首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 实现有效的云风险管理

实现有效的云风险管理

Upesh帕尔克
作者: Upesh帕尔克, CISA, CRISC
发表日期: 2022年4月13日

在过去的二十年里,云技术已经跃居技术世界的前沿. 很难找到一个没有以某种形式实现云技术的澳门赌场官方下载. 现在的注意力已转移到如何优化云资源以有效降低风险. 由于对云服务提供商(csp)的依赖,将数据迁移到云端会带来不同类型的风险。, 复杂的技术, 数据驻留在客户的物理控制之外,并且对客户期望依赖的许多控制缺乏透明度. 

自从云出现以来,它的实现已经有了很大的发展. 云计算服务提供商(csp)已经创建了许多不同的云计算产品,以至于提供当今所有可用实现方法的详尽列表将是一项挑战.

美国国家标准与技术研究院(NIST)特别出版物(SP) 800-145 云计算的NIST定义 将云计算定义为“一种实现无处不在的模型”, 方便, 按需网络访问共享的配置资源池(例如.g., 网络, 服务器, 存储, 应用程序, 服务)可以以最少的管理工作或服务提供交互来快速供应和发布.”1

云计算的NIST定义 还描述了云计算的基本特征, 包括按需自助服务, 广泛的网络接入, 资源池, 快速弹性和可测量的服务.

除了这些基本特征之外,还有各种云部署模型,包括:

  • 公共云-基础设施由多个租户共享,云向公众开放. 任何人都可以通过订阅来使用公共云.
  • 私有云-基础设施仅供单一组织使用. 组织可以操作云,也可以不操作云.
  • 澳门赌场官方下载云-类似的消费者可以协作建立一个云,以澳门赌场官方下载云的形式设计,用于共享基础设施(e.g.,政府机构可以形成专属使用的云).
  • 混合云-这是两种不同部署模型的混合.

此外,还提供以下几种业务模式:

  • “基础架构即服务”(IaaS)-客户订购CSP提供的计算、网络或存储资源.
  • 平台即服务(PaaS)除了IaaS中描述的构建块之外, 客户还订阅工具, 库, 服务和编程语言来运行应用程序.
  • 软件即服务(SaaS)-客户使用应用程序,包括提供商提供的底层基础设施和服务.

云实现有许多变体,它们利用部署和服务模型的所有可能的排列.

云技术对风险的影响

信息技术是一个快速变化的领域. 云计算等新技术对技术风险格局的影响从未如此深远.

以更有效地减轻这种风险, 了解哪些云计算因素极大地影响了风险格局是很重要的:

  • 第三方的角色-多年来,外包在信息技术领域发挥了重要作用. 第三方风险管理对技术风险专业人士来说并不新鲜. 然而,csp的作用已经变得越来越大,越来越深入. 根据所使用的部署模型,此角色可能有所不同. 如果一个组织正在使用公共云模型, 由于云完全由第三方拥有和运营,因此第三方所扮演的角色要比其他模式大得多, 而在私有云模型中,有可能由客户组织负责所有权和运营. 类似的, 在使用SaaS服务模型时,客户对供应商的依赖性更大,因为基础设施和应用程序是由第三方提供的, 而IaaS模式规定CSP只提供基础设施. 云计算安排可能导致的复杂关系使第三方风险管理处于不同的云技术基础上.
  • 技术-虽然虚拟化技术不是一个新概念, 在云环境中广泛使用虚拟化会带来新的技术风险. 新的硬件和软件元素,如虚拟机管理程序的使用, 使用管理平面配置底层硬件, 软件定义网络, 无服务器计算和/或基础设施即代码(IAC)引入了必须在整体风险评估中考虑的新风险.
  • 共同拥有控制权-虽然使用第三方供应商在技术领域并不新鲜, 从风险角度来看,正是控制操作的整合程度使云技术有所不同(图1).

    图1 -云控制所有权模型

    图1 -云控制所有权模型


    例如,考虑备份和恢复控制. 大多数云计算服务提供商在PaaS部署期间提供多种存储云客户数据的选项. 可能存在这样一种情况,即客户没有利用云计算服务提供商的备份服务,而是, 因此, 负责创建备份, 在这种情况下, 提供者负责计算资源的冗余,而客户负责其他一切. 或者,客户可以选择由CSP按成本执行备份服务. 在这种情况下, 客户负责确定备份需求和恢复点目标(RPO), 而云提供商负责管理备份例程, 备份安全性和备份测试. 因此,客户可以使用各种备份和恢复选项. 客户和供应商的责任因情况而异.

    对于某些控件,例如与身份和访问管理相关的控件或与加密相关的控件, 客户和提供者的责任交织在一起,一种放之四海而皆准的方法是行不通的, 因此,很难评估和分析控制的有效性和, 反过来, 的风险.
    • 而使用第三方供应商在技术领域并不新鲜, 从风险的角度来看,正是控制操作的集成程度使云技术有所不同.
  • 分包商-大多数csp大量利用其他分包商的服务. 监控分包商的使用使事情变得更加复杂. 假设一个SaaS提供商托管数据并利用某个CSP的计算服务,并使用不同的CSP备份数据. 为客户服务, 这就产生了多重控制权, 每个都由不同的供应商以模糊的责任模型操作.
  • 数据位置-数据在云环境中的位置是不确定的. 事实上,“云”的概念间接暗示了这一点. 在某些国家,有与数据位置相关的法律和监管要求. 在这种情况下,云的性质加剧了合规噩梦. 一些csp允许组织选择存储数据的位置. 然而,还有更复杂的问题. 例如, 一些PaaS服务使用临时数据存储,而csp可能无法确保此位置,因为云服务的设计目的是利用计算和存储资源来满足任何位置的处理需求.
  • 云提供商教育客户的能力和意愿-大多数csp对遵守安全要求感兴趣, 精通不同地区的法规和法律要求, 并热切支持客户的经济利益. 然而,这并不是普遍正确的. 较小的csp可能不知道更复杂的法律和监管要求. 他们可能对某些敏感行业提出的大量担保要求无动于衷. 有时,客户花费大量时间向较小的参与者解释控制需求. 即使是更大的csp也只愿意在一定程度上保持透明. 一些云计算服务提供商(csp)可能会用复杂的服务水平协议(sla)和审计需求的权利来阻碍客户. 这是可以理解的, csp受经济利益驱动,不倾向于为大型客户群定制保证请求. 这使得风险分析和评估具有挑战性.

最终, 与其他新技术计划相比,云技术需要对控制环境和风险管理方法进行更深入的分析.

给技术风险专业人员的建议

解决云实现带来的挑战, 技术风险专业人员必须根据以下考虑因素改变他们处理技术风险的方法:

  • 心态这个建议可能会有点令人惊讶,也会有一些争议. 云实现已经成为现实. 云技术的好处超过了它的风险. csp也承认,更强的安全控制和更好的风险管理流程更有经济意义. 技术风险专业人员必须接受这样一个事实,即当数据迁移到云中时,他们将无法获得控制环境的相同级别的可见性. 客户必须依靠供应商来保护他们的数据. 风险专家应该投入更多的精力来定制他们自己的控制和开发彻底的评估技术,以确保合理的可见性.
    • 技术风险专业人员必须接受这样一个事实,即当数据迁移到云中时,他们将无法获得控制环境的相同级别的可见性.
  • 风险专业人员培训云计算是不同技术的复杂组合,它在不断变化. 当风险专业人员在云基础知识方面没有得到充分的培训时, 他们倾向于将内部部署的思维模式应用于云, 导致风险管理方法不合适. 对风险专业人员的培训应超越大型csp提供的标准培训. 此类培训应由云专家协同设计, csp和风险专家确保所有基地都被覆盖.
  • 关卡设计一旦应用程序或服务转移到云端,就很难弥补任何漏洞. 在应用程序或服务迁移到云之前,应该有一个最小控制集的列表. 例如, 如果应用程序存储和处理机密数据, 然后,最好在应用程序上传到云之前与云提供商确认适当的加密控制级别. 客户是依赖云服务提供商的密钥,还是使用自己的密钥进行加密? 或者CSP是否能够更好地支持客户更高的可用性需求, 特别是考虑到CSP提供的服务可能不会在其所有数据中心得到支持? 在服务迁移到云之前,应该回答这些问题. 这样的检查点应该内置到云管理流程中,以确保只有在确保适当的控制集到位之后,应用程序才会迁移到云.
  • 控件目录的自定义-许多风险专家犯了一个错误,即对云实现使用相同的控制目录. 虽然控制的基本性质没有改变, 操作控制的方式也发生了变化. 例如, 考虑每年一次用于测试本地应用程序以实现灾难恢复(DR)目的的控制. 当应用程序在PaaS或IaaS环境中上线后,仍然可以进行测试, 可能需要将控件分解为若干子控件,以清楚地阐明哪些控件可以在没有云供应商参与的情况下由用户进行测试,以及控件的哪些部分将与云供应商发布的灾难恢复报告集成.
  • 供应商关系-最终,并非所有事情都可以由SLA或审计条款决定. 对于风险管理专业人士来说,与供应商建立良好的关系非常重要. 提供者和客户都应该将整个风险管理工作视为互惠互利的. 与供应商的定期会议, 理想的交流和互信有助于迅速加强控制环境.
  • 评估第三方合规性报告许多csp, 尤其是大型供应商, 成为第三方保证,以证明控制的有效性. 利用遵从性报告来深入了解CSP的控制环境非常重要. 这些报告可能包括SOC2报告, 渗透测试报告, 支付卡行业数据安全标准(PCI DSS)报告, 云计算合规性标准目录(C5)报告或国际标准化组织(ISO)标准ISO 27001认证. 每个报告或证明都有不同的重点. 了解报告所涵盖的范围也很重要. 例如, 如果数据驻留在印度中部的数据中心,并且该数据中心未被CSP发布的SOC2报告覆盖, 那么人们可能不想依靠这样的SOC2报告来保证. 此外,这些报告可能会定期发布或刷新. 了解并跟踪报告发布和修改的频率是很重要的. 最重要的是, 客户应将其自己的控制目录与此类报告所涵盖的控制进行映射,以确保覆盖范围足够.

随着技术风险功能深入到云风险, 实现过程中可能需要进行其他更改.

幸运的是, 指南以各种出版物的形式提供, 包括云安全联盟(CSA)的云控制矩阵第4版.2 它由197个控制目标组成,分为17个领域. 它不仅包含了由于云技术的实现而要包含的新控件, 同时也显示了云计算服务提供商和云客户之间的责任划分. 还提供了实施和审计指南. NIST的 网络安全框架 版本1.13 包括基于现有标准的自愿指导, 组织更好地管理和降低网络安全风险的指南和实践.4

结论

识别的方法, 评估和分析技术风险应该进行定制,因为有几个因素将云实现与内部部署实现区分开来. 云技术的影响可能因组织而异,具体取决于云模型和部署方法.

技术风险职能部门不仅要改变思维方式,还要评估云技术相关风险, 而且在更细粒度的层面上, 更改控制框架,以确保充分处理和减轻与云相关的风险.

尾注

1 美国国家标准与技术研究院(NIST) 特别出版物(SP) 800-145 云计算的NIST定义2011年9月,美国
2 云安全联盟, 云控制矩阵(CCM) 2021年6月4日
3 美国国家标准与技术研究院, 网络安全框架 版本1.1美国
4 国家标准与技术研究所,”开始,美国,2018年2月

编者按

想了解更多作者对这个话题的看法,请收听“实现有效的云风险管理ISACA的一集® 播客.

Upesh帕尔克, CISA, CRISC

是一个治理, 安全和云风险专业人士,在银行和金融领域有超过15年的经验,了解风险管理方法. 他在一家领先的财富管理机构工作,总部设在印度浦那。. 帕瑞克曾在ISACA任职® 并帮助审核了ISACA的《澳门赌场官方下载IT治理认证》® (CGEIT®)及获得风险及资讯系统控制证书® (CRISC®)认证考试复习手册.