云存儲——零信任的最后一道防線

責任編輯:cres

作者:David

2022-04-08 14:28:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

選擇的備份和歸檔存儲解決方案不應(yīng)是事后的想法,而應(yīng)被視為應(yīng)急計劃的關(guān)鍵部分。如果企業(yè)的安全和運營生態(tài)系統(tǒng)中的其他一切都失敗了,企業(yè)需要確信其備份解決方案是安全的,這樣就可以使用它來讓團隊從危機中恢復(fù)過來。

安全行業(yè)的領(lǐng)導(dǎo)者和專業(yè)人士指出,企業(yè)的數(shù)據(jù)資產(chǎn)和工作負載必須隔離并保護起來,這是業(yè)界規(guī)則。企業(yè)需要確保內(nèi)部團隊只能訪問他們需要的數(shù)據(jù),是確保免受攻擊、內(nèi)部破壞或勒索軟件影響的最佳方法之一。
 
限制訪問至關(guān)重要,因為它減少了任何用戶可用的數(shù)據(jù)和進程的范圍——“攻擊面”。這意味著,無論是通過電子郵件中發(fā)送的勒索軟件包還是軟件供應(yīng)鏈受到損害,網(wǎng)絡(luò)攻擊破壞企業(yè)其余數(shù)據(jù)的風險最小。
 
從邏輯上來說,這種趨勢催生了企業(yè)安全的“零信任”范式。但是零信任是什么意思?而且,除了滿足零信任架構(gòu)的技術(shù)要求之外,它對企業(yè)的備份和歸檔流程意味著什么?
 
設(shè)計零信任環(huán)境
 
零信任讓安全團隊自動分割其網(wǎng)絡(luò)以防止網(wǎng)絡(luò)攻擊。為此,零信任架構(gòu)構(gòu)建了一個基于超粒度訪問權(quán)限的安全環(huán)境,這些權(quán)限會自動分配和實時重新分配給用戶。
 
這種程度的自動化意味著零信任可以提供增強的安全性,同時讓安全團隊不必人工分配或重新分配其企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。它還減少了員工安全程序的摩擦和挫敗感,因為可以保證在幾分鐘內(nèi)更改權(quán)限。
 
這是零信任的技術(shù)清單,但在他們甚至可以考慮遷移到自動化訪問權(quán)限之前,所有團隊都應(yīng)該考慮一個主要的先決條件,而這個先決條件是誰應(yīng)該首先訪問哪些信息以及為什么訪問。
 
這是一個基本問題,但它掩蓋了安全團隊在全面實現(xiàn)自動化之前必須解決的主要需求。企業(yè)需要花費大量時間對其企業(yè)內(nèi)部的各個利益相關(guān)者進行審計和細分,并審查和分解零信任架構(gòu)應(yīng)該識別的所有數(shù)據(jù)和流程類別。
 
在進行此類審查時,還需要考慮額外的數(shù)據(jù)類別:備份和存檔數(shù)據(jù)。
 
對備份進行零信任
 
與備份和存檔相比,安全團隊通常必須更頻繁地訪問正在進行的工作流程。這是因為實時數(shù)據(jù)通常需要立即且不間斷的訪問才能讓業(yè)務(wù)運營繼續(xù)進行,而訪問備份和存檔數(shù)據(jù)的時間敏感性要低得多。
 
然而,對備份和存檔數(shù)據(jù)進行更嚴格的管理更可行,企業(yè)應(yīng)該嘗試最大限度地限制對此類數(shù)據(jù)的訪問。這不僅是因為許多備份和歸檔記錄(例如財務(wù)信息、客戶詳細信息或過去的項目)的敏感性,還因為保存這些數(shù)據(jù)對業(yè)務(wù)連續(xù)性至關(guān)重要。
 
最終,所有系統(tǒng)都有可能出錯,總是存在非零風險。也就是說企業(yè)的零信任架構(gòu)將面臨安全風險,或者將遭受一些會破壞企業(yè)的實時環(huán)境和數(shù)據(jù)的事故或攻擊事件。在這種情況下,將需要使用備份和存檔數(shù)據(jù)來最大限度地減少運營停機時間,并讓企業(yè)的團隊重新投入到生產(chǎn)性工作中。
 
將存儲視為零信任的最終應(yīng)急措施
 
因此,選擇的備份和歸檔存儲解決方案不應(yīng)是事后的想法,而應(yīng)被視為應(yīng)急計劃的關(guān)鍵部分。如果企業(yè)的安全和運營生態(tài)系統(tǒng)中的其他一切都失敗了,企業(yè)需要確信其備份解決方案是安全的,這樣就可以使用它來讓團隊從危機中恢復(fù)過來。
 
這在實踐中意味著什么?企業(yè)除了使其備份受到零信任架構(gòu)中可能的最嚴格和唯一級別的限制之外,還應(yīng)該確保保留多個備份,其中一些備份甚至無法被其任何運營團隊訪問。在實踐中,應(yīng)該通過“3-2-1”規(guī)則來實現(xiàn)這一點:在至少兩種不同的存儲介質(zhì)上至少保留三個備份,其中至少一個保留在異地。
 
然而,即使是這種方法也容易受到破壞、攻擊或事故的影響。這就是企業(yè)還應(yīng)該確保其備份解決方案是不可變的原因。也就是說,沒有人能夠在指定的時間范圍內(nèi)更改或刪除它。不變性可以防止任何人刪除或加密數(shù)據(jù),從而允許不可變備份作為在其他所有方法都失敗時恢復(fù)數(shù)據(jù)的最終應(yīng)急措施。
 
總之,零信任架構(gòu)是最大化現(xiàn)有工作負載安全性并確保備份保密和安全的絕佳方式。但為了實現(xiàn)業(yè)務(wù)連續(xù)性的最終目的,零信任架構(gòu)需要與業(yè)務(wù)日常活動隔離且進行不可變的數(shù)據(jù)存儲。有了這最后一道防線,才能保證企業(yè)運營的連續(xù)性和安全性。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號