业界观点:追求数据中心的安全绿色数据中心
在加盟TSC Advantage之前,Will是苹果公司的一名技术人员兼业务解决方案专家。他曾拥有一家私人IT咨询公司,为包括小企业,初创公司,律师事务所,医疗机构和非盈利组织等客户提供服务。
业界观点:数据中心的最大的风险是什么?
Will Blattner:数据中心维护着来自不同客户的大量数据信息。我们所谈论的数据信息,包括支付卡行业(PCI)的数据,个人身份信息(PII),电子健康信息(ePHI),当然,也包括敏感的知识资产。所有这些信息被安置在一个单一的位置。如此大规模的集中数据操作很容易成为引诱黑客恶意攻击的目标,数据中心的竞争对手试图利用各种物理或内部威胁以突破其对数据的安全控制。数据中心还不得不面临客户对系统的控制成为其环境的一个组成部分所增加的风险。
业界观点:数据中心专业人员应该如何保护自己所在的企业?
Will Blattner:正因为所有企业用户基于信任将其敏感数据信息委托给数据中心运营商进行保护,数据中心需要对其团队进行适当的教育,培训和宣传,让全体员工充分认识和防范针对他们的各种威胁。从社会工程到开发物理安全,不断演变的威胁使数据中心来积极考虑进行安全投入,实施一套更为全面、整体的安全措施显得尤为关键,而不仅仅是局限于传统的软件或硬件方面的防御措施。数据中心的专业人员需要像对待敌人一样严阵以待。
业界观点:网络保险在保障数据中心安全方面扮演着怎样的角色?
Will Blattner:保险可以作为一个有用的工具,可以帮助数据中心运营商降低业务中断的相关费用,律师费用,并保障隐私权方面的法律责任。但必须强调的是,网络保险应该辅之以更高的尽职调查和积极的理念,旨在将防止事故发生放在首位才是最为重要的。一旦敏感的数据被窃取或丢失,多少保险金也都无法挽回。
业界观点:数据中心的行业标准对于帮助保持数据中心的安全足够吗?
Will Blattner:那些由国际标准化组织(ISO)所创建的标准是一个非常好的管理起点,同时也是数据中心运营商审查其安全管理政策的一种好方法。但每个环境是不同的,每家公司都有不同的文化。安全策略必须针对具体操作流程和企业而制定。没有一套单一的标准是足以保护任何规模的操作的,特别是对于数据中心而言。
业界观点:影子IT已经成为一个备受关注的安全问题;数据中心的专业人士对此应该了解些什么?
Will Blattner:影子IT是各种规模的企业都非常关注的一个巨大的问题,对此只有一个真正的解决方案:给予你的员工他们办公所需要的易于使用,且与系统集成的资源,最重要的是,制定明确的政策来引导他们的使用。IT技术以以往任何时候的发展速度都快。当企业抵制某些变革时,他们的工作人员将寻找其他方法去完成自己的工作,而这些方式往往危及企业安全。因此,各种规模的企业都必须赶上后PC时代的技术发展的步伐。
业界观点:集成整合云服务是否带来了新的安全问题?这些问题是什么?
Will Blattner:当整合云服务到业务时,有很多问题要考虑。其中的许多问题都是与安全和控制相关:我的数据在哪里?其是如何存储的?谁有权限访问这些数据?数据中心服务运营商对其新员工的审核是什么样的?该供应商的物理安全漏洞是什么?
当一家企业用户在评估潜在的云服务提供商(CSP)时,他们需要彻底审查供应商的业务和IT环境。熟悉云安全联盟的使命,并使用其标准以评估可能的CSP可能不是一个坏主意。通常,当移动任何系统(到云或其他),有一定的妥协,但企业必须权衡这些妥协对遗留IT策略的局限性。
业界观点:展望未来,影响数据中心及其安全的主要解决方案有哪些?
Will Blattner:这再次被归结为采取安全措施,而不是实际技术方案的方法。当然,新的安全技术总是会不断涌现。一些新的企业花费了大量的时间利用新的方法来检测恶意软件,先进的持续威胁(APTS)及其他风险。但与此同时,恶意的攻击总是能够寻找新的途径。你数据中心的服务器机架的特殊的新机箱并不一定安全。数据中心运营商保障最好的安全的方式是对其业务的细致的评估和再评估。时间会证明哪些方式是能够真正保持对安全的监控,而哪些是专注于提供服务的。
业界观点:数据中心如何能够在不牺牲安全性的前提下,满足用户和业务不断增长的需求?
Will Blattner:数据中心,云服务提供商在提供最新和最好的服务方面比以往任何时候的压力都更大。为了能够向客户提供高质量且安全的服务,这些运营商企业必须评估他们的整个操作。这意味着完成重型,防守,深入评估所有业务领域,而不仅仅只是数据的安全。当然,他们需要解决像渗透测试这样的明显的评估,但他们也需要评估业务和政策,物理安全和雇员。最重要的是,而这一领域也经常被忽视的是,这些供应商与第三方的关系:仅仅签署合同是不够的。数据中心和云服务提供商需要针对与其合作的任何第三方供应商或其他合作伙伴进行风险评估。