L'hosting interno o esterno è più sicuro? [chiuso]

2

Ho cercato un po 'di tempo per scoprire il numero di attacchi maligni che hanno avuto successo contro le soluzioni Web e SQL interne a quelle ospitate esternamente.

Quando dico interno, voglio dire che il server e le risorse sono forniti dalla società, possibilmente con alcune app di terze parti e per lo più costruite internamente. Quando dico esterno, intendo un SaaS o PaaS come Amazon, pagamenti Paypal o Azure Web e SQL. Capisco che a seconda di come è ospitato, potresti essere ancora responsabile di una certa sicurezza, ma facciamo finta che diamo la responsabilità al venditore il più possibile.

Abbiamo bisogno di alcune munizioni per spiegare perché l'hosting nel cloud con un servizio / fornitore adeguato è più sicuro che cercare di eseguire tutto internamente. Non vogliamo parlare dei pro e dei contro di tutto tranne la sicurezza. Potrebbe trattarsi di un'azienda con uno o due esperti di sicurezza e di rete o nessuno. Non stiamo parlando di grandi aziende IT con molte risorse di sicurezza.

È del tutto vero che l'hosting interno può essere più sicuro, ma in generale crediamo che non sia dovuto al numero di esperti all'interno dell'azienda e alla capacità di tenere traccia delle vulnerabilità attuali. (Perchè la maggior parte della gente compra gli scanner dei virus e li costruisce da soli.)

EDIT : rendiamolo più specifico. La nostra preoccupazione attuale è che i dati non sono sensibili e non possono essere davvero legati a qualcosa di importante. Inoltre, siamo bloccati a cercare di vendere hosting esterno a persone anziane non informatiche che "non andranno mai nel cloud", quando crediamo che la soluzione locale non sia abbastanza strong. Abbiamo cercato di discutere punti specifici, ma nessuno sembra attenersi.

Consentiteci di prendere la piattaforma Azure con un sito Web su servizi app e un database uno SQL rispetto a un piccolo negozio IT, sia 1-4 dipendenti totali con non più di 1 esperto di sicurezza (molto probabilmente nessuno). Quindi un confronto tra una grande società di hosting e un piccolo team IT.

L'ho trovato molto interessante, vorrei solo poter vedere come sono stati ospitati. So anche che qualsiasi numero che troverò sarà distorto dalla mancanza di segnalazioni di violazioni e dalla capacità di tenere traccia di tali violazioni per le piccole imprese. Pensa alle situazioni di ostaggio dei dati. link

Tutti dicono che dipende, e hai ragione, ma dove sono i numeri per dimostrare che dipende? Di chi dire che uno non è più sicuro dell'altro?

    
posta J. Doe 25.07.2016 - 20:37
fonte

1 risposta

5

In senso generico, né l'hosting interno né quello esterno sono intrinsecamente più o meno sicuri da soli. In definitiva si tratta solo di un diverso insieme di compromessi.

In entrambe le situazioni la quantità di controlli di sicurezza, il modo in cui sono integrati, il modo in cui sono gestiti e la risposta agli eventi potrebbero teoricamente essere gli stessi indipendentemente dalla posizione. C'è un piccolo vantaggio per il provider di hosting esterno in quanto è probabile che ricevano più attacchi che potrebbero dare loro più dati di addestramento per gli algoritmi di apprendimento se utilizzano tali algoritmi nelle loro difese. Ciò potrebbe renderli un po 'più duri o più forti a lungo termine.

Detto questo, potrebbero esserci molti difetti particolari legati a quelli specifici che hai citato, che potrebbero dare a uno di questi sistemi più punti deboli o meno opzioni per l'implementazione del controllo. La perdita di accesso a dati come NetFlow da uno switch affidabile quando un determinato host è stato compromesso potrebbe essere un esempio di qualcosa che potresti perdere con alcuni provider esterni. Allo stesso modo un altro svantaggio è che un fornitore di hosting esterno probabilmente si preoccuperà meno dei tuoi dati di quanto tu possa preoccuparti dei tuoi, ma anche questo è discutibile e dipende dal tipo di provider. Farò anche notare che le attuali piattaforme di hosting popolari non rappresentano ciò che potrebbe essere potenzialmente fatto se la sicurezza fosse la massima priorità di un'azienda.

Un'enorme quantità di controlli di sicurezza può essere implementata su piattaforme di hosting di terze parti. Ancora più importante per la maggior parte dei tipi di dati, possibilmente non quelli che riguardano problemi di sicurezza nazionale, ma praticamente tutto il livello dei controlli di sicurezza che possono essere facilmente implementati va ben oltre le esigenze di tali dati. Una cosa da notare qui è che oltre a tutte le ore di sicurezza necessarie per proteggere attualmente una data piattaforma ospitata internamente, potrebbero essere necessarie ore di sicurezza aggiuntive per gestire i problemi di sicurezza esclusivi della piattaforma di hosting esterna.

Più che altro la scelta diventa uno dei compromessi economici per un'organizzazione nel suo complesso. È più conveniente ospitare da qualche altra parte o la complessità aggiunta di una determinata piattaforma aumenta i costi in modo tale da perdere i vantaggi. Allo stesso modo, altri aspetti della piattaforma consentono a un'azienda di crescere rapidamente? Questo può essere un buon motivo per alcune organizzazioni per giustificare un aumento delle spese se aiuta a lungo termine.

In fin dei conti è ciò che ne fai. Hosting esterno significa che hai un business partner che nel processo di esternalizzazione di alcuni tuoi lavori può agire come custode dei tuoi dati ma tu sei ancora i dati proprietario e parte responsabile per garantire la sua sicurezza. È importante notare perché, nonostante le affermazioni, un fornitore di hosting esterno può fare funzionare la sicurezza e la responsabilità per la sicurezza sarà ancora di proprietà della vostra organizzazione e, in definitiva, la vostra organizzazione deve essere in grado sia di comprendere veramente i rischi coinvolti sia di gestire queste scelte in modo responsabile .

Riguardo alla tua affermazione:

We need some numbers ammunition as to why hosting in the cloud with a proper service/vendor is more secure than trying to run everything internally.

Cosa succede se i risultati mostrano l'opposto a causa di un enorme numero di piccole aziende che implementano istanze cloud poco sicure semplicemente perché sono più economiche? Dal momento che è probabile un diverso insieme di dati demografici per chi li acquista, potrebbe avere un valore molto basso nel valutare quale sia davvero un'opzione più sicura.

    
risposta data 25.07.2016 - 22:47
fonte

Leggi altre domande sui tag