對(duì)于考慮云部署的公司來說,安全是一大擔(dān)憂。然而,許多的云安全問題其實(shí)都是自作自受。
2014,被認(rèn)為是“泄密年”,以大型的黑客攻擊所著稱,Sony、 Target、Home Depot和JP Morgan都在受害者的名單上。當(dāng)許多IT專業(yè)人士忙不迭地將問題指向云時(shí),內(nèi)鬼的援助或者對(duì)于訪問控制的大意才是真正的罪魁禍?zhǔn)住_@些安全問題在IT內(nèi)部已經(jīng)存在了很多年,但是云,以及那種人們對(duì)于數(shù)據(jù)一旦放到防火墻外將失去控制的恐懼,再次凸顯了這些問題。
使用云和減負(fù)IT系統(tǒng)的壓力讓安全問題成為人們關(guān)注的焦點(diǎn),并且正在全局上改變IT安全實(shí)踐和工具。如果云可以做到萬無一失,那么本地的運(yùn)營(yíng)也會(huì)更安全。
盡管安全性仍然是一個(gè)普遍的IT問題,云安全問題妨礙了潛在的部署。雖然大多數(shù)IT團(tuán)隊(duì)將安全性引述為一個(gè)云部署的絆腳石,隱私方面的法規(guī)常常是為什么許多人將數(shù)據(jù)保持在本地的主要原因。這催生了一種混合云的模型,其中本地部署的設(shè)施可以和公有云一起并維護(hù)數(shù)據(jù)存儲(chǔ)。但是,主要的云提供商目前不支持這種方式。在這種共同托管的形式下,托管服務(wù)可以比使用Amazon Web Service產(chǎn)生更高的費(fèi)用。但是共管為云和云之間的連接提供了局域網(wǎng)的網(wǎng)絡(luò)速度,大幅的降低了公有云實(shí)例數(shù)和作業(yè)運(yùn)行的次數(shù)。
要確保云安全,恰當(dāng)?shù)氖褂谜J(rèn)證和登陸控制是很必要的。這應(yīng)該和保護(hù)本地部署的數(shù)據(jù)一樣容易,但是云的低成本和低門檻導(dǎo)致了部門級(jí)的計(jì)算爆炸式增長(zhǎng)。無數(shù)的研究表明,一家公司的IT足跡有顯著的一部分是不在IT部門的控制之內(nèi)的。這對(duì)于HR工具和市場(chǎng)應(yīng)用,比如托管在云端的Salesforce.com來說,尤其是千真萬確。
攜帶你自己的設(shè)備(BYOD)加劇了這些問題,讓下載和上傳重要的公司數(shù)據(jù)變得極為容易。比如說,如果員工允許LinkedIn搜索他們的Outlook通訊錄,公司的敏感數(shù)據(jù)就被泄漏了。
在2015年中,IT部門將繼續(xù)和這些部門級(jí)的計(jì)算以及BYOD的問題斗爭(zhēng)。要限制這些問題,組織必須實(shí)現(xiàn)身份管理和增加認(rèn)證的工作。將壞人阻擋在外是一個(gè)好的起點(diǎn)。根據(jù)云安全聯(lián)盟的報(bào)告描述,在2014年中將近15%的用戶密碼被竊取。云安全聯(lián)盟還確認(rèn)了一系列內(nèi)部的問題,從離開公司時(shí)下載客戶列表或者開發(fā)代碼,到上傳個(gè)人或者銷售數(shù)據(jù)到社交媒體上。
要解決這些問題,許多組織使用數(shù)據(jù)劃分的方法。但是,通常都實(shí)現(xiàn)的很糟糕。由于NAS服務(wù)器的安全性通常極差,員工可以訪問在一個(gè)部門或者整個(gè)企業(yè)里所有的網(wǎng)絡(luò)附加存儲(chǔ)(NAS)數(shù)據(jù)。
入侵防御:2015年SaaS注意事項(xiàng)
在2015年,入侵防御將強(qiáng)調(diào)端點(diǎn)探測(cè)和移動(dòng)設(shè)備管理。防止下載和上傳是很必要的,而一切將從服務(wù)器開始。隨著入侵防御的發(fā)展,新的服務(wù)將在這一年中崛起。通過鎖定瀏覽器來防止下載信息在技術(shù)上是可行的,那么用一個(gè)純粹的基于瀏覽器的企業(yè)數(shù)據(jù)訪問機(jī)制也說得通。
然而一個(gè)基于瀏覽器的機(jī)制,并不能解決部門的計(jì)算問題。除此之外,這些問題在大多數(shù)組織里是失控的。許多管理員試著去命令他們的供應(yīng)商,多半得到的回應(yīng)就是:閃邊去!最佳方法是一起協(xié)作來決定需求。然后,通過一個(gè)本地的應(yīng)用商店來提供應(yīng)用。這樣,就在引入更好的價(jià)格的同時(shí),又解決了協(xié)商和技術(shù)支持的問題。還順帶控制了應(yīng)用的無序擴(kuò)張。
如果需要的話,禁止某些應(yīng)用也是可以的。同樣的,通過阻止下載來防止公司文件的上傳。這種流程對(duì)于本地應(yīng)用很容易,但是對(duì)于那些云端的軟件即服務(wù)(SaaS)應(yīng)用會(huì)困難些。
SaaS已經(jīng)成為讓業(yè)務(wù)流程支持更敏捷的阻力最小之路。低廉的價(jià)格,又不需要前期資本支出的審批。但在SaaS環(huán)境中實(shí)施公司管理標(biāo)準(zhǔn)是一個(gè)很大的問題,尤其是已經(jīng)簽署了部門級(jí)別的協(xié)議之后。記住,SaaS廠商主要在公有云上運(yùn)營(yíng),所以又有第二層次的管理問題。
一個(gè)好的應(yīng)用商店可以通過恰當(dāng)?shù)谋O(jiān)管,將SaaS合同與廠商聯(lián)系起來,但是部門的SaaS才是CEO需要建立交涉規(guī)則的地方。要求IT人員在協(xié)議之前簽署符合審計(jì)的聲明可能就能達(dá)到想要的結(jié)果。
當(dāng)涉及到加強(qiáng)安全性,云有著相比于本地環(huán)境來說很大的優(yōu)勢(shì)。云安裝的規(guī)模為云提供商創(chuàng)造了更低的每用戶平均安全成本。確保規(guī)范和數(shù)據(jù)管理對(duì)于任何公有云或者混合云用戶來說仍然是一個(gè)挑戰(zhàn)。但是在一個(gè)充滿黑客的世界里,要執(zhí)行一個(gè)成功的云計(jì)劃,這是一個(gè)不可避免的大前提,即使保護(hù)本地服務(wù)的優(yōu)先級(jí)在列表上也同樣很高。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:入侵防御,SaaS該注意什么?
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839517837.html