در طول پنج سال گذشته، ما شاهد تغییرات فوق العاده ای در فناوری، پرسنل و شیوه های تجاری بوده ایم. ابر در حال حاضر به مدل صنعتی واقعی برای ارائه خدمات محاسباتی تبدیل شده است. تلفن همراه به رایج ترین مدل برای دسترسی به داده ها تبدیل شده است. پلتفرمهای ابری روزانه میلیاردها دستگاه اینترنت اشیاء (IoT) را مدیریت میکنند و پیشرفتهای جدید هیجانانگیزی مانند ریزسرویسها در حال توسعه هستند تا مقیاسپذیری و کارایی غیرقابل تصوری را که قبلاً تصور نمیشد، ایجاد کنند.
با این حال، با معرفی ابر سازمانی، کنترلهای حسابرسی جدید برای پرداختن به استفاده از این فناوریهای جدید، مدلهای خدمات جدید و تفاوتهای ظریف جدید در نحوه اعمال کنترلهای حسابرسی موجود در ابر مورد نیاز است.
کتاب سفید ارزیابی ریسک ابر سازمانی یک راهنمای ارزیابی مشترک است که راهنمایی های گام به گام را برای سازمان های سازمانی ارائه می دهد که خدمات خود را به ابر منتقل می کنند. این به سازمانهای سازمانی کمک میکند تا یک استراتژی ابری ایجاد کنند که در بین صدها ارائهدهنده ابری آنها، هم در سطح محلی و هم در سطح بینالمللی گسترش مییابد. من این امتیاز را داشتم که ریاست این کاغذ سفید ابری را بر عهده داشته باشم. نقش من به عنوان CISO در Domo، بزرگترین پلتفرم تجزیه و تحلیل ابری و با بیش از 25 درصد از 50 شرکت جهانی فورچون به عنوان مشتری، به من این امکان را داد که برخی از بهترین شیوه ها و درس های مهم صنعت را در این کاغذ سفید بگنجانم.
بهترین روش ها برای مدیریت رایانش ابری سازمانی
مقاله سفید مفهوم Common Cloud Controls را معرفی می کند. اینها حوزههای کنترل بالغ مرتبط با محیطهای خدمات فناوری اطلاعات سنتی هستند که برای سرویسهای مبتنی بر ابر نیز قابل اجرا هستند. این مکانیسمهای حسابرسی بالغ در نظر گرفته میشوند (مثلاً محافظت در برابر ویروس، بررسی پسزمینه، و غیره) و صدها مورد از این کنترلهای بالغ وجود دارد که بر روی ابر اعمال میشوند. سازمان ها می توانند به سادگی از ابزارهای حسابرسی موجود خود برای ارزیابی این کنترل ها استفاده کنند، مانند SOC II، ISO 27001، ارزیابی های مشترک AUP و غیره.
این فرآیند باید به سازمان اجازه دهد تا با استفاده از برنامه های ممیزی فعلی، بیش از 80 درصد از کنترل های ارائه دهنده ابر را به سرعت و کارآمد ارزیابی کند.
سپس نواحی کنترلی هستند که معمولاً تحت پوشش ISO 27001 یا SOC II نیستند (مثلاً چند اجاره، کانتینرسازی و غیره). کاغذ سفید آنها را Delta Cloud Controls می نامد و ده ها مثال عملی از نحوه ترکیب موثر این حوزه های کنترلی در استراتژی ابری سازمان و برنامه حسابرسی ارائه می دهد.
کتاب سفید ارزیابی ریسک ابر سازمانی شامل فهرست کامل بهترین شیوهها، سوالاتی برای بحث با ارائهدهندگان ابر و درسهای آموختهشده برای حوزههای کنترلی مرتبط با ابر است، اما ما مراحل ارزیابی کنترل ابری را در چند موضوع کلیدی که باید در نظر گرفته شوند، خلاصه کردهایم:
مدیریت داده ها:
کنترل های هر یک از چهار لایه اصلی چیست؟ از آنجایی که همه سرویس های ابری عمومی در یک محیط ابری اجرا می شوند، زیرساخت های یکسانی را به اشتراک می گذارند.
به کنترلهای تقسیمبندی و جداسازی دادهها در لایههای اصلی نگاه کنید: شبکه، فیزیکی، سیستم و برنامه، و هر یک از کنترلهای بالا را در هر لایه ارزیابی کنید (به عنوان مثال، کنترلهای جداسازی دادههای ابری معمولاً در لایه فیزیکی ضعیفتر هستند یا وجود ندارند. ، مانند جایی که اغلب جداسازی فیزیکی وجود ندارد)، که نیاز به کنترل های سه لایه دیگر بسیار قوی تر دارد. توجه ویژه ای به کنترل های برنامه داشته باشید، زیرا این لایه ای است که اکثر کنترل های ابری حیاتی در آن قرار دارند.
همچنین، سازمان ها باید نقش و مسئولیت خود را به عنوان “کنترل کننده داده” و ارائه دهنده ابر به عنوان “پردازنده داده” را درک کنند. عدم درک اینکه چه کسی مسئول است یکی از دلایل اصلی حوادث امنیتی و حریم خصوصی است.
تعیین کنید که آیا به هر مشتری یک کلید رمزگذاری منحصر به فرد ارائه شده است یا اینکه آیا کلیدهای رمزگذاری مشترک هستند. کلیدهای مشتری منحصر به فرد یک کنترل قوی هستند که می توانند داده های ترکیبی را در پایگاه داده توسط مشتری دیگر غیرقابل خواندن کنند.
اطمینان حاصل کنید که داده های مشتری در ذخیره سازی و انتقال از طریق شبکه، در سراسر شبکه های خارجی و داخلی، به عنوان مثال، رمزگذاری شده است. ارائهدهنده خدمات ابری و زیرساختهای زیربنایی آنها (مانند AWS، Azure). رمزگذاری شبکه داخلی و مرکز داده به مرکز داده اهمیت فزاینده ای پیدا می کند. زیرا شبکه های خصوصی یا داخلی مستعد نفوذ غیرمجاز به شبکه هستند.
مدیریت مکان:
داده های من کجاست؟ این امر به ویژه برای ارائه دهندگان خدمات ابری که ممکن است مراکز داده و تیم های پشتیبانی در حوزه های قضایی متعدد قانونی داشته باشند بسیار مهم است.
مهم است که از ارائه دهندگان ابری خود بخواهید که همه مکان هایی را که در آن ذخیره، پردازش، انتقال یا دسترسی به داده های مشتری می کنند و اینکه آیا آنها به طور خاص در قرارداد تعریف شده اند را فهرست کنند. حصول اطمینان از اینکه قرارداد ابری همه کشورها یا حوزه های قضایی قانونی را که داده های شرکت در آنها ذخیره، پردازش یا به آنها دسترسی پیدا می کند، مستند می کند، برای کمک به سازمان ها برای برآوردن الزامات حریم خصوصی داده های داخلی مهم است. توجه به این نکته مهم است که دسترسی ساده به شبکه از طریق پشتیبانی از یک کشور دیگر اغلب مانند «ذخیرهسازی داده» در آن کشور در نظر گرفته میشود، و به این ترتیب ممکن است طیف کاملی از الزامات امنیت و حفظ حریم خصوصی ذخیرهسازی داده اعمال شود.
فرآیند ارزیابی باید شامل بررسی کامل هر گونه تضاد احتمالی در حریم خصوصی داده ها و الزامات قانونی کشورها باشد. یک مثال این است که اگر مشتری و ارائهدهنده ابر در ایالات متحده واقع شده باشند و ارائهدهنده چندین مرکز داده در ایالات متحده داشته باشد، ممکن است تضاد حریم خصوصی دادهها ایجاد شود، اما همچنین دارای یک مرکز داده در آلمان برای بازیابی بلایا و مقاومسازی باشد. ایالات متحده ممکن است نیاز به حذف برخی از داده ها داشته باشد (به دلیل الزامات حفظ حریم خصوصی داده های ایالات متحده)، در حالی که قوانین آلمان ممکن است نیاز به حفظ داده ها (به عنوان مدرک در دادخواست بعدی) داشته باشد. در این سناریو، تضاد قوانین بین حوزه های قضایی می تواند یکپارچگی داده های مشتری را در معرض خطر قرار دهد.
مدیریت کاربر:
احراز هویت، مجوز و گزارش کاربر چگونه مدیریت می شود؟ یک مدل مدیریت کاربر یکپارچه جزء اصلی ابر از منظر تجاری، قابلیت استفاده و امنیت است.
شرکتهایی که از ابر استفاده میکنند میتوانند برای ادغام راهحلهای مدیریت هویت و گزارش موجود خود با راهحلهای ارائهدهنده ابر به چالش کشیده شوند. اطمینان حاصل کنید که ارائهدهنده ابر از استانداردهای فدراسیون هویت مانند SAML یا OpenID پشتیبانی میکند تا از ادغامهای فردی پرهزینه و یکباره جلوگیری کند.
هنگامی که کاربر احراز هویت شد، مرحله بعدی مجوز است. مهم است که ارائهدهنده ابر بتواند مجموعهای از مجوزهای کاربر را حفظ کند تا کمترین امتیاز مشتری و الزامات تفکیک وظایف در محیط آن ارائهدهنده ابر برآورده شود.
همچنین، اطمینان حاصل کنید که تمام اقدامات کاربر نهایی، اعم از تایپ یا مرور، در فضای ابری ثبت شده است و یک API برای ادغام دادههای گزارش مستقیماً در ابزارهای نظارت امنیتی مشتری وجود دارد. این برای مشتری مهم است که چندین ارائه دهنده ابر خود را از مرکز عملیات امنیتی مشتری (SOC) نظارت کند.
مدیریت تامین کننده:
چگونه به ارائه دهنده ابر خود امتیاز بدهم؟ مانند هر مدل ارائهدهندهای، یک سازمان میتواند مسئولیت خدمات را برونسپاری کند، اما نه ریسک یا مسئولیتپذیری مرتبط.
یکی از پایه های ابر ماهیت انعطاف پذیر آن است که ریشه در نوآوری و تغییرات سریع دارد. به این ترتیب، مدل کلاسیک ارزیابی فروشنده شما یک بار در سال، برای ابر مقیاس نمی شود. در عوض، شرکتها باید یک برنامه نظارت و مدیریت بر اساس تقاضای فروشنده بسازند که بر اساس سطح تغییرات مداوم در ابر است. در صورت امکان، این امر باید از ارائهدهنده ابری بخواهد که تعدادی محرک برای یک الزام اعلان ارائه کند، از جمله اعلان زمانی که کنترلهای امنیت مواد تغییر میکنند، فروشندگان مربوطه ارائهدهنده ابر تغییر میکنند (به عنوان مثال، انتقال از AWS به Azure)، یا زمانی که شکافهای کنترلی تعریفشده خاصی (به عنوان مثال، یک آسیب پذیری خارجی سطح بالا برای مدت زمان مشخصی باز می ماند).
یکی از چالش ها این است که اطمینان حاصل شود که مزایای اجرای یک راه حل ابری با پیچیدگی انجام تجارت در فضای ابری جبران نمی شود. ارائهدهنده ابر باید یک نقطه تماس واحد، یک قرارداد واحد و یک نقطه پاسخگویی را برای مدیریت راهحل انتها به انتها، بدون توجه به خدمات اساسی که خودشان استفاده میکنند، ارائه دهد.
مهم است که از ذهنیت «خارج از دید، دور از ذهن» محافظت کنید: این هنوز داده ها و خدمات شما هستند، حتی اگر مستقیماً توسط ارائه دهنده ابر میزبان یا مدیریت شوند.
موارد فوق تنها برخی از بهترین روشهایی است که میتوان در مقاله سفید منتشر شده اخیر درباره ارزیابیهای مشترک ارزیابی ریسک ابر برای سازمان یافت. امیدوارم در راهنمای ارزیابی ریسک ابری ارزشی پیدا کرده باشید و به بخشی جدایی ناپذیر از جعبه ابزار مدیریت فروشنده ابری شما تبدیل شود. کل وایت پیپر را می توانید از اینجا دانلود کنید.