将系统和数据移到公共云平台上所涉及到的安全顾虑超过了医院最初的估计,现在大家都有一种甚至几年前都不存在的舒适感。虽然公共云平台运营商在安全方面已经采取了非常措施,但医院和卫生系统仍然需要做一些工作来确保其系统和数据的安全性。在使用公共云平台的时候,医疗行业的CIO和CISO们应该时刻做好应对安全隐患的准备。
规避安全风险的五要素
云平台已经发展到了一定的程度,具有一种“性感的”特质,事实证明它在可靠性、规模、性能和节省成本方面非常具有吸引力。底特律亨利福特医疗系统(Henry Ford Health System)副CIO John Fowler提出,在考虑将系统和数据部署在公共云平台时,CIO们应该关注五个要素。
第一是学习。虽然CIO们已经在IT职业道路上达到了成功的顶峰,但也是时候重返校园了。这并不像“内部部署vs外部部署”或者“内部服务vs托管服务”这样简单。将系统或数据转移到云平台中不管是在业务上还是技术上,都存在一定的复杂性,需要自上而下的深入知识。向云平台转移的决定不应该仅仅因为供应商一个一小时的陈述演示就决定。CIO们应该采用自上而下的学习方法。
同时,应该确保他们自己及团队对基础设施、安全、身份管理和访问控制、支撑模型、风险及其他许多项目的充分理解。重返校园与CISO合作,将帮助他们在项目启动之前、期间和之后,能够更好地了解云解决方案的操作交付和必要的安全控制,并促进两者之间的紧密协作。
第二个要素被称为“触角”。公共云计算对组织的基础设施、数据、应用程序以及托管环境之外的其他方面具有重要的影响。技术体系结构图和数据流可以识别可能需要额外控制和监视的高风险级别环境。CIO和CISO应该合作,并将额外的技术措施和监控应用到那些被确定为高风险的领域。
第三是注意细节。CIO们应该充分理解云托管供应商提供安全控制的合同义务,这点非常关键。Fowler解释到:“通常,使用机构会误认为云平台供应商会负责安全控制,我们不能等到供应商违约的时候再来审查其是否有确保安全的责任。充分理解对方的责任,对于确保云安全控制中没有漏洞至关重要。”
第四,遵循最佳实践。遵循云平台相关的安全框架,可降低会导致系统破坏的安全性错误配置的可能性。由于需要新的安全控制类型来弥合基础设施、平台和软件服务的内部交付和外部交付之间的差距,云环境也变得更为复杂。
第五,身份管理的重要性。在使用云平台之前,由于通常需要通过网络连接对访问进行身份验证,所以使用内部访问界限是非常有利的。在云环境中,可以随时随地访问系统和数据。及时开通和删除用户帐户,并遵循最低的权限规则,这些基本的安全控制将大有裨益。
引入第三方安全供应商
宾夕法尼亚州,丹维尔格市伊辛格医疗卫生系统(Geisinger Health System) 副CIO Joe Fisne具备一些与平台合作的经验,他说,在使用云平台时,CIO们需要考虑多个方面的事情:采用第三方供应商的产品确保能够遵循HIPAA和HITrust准则,以保证完全符合安全标准。此外还采用第三方解决方案来保证虚拟专用网络和传输层的安全性,这些解决方案应该具备足够的云平台经验,以保证我们实现安全链接。从安全的角度来看,云平台活动目录中,管理账户的无缝集成也是必不可少的。
在完全迁移到云端之前,必须加强测试环境,并对测试环境进行验证检查,这有助于确保我们拥有一个安全的云来传输所有信息。作为一种最佳实践,应该建立自己的环境,并让自己选择的云供应商对其进行评估检测。
把安全成本放在首位
密苏里州乔普林市弗里曼卫生系统(Freeman Health System)CIO Leonard T. Rollins说:“在保证公共云平台安全时,首先要考虑的问题之一就是安全基础设施(防火墙)的所需成本,为了让数据在环境之间安全地移动,这个基础设施是不可缺少的。”
同时,一定要了解如何在任何云环境中保护我们的数据。必须明白数据在静止状态时都发生了什么?数据都是被加密了的,那么它是如何被压缩的?是否有专有的工具可供使用?是否可以轻松检索数据?数据是如何备份的,云平台供应商采用的工具是什么?数据是掌握在该供应商手里还是他又把数据泄露给了第三方供应商?
要确保我们的员工们都明白将数据放在云端意味着什么,他们应该如何使用这些数据。确保一个治理流程,保证任何对数据做出的变化都有相关记录,并且得到了治理团队的批准。Rollins提到的另一个最佳实践是:若一个供应商拒绝配合做安全风险和业务连续性的相关问卷调查,就不要和他合作。
最后,如果要存储应用程序使用的数据,则必须进行测试,以确保应用程序用户有积极的感受。进行基准测试,以确定用户体验受到了(或将受到)如何的影响。
原文链接:https://www.healthcareitnews.com/news/critical-security-tips-provider-cios-using-public-clouds
