简介
曾几何时,大多数组织都认为企业防火墙后面的一切都是可信的。一旦颁发凭据,经过身份验证的用户、设备和应用程序就隐式地受到信任。但这一信念被一系列针对这种盲目信任的成功网络攻击所打破,随之而来的是所谓的“零信任”架构概念的兴起。类似的信任教训也发生在云和托管服务提供商身上。寻找可信任的服务提供商已成为企业关注的关键问题,特别是随着云和服务提供商在企业战略中发挥越来越大的关键作用。与此同时,服务提供商正在积极地努力证明他们值得客户的信任。但也许,在所有这些案例中,这真的不是信任的问题。也许企业在寻找的是证据。
第451条
组织需要知道他们的数字资产是如何保护的,这些资产位于哪里,他们的资产是如何以及为什么被访问的,以及服务是否正常运行。yabo07他们希望按需核实服务提供商是否在做他们说过会做的事情。根据最近委托进行的一项研究和451 Research的《企业之声:云、托管和托管服务、工作负载www.yabo11vip.com和关键项目2019》调查,数据隐私、安全和失控是企业在更大程度上利用云和服务提供商的最大障碍。yabo07
组织检查和验证的能力为服务提供者创造了一个崇高的标准——一个基于证据的标准,而不仅仅是承诺。这种级别的透明度和验证不仅在服务提供商和企业之间建立了信任,而且还为服务提供商提供了强有力的激励,以保持高标准的卓越运营。然而,对于云和服务提供商来说,提供这种级别的透明度和验证是一项艰巨的任务。虽然已经在提高透明度和可证明性方面做出了一些努力,但这些功能有足够的机会成为云计算和服务提供商的竞争优势。
组织检查和验证的能力为服务提供者创造了一个崇高的标准——一个基于证据的标准,而不仅仅是承诺。这种级别的透明度和验证不仅在服务提供商和企业之间建立了信任,而且还为服务提供商提供了强有力的激励,以保持高标准的卓越运营。然而,对于云和服务提供商来说,提供这种级别的透明度和验证是一项艰巨的任务。虽然已经在提高透明度和可证明性方面做出了一些努力,但这些功能有足够的机会成为云计算和服务提供商的竞争优势。
上下文
企业越来越多地使用各种形式和规模的云和托管服务提供商提供的服务——从提供广泛服yabo07务组合的全球提供商,到专注于服务特定垂直领域或向更广泛的受众提供一套独特的专业服务的区域和本地精品提供商。将IT作为服务消费为企业提供了大量的好处,包括可伸缩性、灵活性、敏捷性、对广泛技能和专业知识的访问、成本优化和提高的效率。然而,这些好处往往是有代价的。
随着云和服务消费的增加,组织正在逐步放弃对整个IT生态系统的控制和可见性。但企业正在对许多服务提供商传统的“黑箱”方法失去信心。随着针对本地和全球云和服务提供商的高调攻击的兴起,服务提供商和企业之间的信任差距可能会越来越大。
对云计算和服务提供商的信任依赖于证据,而不是承诺。企业现在坚持能够直接检查和监控服务提供商,而不是完全依赖第三方时间点认证。企业正在寻求确认他们的数据、应用程序、系统和用户受到保护,以防止丢失、中断、威胁和泄露。在更基本的层面上,企业希望知道服务提供商的工具、控制、流程、程序和保障措施是否如预期那样工作,以及服务提供商是否兑现了他们的承诺。
随着云和服务消费的增加,组织正在逐步放弃对整个IT生态系统的控制和可见性。但企业正在对许多服务提供商传统的“黑箱”方法失去信心。随着针对本地和全球云和服务提供商的高调攻击的兴起,服务提供商和企业之间的信任差距可能会越来越大。
对云计算和服务提供商的信任依赖于证据,而不是承诺。企业现在坚持能够直接检查和监控服务提供商,而不是完全依赖第三方时间点认证。企业正在寻求确认他们的数据、应用程序、系统和用户受到保护,以防止丢失、中断、威胁和泄露。在更基本的层面上,企业希望知道服务提供商的工具、控制、流程、程序和保障措施是否如预期那样工作,以及服务提供商是否兑现了他们的承诺。
寻求证据
俄罗斯谚语“信任,但要核实”是由美国总统罗纳德·里根在20世纪80年代末提出的。同样的短语也经常用于信息技术和网络安全,用来描述组织在利用服务和基于云的技术时应该采取的尽职调查。yabo07然而,对于许多组织来说,这种方法在当今快节奏的数字世界中往往失败。对于越来越多的组织来说,这根本不是信任的问题;这一切都是为了能够验证。随着漏洞变得如此普遍和具有毁灭性,许多组织的新谚语正在迅速变成“永远不要信任,总是验证……然后再验证”。
企业希望对云计算和服务提供商提供的生态系统有信心,该生态系统具有正确的控制,并且这些控制正在有效和一致地运行,以保护和保护组织的资产。虽然服务提供商越来越多地宣传和吹嘘其服务的透明度提高,但企业报告称,服务提供商没有提供他们期望的透明度水平。yabo07企业越来越多地在寻找以下问题的答案:
企业希望对云计算和服务提供商提供的生态系统有信心,该生态系统具有正确的控制,并且这些控制正在有效和一致地运行,以保护和保护组织的资产。虽然服务提供商越来越多地宣传和吹嘘其服务的透明度提高,但企业报告称,服务提供商没有提供他们期望的透明度水平。yabo07企业越来越多地在寻找以下问题的答案:
- 谁访问了我的数据和系统,无论是物理上还是虚拟上——为什么以及何时?企业要求云计算和服务提供商证明访问是根据政策允许的,是经过审查的,并且没有被滥用。服务提供商需要确保他们能够提供关于访问客户系统和数据的详细证据:谁正在访问资产,他们从哪里连接,这是否是一个安全的连接,他们是否拥有与正常访问模式一致的特权,他们是否在预期的时间窗口内访问资产,以及他们在访问期间做了什么?
- 我的数据现在在哪里?在公共IaaS云提供商中,选择数据驻留是很常见的,以满足越来越多的监管和隐私要求。虽然许多云提供商并不披露组织的数据可能驻留在哪个特定的数据中心,但他们通常会证明数据所在的地区或国家。然而,由于数据可能根据服务提供商的判断在一个地区或国家内移动,企业开始要求提供有关其数字资产的实时和特定于历史位置的信息。数据驻留选项在SaaS提供商和托管服务提供商中不太常见,但越来越多的企业要求这样做。
- 在发生安全事件时,何时发现事件,谁进行了分析,在开始分诊前花了多长时间,目前的调查和补救状态如何?虽然云提供商更有可能检测云基础设施或平台中的漏洞,但托管服务提供商将(或应该)最有可能检测其管理下的基础设施、应用程序和数据中的事件。不管供应商是什么,企业报告说他们只能看到升级到他们的东西,通常没有任何上下文或解释,让组织在事件发生后的几个小时、几天甚至几周内处于黑暗之中。即使在事件发生后,许多企业仍然不确定发生了什么以及他们受到的影响有多大。在这方面,企业特别指出mssp,指出安全调查通常在一个黑箱中进行,对正在进行的调查、基本原理或所使用的方法几乎没有可见性。
企业还试图验证数据删除、数据收集和共享、加密、隐私和性能等领域的操作。这可能与医疗保健等垂直行业尤其相关,因为可能需要遵守《健康保险携带与责任法案》(HIPAA)等法规。
当今现代企业不断发展的IT生态系统和威胁景观已经使“信任,但验证”的IT方法过时了。许多企业正在将战略转向零信任模型,默认情况下明确不信任所有人和事——每个用户、设备和应用程序,包括云和服务提供商。可证明的网络安全控制和IT服务交付正在迅速成为企业的任务。云计算和服务提供商能够为组织提供不断扩展的能力,以检查和调查所交付服务的承诺,他们应该发现自己在市场上具有竞争优势。yabo07
当今现代企业不断发展的IT生态系统和威胁景观已经使“信任,但验证”的IT方法过时了。许多企业正在将战略转向零信任模型,默认情况下明确不信任所有人和事——每个用户、设备和应用程序,包括云和服务提供商。可证明的网络安全控制和IT服务交付正在迅速成为企业的任务。云计算和服务提供商能够为组织提供不断扩展的能力,以检查和调查所交付服务的承诺,他们应该发现自己在市场上具有竞争优势。yabo07
亚伦谢里尔
信息安全高级分析师
Aaron Sherrill是451 Research的高级分析师,主要研究信www.yabo11vip.com息安全渠道的新兴趋势、创新和破坏,重点关注服务提供商。Aaron在加入451 Rwww.yabo11vip.comesearch之前,曾担任市场上两家最大的纯管理服务提供商的信息安全副总裁和首席技术官。
斯科特·克劳福德
安全研究副总裁
Scott Crawford是451 Research公司信息安全频道的研究副总裁,负责信息安全市场的新兴趋势、创新和颠覆性报道。www.yabo11vip.com斯科特还是451研究中心量子技术卓越中心的成员。www.yabo11vip.com
亚伦谢里尔
高级分析师
Aaron Sherrill是451 Research的高级分析师,主要研究新www.yabo11vip.com兴趋势和创新