日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
信息安全度量:什么是云要收集的

CISO需要知道云安全性能的真實數(shù)據(jù)。因為C級別的高管和董事會會一直問安全管理者風險暴露相關的問題——“我們需要多高級別的安全?我們距離滿足合規(guī)要求還有多少距離?”——CISO們也在尋找能夠高效度量基于戰(zhàn)略目標的云控制的方式,并且匯報這些發(fā)現(xiàn)。

噶爾網(wǎng)站建設公司創(chuàng)新互聯(lián),噶爾網(wǎng)站設計制作,有大型網(wǎng)站制作公司豐富經(jīng)驗。已為噶爾超過千家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設要多少錢,請找那個售后服務好的噶爾做網(wǎng)站的公司定做!

如果沒有深入風險和花費,以及高官們實際關心的其他信息安全度量的儀表盤,那么怎么才能正確度量云上的安全運維呢?

緩慢但堅定地,IT部門正在調(diào)整安全控制(文檔化的流程)和架構(gòu)模型來適應公有和私有云環(huán)境里的信息系統(tǒng)。隨著預防性的,檢測性的和響應式的控制正在進入混合云模型,CISO們現(xiàn)在必須思考云里的管控以及新的信息安全度量標準,為了內(nèi)部跟蹤以及服務級別協(xié)議(SLA)。

有一些監(jiān)控活動,信息安全度量基本上都在內(nèi)部數(shù)據(jù)中心和云里。機會在于引入云環(huán)境的安全工具能夠大量抓取相同的數(shù)據(jù),并且提供目前收集的任何信息安全度量。比如,虛擬防火墻設備日志丟棄或者堵塞的連接;基于云的漏洞掃描能夠報告基礎架構(gòu)即服務或者平臺即服務系統(tǒng)的系統(tǒng)以及補丁和暴露的狀態(tài);基于主機的安全監(jiān)控工具記錄文件的訪問和配置的變化。

新的InfoSec云度量

但,CISO必須更多地關注于云里的性能指標以及SLA相關的度量。這意味著安全團隊需要研究能夠收集到的和云安全(云運維)相關的新度量。如果自動化的預配和Chef,Puppet這樣的編排工具一起工作,就能夠收集到實例生成和態(tài)勢評估的日志。事件則適用于管理活動,密碼工具和秘鑰使用及訪問,以及被批準的配置的變形也能夠被監(jiān)控,從而確定云供應商的安全態(tài)勢。重要的信息安全度量包括如下幾種:

  • 管理登入云供應商控制臺的次數(shù)
  • 云環(huán)境里超過特定時間一直不活躍的“孤兒”賬號數(shù)量
  • 啟動系統(tǒng)數(shù)量vs運行超過定義時間的系統(tǒng)數(shù)量(也就是說,在一段時間之后仍然在運行的系統(tǒng))
  • 使用批準的配置的系統(tǒng)數(shù)量vs沒有使用批準配置的系統(tǒng)數(shù)量

技術控制不足

安全資深管理還需要監(jiān)控云供應商的合同義務,法律和供應鏈方面的都需要監(jiān)控。在每份供應商的合同里,通常會定義一系列的SLA,從標準運維能力(在線時間和性能)到安全相關的需求(事件響應時間和法律或者鑒證請求)。一些云供應商可能有義務滿足數(shù)據(jù)生命周期的需求,比如數(shù)據(jù)滯留,郵件消息的合法持有以及對設備和證據(jù)的產(chǎn)銷監(jiān)管鏈鑒證需求的響應。

必須密切跟蹤這些合同義務并且向運維和執(zhí)行管理層匯報。還必須仔細監(jiān)控并且匯報云供應商審計的任何變化和鑒證報告。如果供應商的SOC 2報告里的控制聲明的重大變更是相關的,那么就必須由安全和法務團隊公告并且評估。

雖然云服務花費更多地和運維以及開發(fā)團隊相關,大多數(shù)成熟的部署現(xiàn)在也包括很多安全相關的費用?;ㄙM包括由安全技術導致的額外消耗到和“云上”工具和產(chǎn)品相關的許可證,到新的類似云訪問安全代理的服務?;ㄙM還可能包括認證和加密服務,以及為這些環(huán)境提供控制的其他云服務。安全團隊不能忽略云使用的財務和預算方面,因為信息安全控制和服務現(xiàn)在已經(jīng)是部署和運維的不可缺少的一部分。云度量可能包括隨時間產(chǎn)生的費用和預算,不可預見的變更(可能是積極也可能是消極的)以及花費在云上vs本地的整體安全預算的百分比。

模型還未成熟

另一個需要跟蹤的重要領域是云安全項目的整體成熟度。所有企業(yè)都想要知道和業(yè)界其他公司相比,他們的表現(xiàn)如何。并且該領域還缺少這一類別的比較基準,我們需要從哪里先開始。

大多數(shù)安全團隊使用類似的控制框架,比如國家標準技術局 800-53(National Institute of Standards and Technology (NIST) 800-53),NIST網(wǎng)絡安全框架,以及云安全聯(lián)盟云控制度量,和傳統(tǒng)的成熟模型,比如通用成熟度模型相結(jié)合。從任何角度看這都不是什么***的方案,但是至少企業(yè)能夠?qū)⒈镜乜刂频某墒於群驮粕系南鄬Ρ?,并且研究能夠改進的領域。目前,一些控制方法在云上還不太成熟。需要時間等待云供應商改進他們的能力,并且等待云環(huán)境里的原生集成更加穩(wěn)定。

無論你選擇哪種云度量,都需要確保收集反饋,并且確認這些是否真的對利益相關者有用。安全資深管理趨向報告超級復雜的信息安全度量,或者僅僅是未整理的數(shù)據(jù),這些對于業(yè)務高管來講并沒什么用處。這是我們在云上推進時可以有意識阻止的不好趨勢。

關注于真正重要的事情:改進安全控制的狀態(tài),發(fā)現(xiàn)流程或者策略弱點并且修復它們,報告花銷并且滿足合規(guī)需求和成熟度目標。關注于這些領域,那么一定能收獲很多。


網(wǎng)站名稱:信息安全度量:什么是云要收集的
鏈接地址:http://www.5511xx.com/article/cdghhdo.html