第一个标准:符合企业安全政策。 你在制定指导准则以确定加密何时有必要时,不需要从头开始。可以参照企业内部现有的安全政策,就可以评估哪些敏感信息可能存在于贵企业环境中,并利用这些信息,为自己的加密策略奠定基础。另外别忘了考虑与贵公司有关的内外合规性法规。 第二个标准:高度自动化的加密。 一旦就哪些情况下需要加密达成了共识,接下来可以采取实际行动了。充分利用安全技术,找出企业里面的敏感内容,并使用加密作为针对风险特别大的事件的一种补救工具。如果让这个过程实现自动化,安全团队势必能够以一种智能化、内容感知的方式,迅速减小数据不恰当泄露的可能性,并且给企业安全状况带来实实在在的影响。 第三个标准:考虑到人员因素。 安全项目如今比以往更加需要将最终用户的需要考虑进来。如果企业的安全计划妨碍典型的用户工作流程,或者侵扰性太强(软件代理不值得考虑),员工就会规避企业系统,通过随手可得的软件即服务(SaaS)应用程序,利用他们可以获得的众多替代方法;如果需要的话,还有机会完全绕过企业网络,这归因于自带设备(BYOD)潮流。 第四个标准:云无处不在。 现在的问题不再是企业组织何时采用云技术,而是如何采用。你上一回跑到办公用品商店购买盒装软件是啥时候了?说实话,我也不记得了。 与云端加密有关的挑战归因于三大现象:云端数据急剧增加,现代用户的预期要求比较高,以及保留原生云功能具有的重要性。从2014年到2015年,我们目睹存储在公有云应用程序中的文件数量增长了10倍。加密这么多海量的数据就好比用气泡衬垫将整个房子包起来,而不是关注那些要紧的易损物品。 与此同时,安全负责人开始认识到用户个人上班时和下班后都在充分利用云技术,带来了一种更高效、更合作的移动生活方式。用户们在访问传统企业网络内外的SaaS应用程序。最后,正如我们已经讨论的那样,一刀切的加密会在云端带来复杂性,具体表现为影响搜索和报告功能。 第五个标准:自适应架构。 因而,现代的加密策略必须与许多企业奉行的云优先理念相一致,以便为员工队伍提供最出色的工具。为此,需要重新规划流量路由和重新配置网络的依赖硬件的加密网关或解决方案显得缺乏效率、并不理想。 与传统预置型加密模式有关的网络设备带来了单一故障点,并且缺乏可扩展性、部署简易性以及已成为新标准的移动/云兼容性。另外,它们无力应对从不在企业网络上传送的日益增加的云到云流量;也就是说,文件同步和共享应用程序与客户关系管理(CRM)整合起来。
|