確保云計算安全的五大最佳實踐
譯文如果我們回顧一下,就會發現2014年很可能稱得上是“有史以來爆出最重大安全泄密事件的一年”。
可以說,不法分子們已武裝到了牙齒,但盡管許多犯罪分子在技術層面確確實實取得了非常大的進步,可是在我看來真正引人注目的是,現有的安全實踐和技術原本可以防止許多這樣的泄密事件。
許多不幸中招的公司陷入了一個很常見的陷阱,這個陷阱常常被稱為“合規即安全”心態。這種想法得出的結論是,如果公司不遺余力地做到遵守法律――符合任何法律法規,包括《健康保險可攜性及責任性法案》(HIPAA)和《支付卡行業數據安全標準》(PCI)等,那么它實際上就會“很安全”。遺憾的是,事實遠非如此。與許多種類的法規一樣,遵守法律其實意味著只要付出極少的絕對努力。
這倒不是說合規就不重要了,合規確實很重要。即便付出了最大的努力,也永遠無法確保百分之百的安全性。但如果云服務公司想要給自己最大的機會,避免重大泄密事件帶來的非常嚴重的后果,它們現在就應該做好這五個實踐。
1. 不斷確保可見性
首先,公司企業需要確保百分之百的可見性,隨時了解其技術資產和服務。簡而言之,要是你不了解情況,保護也就無從談起。始終要了解自己有什么資產或服務及其運作狀況。這聽起來極其基本,但是考慮到現代虛擬基礎設施具有自動化、彈性和隨需應變的特性,確保可見性可能是一大挑戰。一旦你摸清了基礎設施、應用程序、數據和用戶方面的情況,就能開始明白如何限制攻擊范圍,更有效地防止或緩解攻擊。
2. 風險管理
這意味著為第一個最佳實踐中的可見性和透明度添加上下文。一旦獲得了透明度,公司企業就要消除已知本企業網絡里面存在的明顯的安全漏洞(過期的工作站和移動設備等)。想在這個層面緩解曝露風險,關鍵在于使用不斷監控的工具,以及強有力的安全漏洞和安全配置管理技術及實踐。
3. 強訪問控制
這個最佳實踐似乎不言自喻,但常常實施不當。雖然許多公司的確實施了訪問控制措施,但它們常常授予不必要的訪問權。在最近幾起泄密事件中,有效的訪問控制ID被用來闖入企業里面與某人所在職能部門毫無關系的系統。他們擁有訪問權,完全是因為其在企業里面擁有的級別,盡管他們實際上不需要這種訪問權就能完成工作。確保你落實了合適的訪問管理和權限監控機制。最小權限概念在這方面至關重要,不斷監控用戶活動以確保沒有違反貴企業政策同樣很重要。
4. 數據保護和加密
一旦確立了強訪問控制機制,不斷確保可見性,而且緩解了已知的安全漏洞,就要對你知道很敏感的所有數據進行加密。回顧之前的一些泄密事件,要引以為戒。你可以從中發現需要保護哪些類別的數據、需要怎樣的優先級別。這通常意味著保護“靜態數據”和“動態數據”,但是也要落實數據丟失預防(DLP)等技術,確保萬一受到危及,數據也不會被發送到企業網絡外面。
5. 危機管理
很少有公司在如何迅速地應對數據泄密、緩解破壞方面實施相應的政策和程序。總之一句話,即便采用了穩健的安全實踐,泄密事件也會發生;這不是“會不會發生”的問題,而是“何時會發生”的問題。為了防備這種情況,公司就要落實相應的流程和技術,好讓自己能夠迅速應對,緩解任何安全泄密事件的不利影響。這就意味著能夠明白你已遭到了攻擊,可以采取什么辦法來限制其影響。這方面涉及的技術包括:文件完整性監控、入侵檢測和用于中招后分析的取證數據。在泄密事件發生之前制定一套行動方案,之后一旦察覺了泄密事件,就遵照行動方案來行事。
不管貴企業從事哪個行業,或者使用多少云服務,貴企業都應該落實這五大安全要素,并且作為日常工作的一部分而加以實施。切記:合規并不等同于安全。它只是代表最基本的保護。合規無力應對異常安全或高級持續性威脅(APT):在這種情況下,隱藏的惡意軟件會在很長一段時間內引起安全泄密事件。
