هل منظمتك تدرك هذه المخاطر السحابية العامة الستة؟

مؤلف: Roger Morrison
تاريخ الخلق: 23 شهر تسعة 2021
تاريخ التحديث: 9 قد 2024
Anonim
CCSP Domain 6 | Legal, Risk and Compliance
فيديو: CCSP Domain 6 | Legal, Risk and Compliance

المحتوى


المصدر: بولس روسيانتو / دريمستيم

يبعد:

يمكن أن تكون السحابة العامة حلاً رائعًا للعديد من المؤسسات ، ولكن تأكد من معرفتك بكل المخاطر قبل المتابعة.

يعد تخزين البيانات في السحابة الآن ضرورة لأي مؤسسة ترغب في مواكبة آخر التطورات التكنولوجية ، ولكنها لا تخلو من المخاطر. أصبحت الهياكل السحابية العامة المختلطة أو البسيطة أكثر شيوعًا بين الشركات والشركات الكبرى أيضًا. وفقًا للاستطلاعات الحديثة ، في عام 2016 ، فإن 68٪ من الشركات تستخدم أو تفكر في استخدام حل سحابة مختلطة لتلبية احتياجات تخزين البيانات الخاصة بهم.

تزيد الغيوم العامة من مرونة عمليات نشر الأجهزة الافتراضية مع الحفاظ على أسعارها معقولة بما فيه الكفاية حتى للشركات الصغيرة ، وغالبًا ما تكون بديلاً جذابًا للشركات الناشئة.ومع ذلك ، فهي ليست خالية من المخاطر والعيوب التي تأتي بطبيعتها الفريدة وغالبًا ما تكون مختلفة تمامًا عن المخاطر التقليدية للحلول السحابية الخاصة. يجب تزويد أخصائي تكنولوجيا المعلومات الحكيم بأدوات مراقبة جيدة للتخفيف من هذه المخاطر وضمان أداء ثابت وعالي الجودة.

الوصول المشترك

تسمح حلول البنية التحتية كخدمة (IaaS) بتخزين البيانات على نفس الجهاز ، في حين تجبر حلول البرمجيات كخدمة (SaaS) العملاء على مشاركة نفس التطبيق ، مما يعني أن البيانات عادةً ما يتم تخزينها في قواعد البيانات المشتركة. اليوم ، فإن خطر وصول البيانات من قِبل عميل آخر يشارك نفس الجداول يقترب من الصفر في حالة مزودي الخدمات السحابية الرئيسية مثل Microsoft أو Google. ومع ذلك ، يمكن أن تصبح مخاطر التعددية العمرية مشكلة بالنسبة لمقدمي الخدمات السحابية الأصغر حجماً ، ويجب أن يؤخذ التعرض في الاعتبار بشكل مناسب.


يجب إنشاء فصل مناسب بين الأجهزة الظاهرية للعملاء لمنع أي فرصة لمستأجر الوصول عن غير قصد إلى بيانات العملاء الآخرين. بالإضافة إلى ذلك ، قد تعيق حركة المرور الزائدة للمستأجر أداء المستخدمين الآخرين ، لذلك من الضروري أيضًا ضمان سير عمل مناسب. يمكن منع معظم هذه المشاكل المحتملة بأمان أثناء مرحلة التكوين من خلال اتخاذ الاحتياطات المناسبة على مستوى برنامج Hypervisor.

عدم التحكم في البيانات

على الجانب الآخر من الطيف ، قد تعرض الخدمات السحابية الأكبر مثل Dropbox أو Google Drive المؤسسات إلى نوع مختلف من المخاطر. نظرًا لأن البيانات أصبحت الآن خارج بيئة تكنولوجيا المعلومات الخاصة بالشركة ، فإن مشكلات الخصوصية ترتبط في الغالب بخطر ظهور بيانات حساسة في أيدي موظفين غير مصرح لهم. تشجع الخدمات السحابية الأحدث العملاء على نسخ بياناتهم بشكل متكرر في الوقت الفعلي. ومع ذلك ، يمكن أن تكون الخصوصية على المحك عند مشاركة خدمات مشاركة الملفات من جهات خارجية لأن إعدادات الأمان الأكثر تشددًا والتي تستخدم عادة لحماية البيانات الأكثر حساسية أصبحت الآن خارج نطاق سيطرة المؤسسة.


تتمثل الطريقة الأكثر فعالية لتقليل هذا الخطر في تشفير الملفات الخاصة بك ضمن نطاق من 128 إلى 256 بت ، أثناء مرحلتي التخزين والنقل. وبهذه الطريقة ، لا يمكن مشاهدة جميع البيانات التي يتم نقلها بواسطة أفراد غير معروفين خارج الشركة.

إحضار مشاكل الجهاز (BYOD) الخاصة بك

تعد استراتيجيات "إحضار جهازك الخاص" (BYOD) إحدى أكثر الميزات جذابة للخدمات السحابية التي سمحت للشركات بزيادة كفاءة موظفيها ورضاهم عن أبسط خدعة. من خلال السماح للعاملين باستخدام أجهزتهم الذكية (أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية) ، يضمن ما يصل إلى 70 في المائة من الشركات أن الموظفين أكثر سعادة ورضا ويمكنهم التجول بحرية ، ويمكنهم العمل من المنزل أو أثناء التنقل ، مما يقلل من وقت التوقف عن العمل وعدم الكفاءة .

ومع ذلك ، حتى إذا كانت BYODs قد يكون لها مواصفات أعلى من تلك التي توفرها الشركة ، فقد تفتقر أجهزة الموظفين إلى الحماية والحماية الكافية. يكاد يكون من المستحيل احتواء انتهاك البيانات على جهاز الموظفين ، نظرًا لأنه يتعذر تتبع الأجهزة الخارجية أو مراقبتها دون أدوات محددة. وحتى إذا كان الجهاز آمنًا ، فلا يزال من الممكن أن يتم فقده أو انتهائه في الأيدي الخطأ ، مما يعني أن أي شخص خارج نطاق أمان بيئة العمل يمكنه اختراق شبكة الشركة بعواقب واضحة.

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

مآثر افتراضية

بعض عمليات الاستغلال موجودة فقط بسبب الطبيعة الافتراضية للسحابة ، بالإضافة إلى المشكلات التقليدية التي تطرحها الآلات الفيزيائية. معظم المستهلكين لا يدركون هذه الثغرات الأمنية ، ومع وجود سحابة عامة ، فإنهم أقل سيطرة على الأمن. يمكن أن يحدث التطفل حتى مع الملفات المشفرة إذا تم اعتراض البيانات في طريقها إلى العقدة الوجهة.

على سبيل المثال ، يمكن لـ VMs المستضافة المشاركة التجسس على بعضها البعض إلى حد ما ، مما يعرض الشركة لمخاطر أمنية حرجة عند تسرب مفاتيح التشفير. يمكن للهجمات الضارة مثل rowhammer و Flip Feng Shui العمل معًا لتخزين البيانات الحساسة مثل مفاتيح التشفير في المواقع المعروفة بأنها عرضة للهجمات. يعد استخدام الاتصالات الآمنة التي يمكن أن تمنع الغرباء من الوصول إلى بيانات تعريف السحابة أمرًا حيويًا ، بالإضافة إلى تحديث أدوات الأمان باستمرار لمعالجة أي استغلال افتراضي جديد. (لمعرفة المزيد حول نقاط الضعف مثل هذه ، راجع هل يجب أن تقلق بشأن Rowhammer؟)

ملكية

يوجد لدى العديد من مزودي السحابة العامة بنود في عقودهم تنص صراحة على أن العميل ليس المالك الوحيد للبيانات لأن البيانات المخزنة مملوكة من قبل البائع. يحتفظ مقدمو الخدمة في كثير من الأحيان بالحق في "مراقبة استخدام" البيانات والمحتوى المشتركين والمرسلين لأسباب قانونية. إذا كان العميل يستخدم خدماته لأغراض غير قانونية مثل استغلال الأطفال في المواد الإباحية ، فيمكن للبائع السحابي نفخ صفارة الحكم وتنبيه السلطات.

وعلى الرغم من أن إدانة جريمة بشعة قد يبدو خيارًا شرعيًا تمامًا ، فقد يتم طرح أكثر من بضعة أسئلة حول مخاطر الخصوصية المحتملة للبيانات التي يحتفظ بها المزود. غالبًا ما تكون البيانات أحد الأصول التي يمكن التنقيب فيها وإجراء البحوث لتزويد البائعين السحابيين بمزيد من فرص الإيرادات. قد توفر لك قراءة شروط الخدمة نظرة ثاقبة حول كيفية معالجة بياناتك وإذا كنت حقًا المالك عندما يتم نقلها وتخزينها.

مخاطر التوفر

لا يمكن أن تضمن خدمة 100 ٪ الجهوزية. لذلك بخلاف فشل الاتصال المعتاد ووقت التوقف عن العمل بسبب مزود خدمة الإنترنت ، هناك أيضًا خطر فقدان الوصول إلى خدماتك عند تعطل موفر الخدمة السحابية. لم يعد التكرار والتسامح مع الخطأ تحت سيطرة فريق تقنية المعلومات لديك ، مما يعني أنه يجب على العميل الاعتماد على وعد البائع بدعم بياناته بشكل منتظم لمنع فقد البيانات. ومع ذلك ، غالبًا ما تكون خطط الطوارئ غير شفافة ولا تحدد صراحة من المسؤول في حالة حدوث ضرر أو انقطاع في الخدمة.

يجب على الشركة التي ترغب في نقل بياناتها إلى سحابة عامة أو حل سحابة مختلطة ، أن تعرف مسبقًا ما إذا كان المزود يقدم خطط التعافي من الكوارث والتزام DR / الفشل. قد يلجأ بائعو السحابة الأصغر الذين لا يمتلكون مراكز بيانات كافية إلى استخدام شركات تابعة لجهات خارجية ليس لديك عقد معها. أيضًا ، يجب أن توفر الاتفاقية تعريفًا واضحًا لمن يمكن أن يتحمل المسئولية عند حدوث انقطاع للخدمة. (لمعرفة المزيد حول هذا ، راجع التحديات الكبيرة التي تواجه استعادة البيانات.)

يمكن أن توفر خدمات التخزين السحابية العامة قيمة كبيرة للمؤسسات وعادة ما تقوم بعمل تأمين بيانات أفضل بكثير من مؤسسة بمفردها. ومع ذلك ، يجب على أي صاحب عمل ذكي معرفة المخاطر التي قد تواجهه عن طريق اختيار هذا الحل ، وما هي التدابير التي يمكن اتخاذها لتخفيفها بخلاف ما يمكن أن يقدمه البائع وحده.