El desarrollo de un entorno seguro nube híbrida

Un enfoque reflexivo a la seguridad puede tener éxito en la mitigación de muchos riesgos de seguridad en un entorno de nube híbrida. Para desarrollar un entorno híbrido segura, debe evaluar el estado actual de su estrategia de seguridad, así como la estrategia de seguridad ofrecido por su proveedor de la nube.

Evaluar su estado actual de la seguridad

En un entorno híbrido, la seguridad comienza con la evaluación de su estado actual. Usted puede comenzar por responder a una serie de preguntas que pueden ayudar a formar el enfoque de su estrategia de seguridad. Aquí hay algunas preguntas importantes a considerar:

  • ¿Ha evaluado su propia infraestructura de seguridad tradicional recientemente?

  • ¿Cómo controlar los derechos de acceso a las aplicaciones y redes - tanto los que están dentro de su empresa y los que están fuera de su firewall? ¿Quién tiene derecho a acceder a los recursos de TI? ¿Cómo se asegura que sólo las identidades derecho a acceder a sus aplicaciones e información?

  • ¿Puede identificar las vulnerabilidades y los riesgos de aplicaciones web y luego corregir cualquier debilidad?

  • ¿Tiene una forma de seguimiento de su riesgo de seguridad con el tiempo por lo que fácilmente puede compartir información actualizada con aquellos que lo necesitan?

  • Son sus entornos de servidores protegidos en todo momento contra las amenazas de seguridad externas?

  • Si está utilizando el cifrado, es lo que mantiene sus propias claves o las obtenga de un proveedor de confianza, fiable? Cómo se utiliza algoritmos estándar?

  • Se puede monitorear y cuantificar los riesgos de seguridad en tiempo real?

  • Se puede implementar políticas de seguridad coherente en todos los tipos de bajo premisa y arquitecturas de nube?

  • ¿Cómo se protege todos sus datos sin importar dónde se encuentren almacenados?

  • Se puede satisfacer los requisitos de auditoría y de información para los datos en la nube?

  • Se puede cumplir con los requisitos de cumplimiento de su industria?

  • ¿Cuál es su programa de seguridad de las aplicaciones?

  • ¿Cuáles son sus planes de desastre y recuperación? ¿Cómo se asegura la continuidad del servicio?

Evaluar la seguridad de su proveedor de la nube

Un entorno de nube híbrida plantea un conjunto especial de desafíos cuando se trata de la seguridad y la gobernabilidad. Las nubes híbridas utilizan su propia infraestructura más la de su proveedor de servicios. Por ejemplo, los datos pueden ser almacenados en sus instalaciones, pero procesan en la nube. Esto significa que la infraestructura en las instalaciones puede ser conectado a una nube más público, que se va a afectar a los tipos de controles de seguridad que necesita.

Los controles deben estar en su lugar para la seguridad perimetral, acceso, integridad de datos, software malicioso, y similares - no sólo en su ubicación, sino también con su proveedor de la nube. los proveedores de servicios en la nube cada uno tiene su propia forma de gestión de la seguridad. Ellos pueden o no ser compatible con el cumplimiento y plan general de seguridad de su organización. Es absolutamente crítico que su empresa no enterrar su cabeza en la arena suponiendo que el proveedor de la nube ha cubierto la seguridad.

Es necesario verificar que el proveedor de la nube garantiza el mismo nivel de seguridad que usted demanda interna (o un nivel superior, si usted está buscando para mejorar su estrategia global de seguridad). Debe pedir un montón de preguntas difíciles para garantizar que la estrategia de seguridad y el gobierno de su empresa puede ser integrado con su proveedor de.

Estos son algunos consejos que pueden ayudarlo a empezar y que también puede ser útil en la evaluación de la estrategia de seguridad:

  • Pregunte a su proveedor de la nube qué tipo de empresas en las que el servicio. También hacer preguntas acerca de la arquitectura del sistema con el fin de entender más acerca de cómo se maneja multi-alquiler.

  • Visitar la instalación sin previo aviso con el fin de entender lo que las medidas de seguridad física están en su lugar. De acuerdo con la CSA, esto significa caminar a través de todas las áreas, desde la zona de recepción a la sala del generador e incluso la inspección de los tanques de combustible. También es necesario comprobar la seguridad perimetral (por ejemplo, comprobar cómo las personas acceden al edificio) y si el operador está preparado para una crisis (por ejemplo, extintores, alarmas, y similares).

  • Comprobar dónde se encuentra el proveedor de la nube. Por ejemplo, es en una zona de alta criminalidad o una zona propensa a los desastres naturales como terremotos o inundaciones?

  • ¿Qué tipo de documentación actualizada hace el proveedor de la nube tiene en su lugar? ¿Tiene planes de respuesta a incidentes? planes de respuesta de emergencia? planes de copia de seguridad? Los planes de restauración? Las verificaciones de antecedentes de personal de seguridad y otros miembros del personal?

  • ¿Qué tipo de certificaciones hace el proveedor? ¿Tiene el personal de seguridad de la nube certificaciones como CISSP, CISA, e ITIL?

  • Averiguar dónde se almacenarán los datos. Si su empresa tiene normas de cumplimiento que debe cumplir sobre los datos que residen en el extranjero, esto es importante conocer.

  • Averiguar quién tendrá acceso a sus datos. También comprobar para ver cómo se protegerán los datos.

  • Para saber más acerca de los planes de copia de seguridad y de retención de datos del proveedor. Usted querrá saber si sus datos se mezcla con otros datos. Si desea que su espalda de datos cuando termina su contrato, estos problemas pueden ser importantes.

  • ¿Cómo será su proveedor de prevenir los ataques de denegación de servicio (DoS)?

  • ¿Qué tipo de contratos de mantenimiento no tiene su proveedor en el lugar para sus equipos?

  • ¿Su proveedor de la nube seguimiento continuo de sus operaciones? Se puede tener visibilidad en esta capacidad de supervisión?

  • ¿Cómo se detectan incidentes? ¿Cómo se registra la información?

  • ¿Cómo se manejan los incidentes? ¿Cuál es la definición de un incidente? ¿Quién es tu punto de contacto en el proveedor de servicios? ¿Cuáles son las funciones y responsabilidades de los miembros del equipo?

  • ¿Cómo funciona su seguridad de las aplicaciones y los datos mango proveedor de seguridad?

  • ¿Qué métricas tiene su monitor proveedor de la nube para asegurar que las aplicaciones se mantienen seguros?

Dada la importancia de la seguridad en el entorno de la nube, es posible suponer que un importante proveedor de servicio en la nube tendrá un conjunto de acuerdos de nivel de servicio integrales para sus clientes. De hecho, muchos de los acuerdos estándar están destinados a proteger el proveedor de servicios - no el cliente. Por lo tanto, su empresa realmente debe entender el contrato, así como la infraestructura, los procesos y las certificaciones de su proveedor de nube contiene.

Debe articular claramente los requisitos de seguridad en la nube y la estrategia de gobierno y determinar la responsabilidad. Si su proveedor de nube no quiere hablar de estos elementos, probablemente debería considerar un proveedor de nube diferente. Por otra parte, el proveedor de la nube en realidad puede tener algunos trucos bajo la manga que puede mejorar su propia seguridad!

Artículos Relacionados
Cómo desarrollar un bien gobernada y seguro entorno de datos grande
Los riesgos de la gobernabilidad computación en la nube
¿Cómo crear una estrategia de seguridad informática en la nube
Los riesgos de seguridad de los proveedores de nube en un entorno de nube híbrida
Lo que sucede en las decisiones de gobierno de computación en la nube?
Comparando los sistemas integradores de empresas para la computación en nube
Cómo asegurar los datos para el transporte en la computación en nube
Cómo hablar con su proveedor de nube de computación sobre los datos
Evaluación de los riesgos de datos en un entorno de nube híbrida
La construcción de su plan de gestión de servicios de nube híbrida
La definición de un acuerdo de nivel de servicio en la nube híbrida
Gobierno de la nube híbrida: riesgos y expectativas
Gestión de aplicaciones en un entorno híbrido nube
La planificación de recursos de la nube híbridos para apoyar el crecimiento y el cambio
Preguntas para hacer a un posible proveedor de servicios en la nube
Los riesgos de seguridad específicos en el entorno de nube híbrida
Escenarios arquitectura de almacenamiento para un entorno de nube híbrida
¿Cómo elegir el proveedor de servicios de computación en nube de la derecha
Cómo diseñar una estrategia de computación en la nube
Cómo crear un plan de seguridad informática en la nube