信息化觀察網(wǎng)

將系統(tǒng)和數(shù)據(jù)移到公共云平臺(tái)上所涉及到的安全顧慮超過(guò)了醫(yī)院最初的估計(jì)，現(xiàn)在大家都有一種甚至幾年前都不存在的舒適感。雖然公共云平臺(tái)運(yùn)營(yíng)商在安全方面已經(jīng)采取了非常措施，但醫(yī)院和衛(wèi)生系統(tǒng)仍然需要做一些工作來(lái)確保其系統(tǒng)和數(shù)據(jù)的安全性。在使用公共云平臺(tái)的時(shí)候，醫(yī)療行業(yè)的CIO和CISO們應(yīng)該時(shí)刻做好應(yīng)對(duì)安全隱患的準(zhǔn)備。

規(guī)避安全風(fēng)險(xiǎn)的五要素

云平臺(tái)已經(jīng)發(fā)展到了一定的程度，具有一種“性感的”特質(zhì)，事實(shí)證明它在可靠性、規(guī)模、性能和節(jié)省成本方面非常具有吸引力。底特律亨利福特醫(yī)療系統(tǒng)(Henry Ford Health System)副CIO John Fowler提出，在考慮將系統(tǒng)和數(shù)據(jù)部署在公共云平臺(tái)時(shí)，CIO們應(yīng)該關(guān)注五個(gè)要素。

第一是學(xué)習(xí)。雖然CIO們已經(jīng)在IT職業(yè)道路上達(dá)到了成功的頂峰，但也是時(shí)候重返校園了。這并不像“內(nèi)部部署vs外部部署”或者“內(nèi)部服務(wù)vs托管服務(wù)”這樣簡(jiǎn)單。將系統(tǒng)或數(shù)據(jù)轉(zhuǎn)移到云平臺(tái)中不管是在業(yè)務(wù)上還是技術(shù)上，都存在一定的復(fù)雜性，需要自上而下的深入知識(shí)。向云平臺(tái)轉(zhuǎn)移的決定不應(yīng)該僅僅因?yàn)楣?yīng)商一個(gè)一小時(shí)的陳述演示就決定。CIO們應(yīng)該采用自上而下的學(xué)習(xí)方法。

同時(shí)，應(yīng)該確保他們自己及團(tuán)隊(duì)對(duì)基礎(chǔ)設(shè)施、安全、身份管理和訪問(wèn)控制、支撐模型、風(fēng)險(xiǎn)及其他許多項(xiàng)目的充分理解。重返校園與CISO合作，將幫助他們?cè)陧?xiàng)目啟動(dòng)之前、期間和之后，能夠更好地了解云解決方案的操作交付和必要的安全控制，并促進(jìn)兩者之間的緊密協(xié)作。

第二個(gè)要素被稱(chēng)為“觸角”。公共云計(jì)算對(duì)組織的基礎(chǔ)設(shè)施、數(shù)據(jù)、應(yīng)用程序以及托管環(huán)境之外的其他方面具有重要的影響。技術(shù)體系結(jié)構(gòu)圖和數(shù)據(jù)流可以識(shí)別可能需要額外控制和監(jiān)視的高風(fēng)險(xiǎn)級(jí)別環(huán)境。CIO和CISO應(yīng)該合作，并將額外的技術(shù)措施和監(jiān)控應(yīng)用到那些被確定為高風(fēng)險(xiǎn)的領(lǐng)域。

第三是注意細(xì)節(jié)。CIO們應(yīng)該充分理解云托管供應(yīng)商提供安全控制的合同義務(wù)，這點(diǎn)非常關(guān)鍵。Fowler解釋到：“通常，使用機(jī)構(gòu)會(huì)誤認(rèn)為云平臺(tái)供應(yīng)商會(huì)負(fù)責(zé)安全控制，我們不能等到供應(yīng)商違約的時(shí)候再來(lái)審查其是否有確保安全的責(zé)任。充分理解對(duì)方的責(zé)任，對(duì)于確保云安全控制中沒(méi)有漏洞至關(guān)重要。”

第四，遵循最佳實(shí)踐。遵循云平臺(tái)相關(guān)的安全框架，可降低會(huì)導(dǎo)致系統(tǒng)破壞的安全性錯(cuò)誤配置的可能性。由于需要新的安全控制類(lèi)型來(lái)彌合基礎(chǔ)設(shè)施、平臺(tái)和軟件服務(wù)的內(nèi)部交付和外部交付之間的差距，云環(huán)境也變得更為復(fù)雜。

第五，身份管理的重要性。在使用云平臺(tái)之前，由于通常需要通過(guò)網(wǎng)絡(luò)連接對(duì)訪問(wèn)進(jìn)行身份驗(yàn)證，所以使用內(nèi)部訪問(wèn)界限是非常有利的。在云環(huán)境中，可以隨時(shí)隨地訪問(wèn)系統(tǒng)和數(shù)據(jù)。及時(shí)開(kāi)通和刪除用戶帳戶，并遵循最低的權(quán)限規(guī)則，這些基本的安全控制將大有裨益。

引入第三方安全供應(yīng)商

賓夕法尼亞州，丹維爾格市伊辛格醫(yī)療衛(wèi)生系統(tǒng)(Geisinger Health System) 副CIO Joe Fisne具備一些與平臺(tái)合作的經(jīng)驗(yàn)，他說(shuō)，在使用云平臺(tái)時(shí)，CIO們需要考慮多個(gè)方面的事情：采用第三方供應(yīng)商的產(chǎn)品確保能夠遵循HIPAA和HITrust準(zhǔn)則，以保證完全符合安全標(biāo)準(zhǔn)。此外還采用第三方解決方案來(lái)保證虛擬專(zhuān)用網(wǎng)絡(luò)和傳輸層的安全性，這些解決方案應(yīng)該具備足夠的云平臺(tái)經(jīng)驗(yàn)，以保證我們實(shí)現(xiàn)安全鏈接。從安全的角度來(lái)看，云平臺(tái)活動(dòng)目錄中，管理賬戶的無(wú)縫集成也是必不可少的。

在完全遷移到云端之前，必須加強(qiáng)測(cè)試環(huán)境，并對(duì)測(cè)試環(huán)境進(jìn)行驗(yàn)證檢查，這有助于確保我們擁有一個(gè)安全的云來(lái)傳輸所有信息。作為一種最佳實(shí)踐，應(yīng)該建立自己的環(huán)境，并讓自己選擇的云供應(yīng)商對(duì)其進(jìn)行評(píng)估檢測(cè)。

把安全成本放在首位

密蘇里州喬普林市弗里曼衛(wèi)生系統(tǒng)(Freeman Health System)CIO Leonard T. Rollins說(shuō)：“在保證公共云平臺(tái)安全時(shí)，首先要考慮的問(wèn)題之一就是安全基礎(chǔ)設(shè)施(防火墻)的所需成本，為了讓數(shù)據(jù)在環(huán)境之間安全地移動(dòng)，這個(gè)基礎(chǔ)設(shè)施是不可缺少的。”

同時(shí)，一定要了解如何在任何云環(huán)境中保護(hù)我們的數(shù)據(jù)。必須明白數(shù)據(jù)在靜止?fàn)顟B(tài)時(shí)都發(fā)生了什么？數(shù)據(jù)都是被加密了的，那么它是如何被壓縮的？是否有專(zhuān)有的工具可供使用？是否可以輕松檢索數(shù)據(jù)?數(shù)據(jù)是如何備份的，云平臺(tái)供應(yīng)商采用的工具是什么?數(shù)據(jù)是掌握在該供應(yīng)商手里還是他又把數(shù)據(jù)泄露給了第三方供應(yīng)商?

要確保我們的員工們都明白將數(shù)據(jù)放在云端意味著什么，他們應(yīng)該如何使用這些數(shù)據(jù)。確保一個(gè)治理流程，保證任何對(duì)數(shù)據(jù)做出的變化都有相關(guān)記錄，并且得到了治理團(tuán)隊(duì)的批準(zhǔn)。Rollins提到的另一個(gè)最佳實(shí)踐是：若一個(gè)供應(yīng)商拒絕配合做安全風(fēng)險(xiǎn)和業(yè)務(wù)連續(xù)性的相關(guān)問(wèn)卷調(diào)查，就不要和他合作。

最后，如果要存儲(chǔ)應(yīng)用程序使用的數(shù)據(jù)，則必須進(jìn)行測(cè)試，以確保應(yīng)用程序用戶有積極的感受。進(jìn)行基準(zhǔn)測(cè)試，以確定用戶體驗(yàn)受到了(或?qū)⑹艿?如何的影響。

原文鏈接：https://www.healthcareitnews.com/news/critical-security-tips-provider-cios-using-public-clouds