क्लाउड-आधारित आईटी सिस्टम लगभग हर आधुनिक उद्योग में महत्वपूर्ण कार्यों को पूरा करता है। कंपनियां, गैर-लाभकारी, सरकारें और यहां तक कि शैक्षणिक संस्थान बाजार पहुंच का विस्तार करने, प्रदर्शन का विश्लेषण करने, मानव संसाधनों का प्रबंधन करने और बेहतर सेवाओं की पेशकश करने के लिए क्लाउड का उपयोग करते हैं। स्वाभाविक रूप से, प्रभावी क्लाउड सुरक्षा प्रशासन किसी भी इकाई के लिए आवश्यक है जो वितरित आईटी के लाभों को प्राप्त करना चाहता है।
प्रत्येक आईटी डोमेन की तरह, क्लाउड कंप्यूटिंग में अद्वितीय सुरक्षा चिंताएं हैं। यद्यपि क्लाउड में डेटा को सुरक्षित रखने का बहुत विचार लंबे समय से एक असंभव विरोधाभास माना जाता रहा है, व्यापक उद्योग प्रथाओं ने कई तकनीकों को प्रकट किया है जो प्रभावी क्लाउड सुरक्षा प्रदान करते हैं। जैसा कि अमेज़ॅन AWS जैसे वाणिज्यिक क्लाउड प्रदाताओं ने FedRAMP अनुपालन को बनाए रखते हुए प्रदर्शन किया है, प्रभावी क्लाउड सुरक्षा वास्तविक दुनिया में प्राप्त करने योग्य और व्यावहारिक दोनों है।
$config[code] not foundएक प्रभावशाली सुरक्षा रोडमैप को चार्ज करना
कोई भी आईटी सुरक्षा परियोजना ठोस योजना के बिना काम नहीं कर सकती। क्लाउड को शामिल करने वाले अभ्यासों को उन डोमेन और कार्यान्वयन के अनुसार अलग-अलग होना चाहिए, जिनकी वे सुरक्षा करना चाहते हैं।
उदाहरण के लिए, मान लीजिए कि एक स्थानीय सरकारी संस्थान आपके स्वयं के उपकरण, या BYOD, नीति को लाती है। यदि वह अपने कर्मचारियों को अपने व्यक्तिगत स्मार्टफोन, लैपटॉप और टैबलेट का उपयोग करके संगठनात्मक नेटवर्क तक पहुंचने से रोक देता है, तो उसे अलग-अलग निरीक्षण नियंत्रण लागू करना पड़ सकता है। इसी तरह, एक कंपनी जो अपने डेटा को अधिकृत उपयोगकर्ताओं के लिए क्लाउड में संग्रहीत करके अधिक सुलभ बनाना चाहती है, शायद उसे अपने डेटाबेस और भौतिक सर्वर को बनाए रखने की तुलना में इसकी निगरानी के लिए अलग-अलग कदम उठाने होंगे।
यह कहना नहीं है, जैसा कि कुछ ने सुझाव दिया है, कि क्लाउड को सुरक्षित रखना किसी निजी LAN पर सुरक्षा बनाए रखने की तुलना में किसी भी संभावित कम है। अनुभव से पता चला है कि विभिन्न क्लाउड सुरक्षा उपायों की प्रभावकारिता इस बात पर निर्भर करती है कि वे कुछ सिद्ध पद्धतियों का कितना अच्छा पालन करते हैं। क्लाउड उत्पादों और सेवाओं के लिए जो सरकारी डेटा और परिसंपत्तियों को नियोजित करते हैं, इन सर्वोत्तम प्रथाओं को फेडरल रिस्क एंड ऑथोराइज़ेशन मैनेजमेंट प्रोग्राम या फेडरल एनपीएम के हिस्से के रूप में परिभाषित किया गया है।
संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम क्या है?
संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम एक आधिकारिक प्रक्रिया है जो संघीय एजेंसियां क्लाउड कंप्यूटिंग सेवाओं और उत्पादों की प्रभावकारिता का न्याय करने के लिए नियोजित करती हैं। विभिन्न विशेष प्रकाशन, या एसपी, और संघीय सूचना प्रसंस्करण मानक, या FIPS, दस्तावेजों में राष्ट्रीय मानक और प्रौद्योगिकी संस्थान, या एनआईएसटी द्वारा परिभाषित किए गए अपने दिल के झूठ मानकों पर। ये मानक प्रभावी क्लाउड-आधारित सुरक्षा पर ध्यान केंद्रित करते हैं।
कार्यक्रम कई सामान्य क्लाउड सुरक्षा कार्यों के लिए दिशानिर्देश प्रदान करता है। इनमें ठीक से घटनाओं को संभालना, उल्लंघनों की जांच के लिए फोरेंसिक तकनीकों का उपयोग करना, संसाधनों की उपलब्धता को बनाए रखने के लिए आकस्मिक योजना बनाना और जोखिमों का प्रबंधन करना शामिल है। कार्यक्रम में थर्ड पार्टी प्रत्यायन संगठनों या 3PAO के लिए मान्यता प्रोटोकॉल भी शामिल हैं, जो केस-दर-मामला आधार पर क्लाउड कार्यान्वयन का आकलन करते हैं। 3PAO- प्रमाणित अनुपालन को बनाए रखना एक निश्चित संकेत है कि सूचना को क्लाउड में सुरक्षित रखने के लिए IT इंटीग्रेटर या प्रदाता तैयार किया जाता है।
प्रभावी सुरक्षा अभ्यास
तो बस कंपनियां कैसे वाणिज्यिक क्लाउड प्रदाताओं के साथ डेटा को सुरक्षित रखती हैं? हालांकि अनगिनत महत्वपूर्ण तकनीकें हैं, कुछ यहाँ उल्लेख के योग्य हैं:
प्रदाता सत्यापन
मज़बूत कामकाजी रिश्ते विश्वास पर बने होते हैं, लेकिन उस अच्छे विश्वास की उत्पत्ति कहीं न कहीं ज़रूर होती है। कोई भी बात नहीं है कि क्लाउड प्रदाता कितनी अच्छी तरह से स्थापित है, यह महत्वपूर्ण है कि उपयोगकर्ता उनके अनुपालन और शासन प्रथाओं को प्रमाणित करते हैं।
सरकारी आईटी सुरक्षा मानक आमतौर पर ऑडिटिंग और स्कोरिंग रणनीतियों को शामिल करते हैं। अपने क्लाउड प्रदाता के पिछले प्रदर्शन की जांच करना यह पता लगाने का एक अच्छा तरीका है कि वे आपके भावी व्यवसाय के योग्य हैं या नहीं। जो व्यक्ति.gov और.mil ईमेल पतों को रखते हैं, वे अपने अनुपालन दावों की पुष्टि करने के लिए विभिन्न प्रदाताओं से जुड़े FedRAMP सुरक्षा संकुल तक पहुँच सकते हैं।
एक सक्रिय भूमिका मान लें
यद्यपि अमेज़ॅन AWS और Microsoft Azure जैसी सेवाओं ने स्थापित मानकों के अपने पालन का अनुमान लगाया है, व्यापक क्लाउड सुरक्षा एक से अधिक पार्टी लेती है। आपके द्वारा खरीदे जाने वाले क्लाउड सेवा पैकेज के आधार पर, आपको अपने प्रदाता को कुछ प्रमुख विशेषताओं के कार्यान्वयन को निर्देशित करना होगा या उन्हें सलाह देनी होगी कि उन्हें अन्य सुरक्षा प्रक्रियाओं का पालन करने की आवश्यकता है।
उदाहरण के लिए, यदि आप एक चिकित्सा उपकरण निर्माता हैं, तो स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम, या HIPAA जैसे कानून, यह आदेश दे सकते हैं कि आप उपभोक्ता स्वास्थ्य डेटा की सुरक्षा के लिए अतिरिक्त कदम उठाएं। ये आवश्यकताएं अक्सर स्वतंत्र रूप से मौजूद होती हैं कि आपके प्रदाता को अपने संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम प्रमाणन को रखने के लिए क्या करना चाहिए।
नंगे न्यूनतम पर, आप क्लाउड सिस्टम के साथ अपनी संगठनात्मक बातचीत को कवर करने वाली सुरक्षा प्रथाओं को बनाए रखने के लिए पूरी तरह से जवाबदेह होंगे। उदाहरण के लिए, आपको अपने कर्मचारियों और ग्राहकों के लिए सुरक्षित पासवर्ड नीतियों की आवश्यकता है। अपने अंत पर गेंद को गिराना भी सबसे प्रभावी क्लाउड सुरक्षा कार्यान्वयन से समझौता कर सकता है, इसलिए अब जिम्मेदारी मानें।
आप अपनी क्लाउड सेवाओं के साथ क्या करते हैं, अंततः उनकी सुरक्षा सुविधाओं की प्रभावकारिता को प्रभावित करता है। आपके कर्मचारी सुविधा के कारणों से छाया प्रैक्टिस में संलग्न हो सकते हैं, जैसे स्काइप या जीमेल के माध्यम से दस्तावेज़ साझा करना, लेकिन ये प्रतीत होता है-अनैच्छिक कृत्य आपके सावधानीपूर्वक क्लाउड सुरक्षा योजनाओं में बाधा डाल सकते हैं। प्रशिक्षण कर्मचारियों के अलावा अधिकृत सेवाओं का सही तरीके से उपयोग करने के लिए, आपको उन्हें सिखाने की आवश्यकता है कि अनौपचारिक डेटा प्रवाह से जुड़े नुकसान से कैसे बचा जाए।
जोखिम नियंत्रण के लिए आपकी क्लाउड सेवा की शर्तों को समझें
क्लाउड पर अपने डेटा को होस्ट करना जरूरी नहीं है कि आप वही भत्ते दें जो आपके पास स्वयं के भंडारण के साथ हों। कुछ प्रदाता आपकी सामग्री को ट्रॉल करने का अधिकार रखते हैं ताकि वे विज्ञापनों की सेवा कर सकें या आपके उत्पादों के उपयोग का विश्लेषण कर सकें। दूसरों को तकनीकी सहायता प्रदान करने के दौरान आपकी जानकारी तक पहुंचने की आवश्यकता हो सकती है।
कुछ उदाहरणों में, डेटा एक्सपोज़र एक बहुत बड़ी समस्या नहीं है। जब आप व्यक्तिगत रूप से पहचाने जाने योग्य उपभोक्ता जानकारी या भुगतान डेटा के साथ काम कर रहे होते हैं, तब भी, यह देखना आसान होता है कि तृतीय-पक्ष पहुंच आपदा को कैसे प्रेरित कर सकती है।
दूरस्थ प्रणाली या डेटाबेस तक सभी पहुंच को पूरी तरह से रोकना असंभव हो सकता है। फिर भी, ऑडिट रिकॉर्ड और सिस्टम-एक्सेस लॉग जारी करने वाले प्रदाताओं के साथ काम करना आपको इस बारे में जानकारी देता है कि आपका डेटा सुरक्षित रूप से बनाए रखा जा रहा है या नहीं। इस तरह का ज्ञान संस्थाओं को होने वाले किसी भी उल्लंघन के नकारात्मक प्रभावों को कम करने में मदद करने की दिशा में एक लंबा रास्ता तय करता है।
कभी नहीं मान लें कि सुरक्षा एक बार का मामला है
अधिकांश बुद्धिमान लोग नियमित रूप से अपने व्यक्तिगत पासवर्ड बदलते हैं। क्या आपको क्लाउड-आधारित आईटी सुरक्षा के बारे में उतना मेहनती नहीं होना चाहिए?
भले ही आपके प्रदाता की अनुपालन रणनीति कितनी बार तय करती है कि वे स्वयं ऑडिट करते हैं, आपको नियमित कार्यों के लिए अपने स्वयं के मानकों को परिभाषित करने या अपनाने की आवश्यकता है। यदि आप भी अनुपालन आवश्यकताओं से बंधे हैं, तो यह आपको एक कठोर नियम बनाने के लिए प्रेरित करेगा जो यह सुनिश्चित करता है कि आप अपने दायित्वों को पूरा कर सकते हैं, भले ही आपका क्लाउड प्रदाता लगातार ऐसा करने में विफल हो।
क्लाउड सुरक्षा कार्यान्वयन बनाना जो काम करते हैं
प्रभावी क्लाउड सुरक्षा कुछ रहस्यमय शहर नहीं है जो क्षितिज से परे हमेशा के लिए निहित है। एक अच्छी तरह से स्थापित प्रक्रिया के रूप में, यह अधिकांश आईटी सेवा उपयोगकर्ताओं और प्रदाताओं की पहुंच के भीतर है, भले ही वे किस भी मानकों के अनुरूप हों।
इस लेख में उल्लिखित प्रथाओं को अपने उद्देश्यों के लिए अपनाने से, सुरक्षा मानकों को प्राप्त करना और बनाए रखना संभव है जो आपके डेटा को अत्यधिक परिचालन के बिना सुरक्षित रख सकते हैं।
चित्र: SpinSys
1 टिप्पणी ▼