Développer un environnement sécurisé de cloud hybride

Une approche réfléchie à la sécurité ne peut réussir à atténuer de nombreux risques de sécurité dans un environnement de cloud hybride. Pour développer un environnement hybride sécurisé, vous devez évaluer l'état actuel de votre stratégie de sécurité ainsi que la stratégie de sécurité offert par votre fournisseur de cloud.

Évaluer votre état actuel de la sécurité

Dans un environnement hybride, la sécurité commence par l'évaluation de votre état actuel. Vous pouvez commencer par répondre à une série de questions qui peuvent vous aider à former votre approche de votre stratégie de sécurité. Voici quelques questions importantes à considérer:

• Avez-vous évalué votre propre infrastructure de sécurité traditionnel récemment?

• Comment contrôlez-vous les droits d'accès aux applications et aux réseaux - tant ceux au sein de votre entreprise et ceux de l'extérieur de votre pare-feu? Qui a le droit d'accéder à des ressources informatiques? Comment vous assurez-vous que seules les identités accéder à vos applications et vos informations?

• Pouvez-vous identifier les vulnérabilités et les risques d'application Web, puis corriger les faiblesses?

• Avez-vous un moyen de suivre les risques de sécurité au fil du temps de sorte que vous pouvez facilement partager des informations avec ceux qui en ont besoin à jour?

• Sont vos environnements de serveurs protégés en tout temps contre les menaces de sécurité externes?

• Si vous utilisez le chiffrement, maintenez-vous vos propres clés ou les obtenir à partir d'un grand, un fournisseur fiable? Utilisez-vous des algorithmes standards?

• Pouvez-vous évaluer et de quantifier les risques de sécurité en temps réel?

• Pouvez-vous mettre en œuvre des politiques de sécurité de façon uniforme dans tous les types de sur-locaux et architectures cloud?

• Comment protégez-vous toutes vos données, peu importe où il est stocké?

• 
  
  
  
  

  Pouvez-vous satisfaire audit et de reporting des exigences pour les données dans le nuage?

• Pouvez-vous répondre aux exigences de conformité de votre secteur d'activité?

• Quel est votre programme de sécurité de l'application?

• Quels sont vos plans d'urgence et de récupération? Comment vous assurez la continuité de service?

Évaluer la sécurité de votre fournisseur de services cloud

Un environnement de cloud hybride pose un ensemble spécial de défis en matière de sécurité et de gouvernance. Nuages ​​hybrides utilisent votre propre infrastructure ainsi que de votre fournisseur de services. Par exemple, les données peuvent être stockées dans vos locaux, mais traitées dans le nuage. Cela signifie que votre infrastructure sur site peut être connecté à un nuage public plus, qui va affecter les types de contrôles de sécurité dont vous avez besoin.

Les contrôles doivent être en place pour la sécurité du périmètre, l'accès, l'intégrité des données, les logiciels malveillants, etc. - non seulement à votre emplacement, mais aussi avec votre fournisseur de cloud. Les fournisseurs de services cloud ont chacun leur propre façon de gérer la sécurité. Ils peuvent être ou ne pas être compatible avec le respect et le plan de la sécurité globale de votre organisation. Il est absolument essentiel que votre entreprise pas enterrer sa tête dans le sable en supposant que le fournisseur de nuage a couvert la sécurité.

Vous devez vérifier que votre fournisseur de cloud assure le même niveau de sécurité que vous exigez en interne (ou un niveau supérieur, si vous êtes à la recherche pour améliorer votre stratégie de sécurité globale). Vous devez poser beaucoup de questions difficiles pour garantir que la stratégie de la sécurité et de la gouvernance de votre entreprise peut être intégré à votre fournisseur.

Voici quelques conseils qui peuvent vous aider à démarrer et que peuvent également être utiles dans l'évaluation de votre stratégie de sécurité:

• Demandez à votre fournisseur de cloud quel type de sociétés dans lesquelles ils de service. Poser également des questions sur l'architecture du système, afin de mieux comprendre comment la multi-location est gérée.

• Visitez l'installation inopinée afin de comprendre ce que les mesures de sécurité physique sont en place. Selon le CSA, cela signifie marcher à travers tous les domaines, de la zone de la réception à la salle du générateur et même l'inspection des réservoirs de carburant. Vous devez également vérifier pour périmètre de sécurité (par exemple, vérifier comment les gens accèdent au bâtiment) et si l'opérateur est préparé pour une crise (par exemple, les extincteurs, alarmes, etc.).

• Vérifiez où le fournisseur de cloud est situé. Par exemple, est-il une zone de criminalité élevé ou une zone sujette aux catastrophes naturelles telles que les tremblements de terre ou des inondations?

• Quel type de documentation à jour ne le fournisseur de cloud mis en place? At-il des plans de réponse aux incidents? Des plans d'intervention d'urgence? Les plans de sauvegarde? Les plans de restauration? Des vérifications des antécédents du personnel de sécurité et les autres membres du personnel?

• Quel genre de certifications Le fournisseur? Ne le personnel de sécurité de nuages ​​ont des certifications telles que CISSP, CISA, et ITIL?

• Découvrez où vos données seront stockées. Si votre entreprise a des réglementations de conformité, il doit répondre sur les données résidant dans les pays étrangers, ce qui est important à savoir.

• Découvrez qui auront accès à vos données. Jetez également un coup pour voir comment les données seront protégées.

• Pour en savoir plus sur les plans de sauvegarde de données et de rétention du fournisseur. Vous voulez savoir si vos données sont mélangés avec d'autres données. Si vous voulez que votre retour de données lorsque vous résiliez votre contrat, ces questions peuvent être importantes.

• Comment votre fournisseur de prévenir (DoS) attaques par déni de service?

• Quel genre de contrats de maintenance ne votre fournisseur ont mis en place pour son équipement?

• Est-ce que votre fournisseur de cloud surveiller en permanence ses opérations? Pouvez-vous avoir une visibilité dans cette capacité de surveillance?

• Comment sont incidents détectés? Comment l'information est connecté?

• Comment sont traitées les incidents? Quelle est la définition d'un incident? Qui est votre point de contact à votre fournisseur de services? Quels sont les rôles et les responsabilités des membres de l'équipe?

• Comment fonctionne la sécurité de votre fournisseur poignée de la sécurité des applications et des données?

• Quelles sont les mesures que votre nuage moniteur de fournisseurs afin d'assurer que les applications restent sécurisé?

Compte tenu de l'importance de la sécurité dans l'environnement de nuage, on pourrait supposer que le prestataire de services en nuage principal aura une série d'accords complets de niveau de service pour ses clients. En fait, la plupart des accords norme sont destinés à protéger le fournisseur de services - pas le client. Ainsi, votre entreprise doit vraiment comprendre le contrat ainsi que l'infrastructure, les processus et les certifications de votre fournisseur de cloud détient.

Vous devez exprimer clairement vos exigences de sécurité de cloud computing et de la stratégie de gouvernance et de déterminer les responsabilités. Si votre fournisseur de cloud ne veut pas parler de ces articles, vous devriez probablement envisager un fournisseur de cloud différent. D'autre part, votre fournisseur de nuage peut réellement avoir quelques tours dans sa manche qui peut améliorer votre propre sécurité!