序和基礎(chǔ)設(shè)施的安全漏洞,并確保所有的安全控制都到位且運行正常。道德黑客只是輔助方式,企業(yè)應(yīng)以此檢查他們云應(yīng)用程序的常見漏洞。
7、充分利用安全服務(wù)
新的安全服務(wù)已經(jīng)步入市場,在同類產(chǎn)品中它使企業(yè)達(dá)到最佳的安全性,無需通常的開銷。例如入侵防護(hù)領(lǐng)域,訪問和身份管理,安全事件日志管理為企業(yè)拋棄現(xiàn)有資源壓力實現(xiàn)安全目標(biāo)提供了機(jī)會。
8、制定一個彈性計劃
隨著企業(yè)采用基于云的技術(shù),他們還應(yīng)該看看他們的彈性需求。沒有一種技術(shù)是完美的,云計算亦如此。確保工作負(fù)載,如果想在一場災(zāi)難或攻擊事件中迅速恢復(fù)這是至關(guān)重要的步驟。要謹(jǐn)慎確保工作負(fù)載可以隨時恢復(fù),與業(yè)務(wù)連續(xù)性的影響微乎其微。
9、積極監(jiān)視性能
未能正確地監(jiān)測云的實施,可能導(dǎo)致在性能上的滿意度和安全問題。實施積極的監(jiān)測方案發(fā)現(xiàn)任何可能影響云實施成功的威脅。
10、遵循云的生命周期模型
安全不只是一個時間點的事情,而是需要持續(xù)的進(jìn)行,企業(yè)必須勤于云技術(shù)管理和定期審查安全性。
11、評估供應(yīng)商
要分析該公司傳播那些與物理安全,邏輯安全,加密,更改管理和業(yè)務(wù)持續(xù)性以及災(zāi)難恢復(fù)等屬于同類型控件的能力。同樣,還要驗證涉及有證明備份和災(zāi)難程序等處理的供應(yīng)商。
12、考慮一種混合安全模式
將云中提供的服務(wù)與預(yù)置的服務(wù)混合起來。這樣有助于減輕數(shù)據(jù)保護(hù),隱私保護(hù)的壓力。