介绍

从前,大多数组织都相信公司防火墙后面的一切都是可信的。通过身份验证的用户、设备和应用程序在发出凭证后就隐式地受到信任。但这种信念被一系列针对这种盲目信任的成功网络攻击所粉碎,随之而来的是所谓的“零信任”架构概念的兴起。云计算和托管服务提供商在信任方面也得到了类似的教训。寻找可信任的服务提供商已成为企业的一个关键问题,特别是随着云和服务提供商在企业战略中扮演越来越大和关键的角色。与此同时,服务提供商也在积极寻找方法来证明他们值得客户的信任。但也许,在所有这些情况下,这真的与信任无关。也许企业正在寻找的是证据。


451年花

组织需要知道它们的数字资产是如何受到保护的,这些资产位于哪里,它们的资产是如何被访问的,以及为什么被访问,以及服务是否正常运行。188bet金博宝是什么他们想根据需要核实服务提供商是否真的在做他们说过会做的事。根据最近委托的一项研究和451 Research的《企业之声:云、托管和管理服务、工作负载和关188宝金博网址是多少键项目2019年调查》,数据隐私、安全和失控是企业在更大程度上利用云和服务提供商的最大障碍。188bet金博宝是什么

组织检查和验证的能力为服务提供商创造了一个崇高的服务标准 - 基于证明的标准,而不仅仅是承诺。这种透明度和验证水平不仅在服务提供商和企业之间建立了信任,而且还为服务提供商提供了令人信服的激励,以维持高标准的卓越运营。但是,提供这种透明度和验证水平是云和服务提供商的艰巨任务。虽然已经努力更深层次的透明度和可证明,但有充足的机会使这些能力成为云和服务提供商的竞争差异化。

上下文


企业越来越多地从所有形状和规模的云和托管服务提供商消耗服务 - 来自全球提供者188bet金博宝是什么,为区域和地方精品提供商提供广泛的服务组合,专注于为更广泛的受众提供独特的专业服务。作为服务作为服务的消耗提供企业的丰富效益,包括可扩展性,灵活性,敏捷性,获得广泛的技能和专业知识,成本优化和效率增加。然而,这些益处通常是成本的。

随着云计算和服务消费的增加,组织正在稳步放弃对整个IT生态系统的控制和可见性。但企业正在对许多服务提供商的传统“黑匣子”方法失去信心。随着针对本地和全球云计算和服务提供商的高调攻击的增多,服务提供商和企业之间的信任差距可能会越来越大。

信任云和服务提供商取决于证明,而不是承诺。企业现在坚持要首先检查和监控服务提供商的能力,而不是专门依赖第三方的时间点证明。企业正在寻求确认其数据,应用程序,系统和用户受到保护免受损失,中断,威胁和违规行为。在更基本的层面上,企业想知道服务提供商的工具,控件,流程,程序和保障措施是否适用于预期,并且该服务提供商正在履行其承诺。


寻找证据

俄罗斯谚语“信任,但要查证”是上世纪80年代末美国总统罗纳德·里根的名言。在信息技术和网络安全领域,这句话经常被用来描述企业在利用服务和基于云的技术时应该采取的尽职调查。188bet金博宝是什么然而,对于许多组织来说,这种方法在当今快节奏的数字世界中经常失败。对越来越多的组织来说,这根本不是信任的问题;关键是要有能力去验证。随着违规行为变得如此普遍和具有破坏性,许多组织的新谚语很快变成了“永远不要信任,总是核实……然后再核实”。

企业希望有信心相信云计算和服务提供商正在交付一个具有适当控制的生态系统,并且这些控制能够有效地、一致地运行,以保护和保护组织的资产。虽然服务提供商越来越多地宣传和吹嘘其服务的透明度提高了,但企业报告称,服务提供商并没有达到他们希望的透明度水平。188bet金博宝是什么越来越多的组织在寻求以下问题的答案:

  • 谁访问了我的数据和系统,既有物理和几乎 - 为什么和何时?企业要求云计算和服务提供商证明,接入是按照政策允许的,是经过审查的,没有被滥用。服务提供商需要确保他们能够提供关于访问客户系统和数据的细粒度证明:谁在访问资产,他们从哪里连接,这是一个安全的连接,他们是否拥有与他们的正常访问模式一致的特权,他们是否在预期的时间窗口内访问资产,他们在访问时做了什么?
  • 我的数据现在在哪里?在公共IAAS云提供商之间具有常见的数据居住选择,以满足越来越多的监管和隐私要求。虽然许多云提供商未在哪个特定数据中心披露组织的数据可能居住的时候,但他们经常证明数据所在的区域或国家。然而,由于数据可能在服务提供商自行决定的区域或国家,企业开始询问有关其数字资产的实时和历史的位置特定信息。数据居住选项与SaaS提供商和托管服务提供商往往不太常见,但企业越来越多地要求。
  • 在发生安全事件时,何时检测到该事件,由谁执行分析,在开始分诊前需要多长时间,以及调查和补救的当前状态是什么?虽然云提供商更有可能检测云基础设施或平台中的妥协,但托管服务提供商将 - 或者应该 - 最有可能在其管理中检测基础设施,应用程序和数据中的事件。无论提供商如何,企业报告说,他们只看到了对他们的升级,通常没有任何上下文或解释,将组织在黑暗中留下几个小时,日子或甚至在活动后几周。即使在活动之后,许多企业仍然不确定发生的事情以及它们受到影响的程度。特别是MSSP在这方面被企业挑选出来,说明安全调查通常在黑色盒子中进行,几乎没有能够持续调查的可见性,理由或所用方法。
企业也在寻求验证数据删除、数据收集和共享、加密、隐私和性能等方面的操作。这可能与诸如医疗保健等垂直行业特别相关,在这些行业中可能需要遵守诸如健康保险可携性和责任法案(HIPAA)等法规。

今天现代企业的不断发展的IT生态系统和威胁景观已经取得了“信任,但验证了”方法已经过时。许多企业正在将策略转移到零信任模型,明确地不信任所有内容和默认情况 - 每个用户,设备和应用程序,包括云和服务提供商。可提供的网络安全控制和IT服务交付迅速成为企业的任务。云和服务提供商可以为组织提供拓展和调查正在交付服务的承诺的能力,应在市场上发现自己在竞争优势。188bet金博宝是什么
Aaron Sherrill.
资深分析师,信息安全

亚伦·谢里尔,451 Research高级分析师,研究信息安全渠道的新兴趋势、188宝金博网址是多少创新和中断,重点关注服务提供商。Aaron加入451 Re188宝金博网址是多少search之前,曾担任信息安全副总裁和首席技术官,任职于市场上两家最大的纯管理服务提供商。

斯科特·克劳福德
研究副总裁,安全

Scott Crawford是451次研究中信息安全渠道的研究副总裁,在那里他在信息安全市场中引发了新兴趋势,创新和中断的覆盖范围。188宝金博网址是多少斯科特也是451次研究卓越的量子技术中心的成员。188宝金博网址是多少

Aaron Sherrill.
高级分析师

亚伦·谢里尔(Aaron Sherrill)是451 Research公司的高188宝金博网址是多少级分析师,主要研究新兴趋势和创新托管服务和托管安全服务部门中断。188bet金博宝是什么亚伦在几个行业拥有20多年的经验,包括为联邦调查局提供服务。

想要阅读更多?现在就申请审判。