但是,云安全仍然是許多組織的事后考慮事項(xiàng)。對(duì)于誰(shuí)負(fù)責(zé)公共云或混合云的安全性,組織的管理者可能會(huì)感到困惑,但總的來說,云計(jì)算服務(wù)提供商(CSP)需要保護(hù)云計(jì)算基礎(chǔ)設(shè)施和物理網(wǎng)絡(luò)。組織需要負(fù)責(zé)保護(hù)其在云平臺(tái)中的所有資產(chǎn),其中包括數(shù)據(jù)、應(yīng)用程序、用戶訪問以及支持基礎(chǔ)設(shè)施。
近年來,對(duì)問責(zé)制的這種困惑導(dǎo)致了許多令人關(guān)注的網(wǎng)絡(luò)安全和數(shù)據(jù)泄露事件。盡管云安全始終應(yīng)該是一項(xiàng)共同的任務(wù),但是組織需要加大努力以識(shí)別潛在的云安全威脅,并以最佳實(shí)踐和更好的網(wǎng)絡(luò)安全措施做出響應(yīng)。
了解挑戰(zhàn)
在實(shí)施云安全最佳實(shí)踐之前,組織的相關(guān)人員必須認(rèn)識(shí)到安全威脅來自何處以及它們所帶來的挑戰(zhàn)。在云平臺(tái),最大的挑戰(zhàn)之一是缺乏真正的邊界。另一個(gè)問題來自有關(guān)誰(shuí)負(fù)責(zé)云安全哪些方面的問題。
IBM公司安全服務(wù)主管Luis Castro指出,“盡管AWS、Microsoft Azure和谷歌云平臺(tái)等主要云計(jì)算提供商提供了一些云原生的安全控制措施,但可能不足以滿足用戶的安全性和合規(guī)性需求,用戶并不總是清楚他們的安全責(zé)任在哪里開始和結(jié)束。”
隨著黑客和其他網(wǎng)絡(luò)威脅行為者迅速利用云系統(tǒng)中的開放端口,采用云計(jì)算技術(shù)擴(kuò)展了對(duì)于組織的攻擊面,它還會(huì)讓組織對(duì)誰(shuí)有權(quán)訪問感到困惑。云計(jì)算提供商需要提供對(duì)基礎(chǔ)設(shè)施的安全性,而在云計(jì)算提供商和客戶擁有可信的憑證方面,其制衡機(jī)制比較薄弱。因此,組織對(duì)云計(jì)算設(shè)置的控制權(quán)越少,風(fēng)險(xiǎn)就越大。
云安全的威脅和最佳實(shí)踐
人們無法解決不知道的問題。發(fā)現(xiàn)云計(jì)算設(shè)置面臨的最大安全威脅是第一步措施。一旦了解哪些類型的挑戰(zhàn)正在威脅組織的云安全,就可以采取措施以進(jìn)行最佳實(shí)踐來減輕風(fēng)險(xiǎn)。
(1)數(shù)據(jù)泄露
挑戰(zhàn):數(shù)據(jù)泄露是組織可怕的噩夢(mèng)。它會(huì)導(dǎo)致客戶信息、知識(shí)產(chǎn)權(quán)和員工個(gè)人識(shí)別信息(PII)的泄露或丟失,進(jìn)而損害組織聲譽(yù),并可能導(dǎo)致財(cái)務(wù)損失。這也可能意味著組織將無法遵守政府或行業(yè)數(shù)據(jù)隱私規(guī)則或其合同中規(guī)定的規(guī)則。
最佳實(shí)踐:防止數(shù)據(jù)泄露的最佳方法是加密。數(shù)據(jù)泄露行為仍然可能發(fā)生,但其關(guān)鍵數(shù)據(jù)不會(huì)受到損害。雖然云平臺(tái)的微分段也無法防止數(shù)據(jù)泄露,但會(huì)限制泄露的數(shù)據(jù)量。此外,定期審核和檢查可以評(píng)估的潛在風(fēng)險(xiǎn),并且首先評(píng)估最敏感的數(shù)據(jù)。
(2)云泄漏和配置錯(cuò)誤
挑戰(zhàn):有時(shí)數(shù)據(jù)會(huì)從云平臺(tái)中泄漏出來并最終泄露在互聯(lián)網(wǎng)上。這通常是由于云存儲(chǔ)桶中的配置錯(cuò)誤造成的,這被認(rèn)為是對(duì)云安全的最大威脅,也是云平臺(tái)數(shù)據(jù)泄露的主要原因。有些云存儲(chǔ)桶并不安全或未加密。在通常情況下,在有人訪問存儲(chǔ)桶之后,該存儲(chǔ)桶可能配置不正確或保持開放狀態(tài),從而導(dǎo)致數(shù)據(jù)泄漏。
最佳實(shí)踐:認(rèn)識(shí)到存儲(chǔ)桶的錯(cuò)誤配置是組織的責(zé)任,而不是云計(jì)算提供商的責(zé)任(這通常在服務(wù)級(jí)別協(xié)議中確定)。用戶必須了解如何配置和保護(hù)存儲(chǔ)桶,以及使用唯一的密碼和身份驗(yàn)證。此外,還可以采用一些安全工具用來測(cè)試存儲(chǔ)桶中的風(fēng)險(xiǎn)。
(3)登錄和受信任的帳戶
挑戰(zhàn):憑證盜竊是一種越來越流行的網(wǎng)絡(luò)攻擊方法,因?yàn)閾碛羞m當(dāng)憑證的任何人都可以訪問云計(jì)算帳戶而不會(huì)觸發(fā)任何報(bào)警信號(hào)。某些憑證盜竊采用惡意軟件記錄鍵盤的行為,可能檢測(cè)到帶有真實(shí)憑據(jù)的登錄,因此憑證也很容易被竊取。
最佳實(shí)踐:部署身份和訪問管理(IAM)工具,可以監(jiān)視用戶并查找登錄行為中的異常情況。云安全意識(shí)培訓(xùn)也很重要,組織的員工應(yīng)該了解如何安全地管理其憑證,并且不能共享或重復(fù)使用密碼。
(4)帳戶劫持
挑戰(zhàn):帳戶劫持是對(duì)云計(jì)算帳戶的惡意接管。威脅參與者傾向于使用高特權(quán)帳戶,通常是云服務(wù)訂閱。帳戶劫持也經(jīng)常用于身份盜用。在這種情況下,盜用者使用受損的憑據(jù)(最常見的是電子郵件)來接管云帳戶。一旦被劫持,威脅參與者就可以操縱云平臺(tái)中的數(shù)據(jù)和應(yīng)用程序。
最佳實(shí)踐:組織的管理者知道誰(shuí)有權(quán)訪問組織的云帳戶,無論是在組織內(nèi)部還是云計(jì)算服務(wù)提供商。任何能夠訪問云帳戶的人都應(yīng)該被要求經(jīng)過一個(gè)篩選過程,如果是第三方供應(yīng)商,則更是如此。組織需要經(jīng)常備份云數(shù)據(jù),并制定計(jì)劃以防帳戶被劫持。組織需要加密云中存儲(chǔ)的所有敏感數(shù)據(jù),任何使用云帳戶的人都需要進(jìn)行多因素身份驗(yàn)證。
(5)內(nèi)部威脅
挑戰(zhàn):有時(shí)威脅來自組織內(nèi)部。其威脅可能是惡意的,也可能是無意的錯(cuò)誤。除了數(shù)據(jù)泄露、憑證盜竊和配置錯(cuò)誤,內(nèi)部威脅也是云安全的主要挑戰(zhàn)。組織的員工可能會(huì)成為網(wǎng)絡(luò)釣魚攻擊和其他社交工程攻擊的犧牲品,從而導(dǎo)致數(shù)據(jù)泄露,因?yàn)樗麄兛赡軙?huì)將組織數(shù)據(jù)從云平臺(tái)遷移到個(gè)人設(shè)備上。
最佳實(shí)踐:組織進(jìn)行安全意識(shí)培訓(xùn),這可以幫助員工認(rèn)識(shí)云安全錯(cuò)誤以及如何識(shí)別和避免社交工程攻擊。還要限制訪問權(quán)限,以便員工只能打開工作項(xiàng)目所需的應(yīng)用程序和數(shù)據(jù)庫(kù),并完成項(xiàng)目時(shí)限制訪問。此外,員工離職或調(diào)到不同部門時(shí),需要停用帳戶和訪問權(quán)限。
牢記云安全的最佳實(shí)踐
隨著云計(jì)算的應(yīng)用變得越來越普遍,并且遠(yuǎn)程工作者依靠云計(jì)算技術(shù)進(jìn)行網(wǎng)絡(luò)訪問,安全威脅將會(huì)持續(xù)增加,并且將出現(xiàn)新的挑戰(zhàn)。組織需要將安全性放在云采用的前沿,這樣才能更好地應(yīng)對(duì)這些挑戰(zhàn),而不應(yīng)在造成損害之后再進(jìn)行處理。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)