【摘要】当您的组织将数据和应用程序迁移到云时，首席安全官应该关注相关的步骤和流程。

随着企业业务快速向云上迁移，IT人员开始关注云上的数据安全问题，应该采取措施确保数据和应用程序的安全。不管安全团队说什么，员工们的工作重心都要转移到云端，但他们的的工作习惯不会很快改变。

根据甲骨文(Oracle)和毕马威(KPMG)本周发布的一份云威胁报告，在过去的五年里，云技术的应用快速增加。使用公共云服务的企业比例从2013年的57%上升到2018年的85%。2013年，只有21%的组织表示他们使用了基础设施即服务(IaaS)。今年，这个数字达到了51%——增长了143%。

甲骨文(Oracle)云业务集团副总裁Akshay Bhargava说，这一重大转变正在引发网络安全挑战的新浪潮。随着新设备接入和移动身份访问云环境，云中数据正在面临新的威胁。

“对我们来说，最大的发现是难以持续保持与云应用相当的规模的安全投入，”他解释说。“许多组织正面临着一个挑战：他们的云应用速度明显快于他们保护云安全防护的能力。”

90%的调查对象将其至少一半左右的云端数据归类为敏感数据。值得注意的是，“敏感”是一个主观的术语，但通常这些信息包括客户关系管理数据、个人身份信息、支付卡数据、法律文件、源代码、设计和其他类型的知识产权。

83%的受访者认为，云上的安全防护措施完全有必要。尽管人们对云计算的信任度越来越高，但组织往往没有采取正确的措施来确保向云端迁移期间的安全。其中之一是，在与云服务提供商进行业务合作之前对其进行适当的审查——这是一个挑战许多组织的步骤。

大部分（98％）甲骨文/毕马威的受访者在与公共云服务提供商开展业务之前，都会对其进行正式的安全审查。但是，只有47％的人自己进行这些评估，52％的人使用第三方的评估。挑战来自缺乏行业标准基准测试提供商的安全计划，这造成了模糊性。

如果您在思考云优先思维，您应该确保所有安全措施都已经过检查，然后再进行云上迁移。在这里，安全专家强调了在迁移到云时需要牢记的最重要步骤。

当组织准备将数据和应用程序迁移到云上时，这些步骤对你会有帮助。

开启云上思维

ZScaler负责新兴技术的CIO和副总裁帕特里克·福克斯霍文(Patrick Foxhoven)说，通常情况下，组织会把云提供商的基础设施看作是自己系统的延伸，他们把传统思维方式带到了云端。

他说:“很多时候，公司会考虑如何将公司网络与云提供商的环境联系起来，并通过物理链路将两者联系在一起。”因此，连接是静态的，但业务实现上却忽略了云计算的优势，比如实现云的完全可移植性和灵活性。

Foxhoven把失误的原因归咎于缺乏对云计算的新功能的洞察力和培训，以及“不愿意去思考新事物”。

识别数据安全需求

IP Architects总裁John Pironti说，在你将数据传送给云服务提供商之前，先清点一下清单，然后确定你究竟在做什么，以及你想要做什么，了解需要哪些安全控制措施来实现数据安全的目标。

他说: 应该询问云提供商，他们能提供哪些安全选项，以及如何接收安全更新。当你整理你的数据并计划行动时，Pironti建议，应优先考虑保护质量，包括数据隐私、可用性、加密、可见性，以及如何防止未经授权的用户访问云中的数据。

Alert Logic公司产品和营销高级副总裁Misha Govshteyn解释说，一旦确定了最关键的业务数据和应用程序，就可以更好地识别攻击面和攻击方法。从那里，你可以考虑如何最好地保护环境，以及应该采取哪些控制措施。

“这方面我们在内部花了一些时间进行讨论，现在我们和客户一起识别这些安全问题，这消除了他们的很多观点和争论。”他说。

划分责任边界

McAfee云业务部门营销副总裁Vittorio Viarengo表示：“客户意识到他们仍然需要为云中发生的一些事情提供安全保障。现在企业开始仔细研究他们的具体安全需求。

云服务商提供的安全性会因您的云服务而异，他说，如果浏览基础架构即服务平台，该提供商负责主机基础架构，操作系统基础架构和物理安全性，以便任何人都无法访问实际的服务器。客户负责网络安全，应用程序级控制，身份和访问管理（IAM），端点保护以及数据分类和问责。软件即服务提供商处理物理安全性，网络和应用程序安全性，但是客户处于数据和用户安全性，身份和访问管理（IAM）和端点保护之间。

审查安全设置

“在云环境中，您必须非常小心，非常勤快地审查安全设置，”Pironti说。“很容易因为一个错误，让事情迅速的公开。”

他指出了2017年全年发生的一系列事件，其中主要公司错误配置了他们的亚马逊S3存储系统并意外地向公众公开了他们的数据。他指出，内部部署环境具有云环境所不具备的数据保护措施。人们在初步地认识到了他们的数据在云基础设施中的没有保护措施，却没有采取适当的措施确保数据的安全。

保持协同一致

当你计划将企业应用向云过渡时，重要的是与所有相关人员会面，以确保团队的所有成员都知道如何工作。

“最重要的事情之一是，首先，DevOps，开发人员和安全团队使用相同的语言，”Govshteyn说。“让他们在基本认识上达成一致：我们最重要的数据是什么，我们最重要的应用是什么。”

了解定价模型

Foxhoven说:“另一个常见的错误是对定价模型的误解，以及如何解决这个问题”。

企业需要确定在云环境中运行不同应用程序的财务影响。对于某些应用程序而言，迁移到云中具有经济优势。对于其他人而言，成本可能不合理。他指出，需要大量实时访问的原始在线存储的应用程序可能无法转移到云提供商。

考虑增加IT人员

Pironti说：“当IT人员试图说服他们的执行董事会将业务转移到云端的时候，安全专家通常会认为云服务会让他们减少员工，事实上正好相反。”

他指出:“我们实际上需要更多的云计算运维人员，我们需要一个新的层次的对话，一个新的关注点。”虽然采用云技术可以在一定程度上降低基础设施成本，但它不会减少员工。

“你应该找什么样的员工?---了解服务和应用程序的人，”Pironti补充说，“这些技能应该比基础架构和操作系统安全性要求更高。“他们需要了解服务及其工作方式，以及他们所创造的风险。”

原文链接：
https://www.darkreading.com/cloud/7-steps-to-a-smooth-secure-cloud-transition/d/d-id/1331535