谈及云时,企业和组织总是会被分为两个不同的类别:一个天生就采用云,一个后天才采用云。
一谈到全面拥抱完整的、基于云的业务,像Salesforce这样的企业一开始就是奔着云而创建的,它们在市场中占据着主导地位。另一方面,许多大型的遗留企业在混合IT环境中运行业务,而这个环境通常由公有和私有云、数据中心住房服务、内部部署和软件即基于应用的服务所组成,当然,还包括大型主机。
据Gartner去年发布的一项研究,60%的受访者表示他们已经将超过三分之一的IT基础设施替换成了云产品。尽管云和非云的平衡将得到打破,但是在可预见的未来,多云、虚拟云和内部部署仍会存在——超过90%的企业正在使用混合云解决方案。
不管企业选择何种路径去往云端,安全是他们必须要考虑的一件事情。通过理解云和内部部署环境的安全需求的差异,企业应该有信心,其混合IT布局中的应用程序和数据能够免受网络攻击。
保护混合IT
操作混合IT环境会加大攻击面,增加企业风险,并加剧三个常见的安全挑战:IT复杂性、网络安全人员短缺和违反相关法规。
无论企业规模多大,以下三个方法可教你如何从容地应对这些挑战,保护混合IT环境。
1.消除复杂性
复杂性是混合IT的副产物。企业决定采纳混合IT环境时,通常会面临缺乏一致的、从端到端运行的基础架构的挑战。
如果处理不当,这可能会迫使企业运行异构环境,而这个环境中会有不同的身份管理范例、安全系统和全面的体验。这种混合IT的方法比较昂贵、复杂,并且还会给企业的全局安全带来风险。
消除这种复杂性的一个办法是将自动化引入到跨混合大型主机的安全威胁监控流程中。除简化流程外,通过帮助搜寻异常的用户行为和模式,以及更快速地做出响应,自动化还能提高安全性。网络罪犯越来越多地在其攻击中使用到了自动化,因此企业需要做好准备。
2.使商业用户参与其中,减轻IT人员的负担
在当今的数字经济中,任何一个企业都离不开软件。尽管网络安全技能缺失,但是对IT人员——尤其是安全人员的需求正在不断增长。在去年Nash/KPMG对CIO的一项调查中,65%的CIO表示他们相信技能缺失将阻碍企业跟上变革的步伐。
人员和技能的缺失会使IT团队的负担变得更加沉重,并且增加错误和经营风险发生的可能性。为减轻这种负担,一些流程和决定,如谁应当管理一个业务部门的某个特定的应用程序,应当转移给商业用户,以精简操作。
3.更高效地处理遵从性问题
在数据可能存在于许多不同位置的混合环境中,遵守诸如全球数据保护规范(GDPR)、Sarbanes-Oxley法案和PCI-DSS这样的法规可能是一项挑战。
通过使数据能够更容易地得到收集、分析和上报给美国或全球监管机构,自动化和机器学习的增强性分析能够帮助实施遵从性计划,不管数据位于何处。这使得审计员对已知的和未知的风险拥有更好的可见性。在谈及处理已知区域的未转移的风险时,可见性尤其有用。
企业将会继续采用混合IT
近期内,混合IT不太可能会消失。企业会混合本地数据中心和大型主机、服务器(虚拟的或其他)以及公有和私有云。然而,这种混合做法会引入安全风险,因为混合模型会增加企业IT基础设施的复杂性。
你是如何支持管理混合模型的IT和安全专业人员的?你又是如何在新的、混合的环境中处理遵从性问题的?对力求成功过渡到混合云模型的企业来说,上述问题都是至关重要的。