云計算時代如何保護自己的數據
隨著越來越多的組織采用云計算,內部部署數據中心的時代將會逐漸終結。從小規模企業到規模最大的跨國公司,無論在哪里,都可以看到云計算應用程序。云計算服務的使用量每年都會持續增長,截至2016年,每個組織平均使用1427個云服務。
雖然這一強勁的增長前景看好,但也帶來了一系列新的網絡安全威脅。通常每個企業每個月都會遭受到23個云安全威脅的影響,這使得云計算看起來像是一項有風險的責任。此外,敏感信息占上傳到云端的數據的18%。但是,通過適當的安全配置和工具,即使是最隱秘的數據,也可以在云中輕松實現。為了正確理解云計算的安全性,人們了解大型漏洞背后的主要罪魁禍首至關重要。
影子IT:云計算的未知風險
對于云安全來說,最大的威脅之一是影子IT(Shadow IT),這是在未經組織IT部門了解或同意的情況下員工使用未經授權的云服務。由于以下幾個原因,影子IT對云安全構成很大風險:
首先,企業員工在決定是否使用云服務時通常不會審查應用程序的安全性。另一方面,IT專家在批準公司范圍使用之前,需要經過廣泛的審查過程,權衡應用程序的安全風險和云計算功能。
其次,IT部門只知道組織中使用的影子云應用程序的10%。剩下的90%超出了IT部門的職責范圍。
如何保護組織的受制裁和影子云服務
(1)可見性
可見性是克服影子IT固有風險的基礎。這是由于影子IT根據定義提出了未知級別的威脅,因為企業沒有意識到員工正在使用的全部云服務。更高的可見性使IT部門能夠開始量化風險,并制定降低風險的策略。
可見性的一個要素包括監控風險云服務的使用,對其URL或IP進行編目,并根據安全風險評估等級批準或阻止它們。為應用程序提供安全風險評級,將需要對應用程序的安全功能進行徹底調查,例如對數據進行靜態加密,還是在本地提供多因素身份驗證(MFA)等。
(2)威脅檢測
每天,全球各組織可以從他們的云計算應用中產生數十億個事件。從下載/上傳文檔到嘗試登錄服務的任何事情都會生成一個事件。
表示威脅的事件很容易丟失或被忽略。通過數據科學、機器學習以及用戶和實體行為分析(UEBA),組織可以篩選可能會顯示出異常活動的事件,并標記出只是那些實際威脅的事件。
想象一下,用戶反復嘗試登錄Salesforce失敗。經過多次失敗嘗試后,檢測到帳戶可能發生異常。但是,如果用戶將Caps Lock鍵放開,該怎么辦? IT專業人員如何將其視為正常行為并忽略它?
再進一步,威脅防護軟件如何準確地將其歸類為正常行為并忽略它,使IT安全專業人員不必調查這些日常活動的警報?雖然網絡攻擊者可能能夠竊取員工的憑證,但攻擊者無法模仿員工的行為模式。事實證明,人們導航和使用應用程序的方式是獨特的,這是一種數字身體語言。 這種模式幾乎不可能由網絡犯罪分子復制。回到Salesforce用戶登錄,在驗證了幾次失敗嘗試后,如果用戶的行為與先前的行為一致,可以查明用戶是正確的還是冒充的。
使用數據科學和機器學習來觀察和分析行為模式并不是一項新技術。信用卡提供商使用數據科學和分析來識別欺詐信用卡收費。雖然盡可能地進行嘗試,信用卡的盜竊者很難完全模仿正常交易的細節,而隨著時間的推移,建立和完善的算法已經變得非常精通于檢測,即使是最無害的交易。
(3)保護數據本身——加密和標記
數據安全的兩個重要元素是加密和標記,它們用于保護敏感信息的相同目的,但操作方式稍有不同。加密通過使用加密密鑰將數據轉換為密碼文本來工作。在加密數據后,再次使信息可以被理解的唯一方法是輸入適當的解密密鑰。
令牌化以不同的方式保護數據。本質上,為純文本生成一個隨機標記,然后將其存儲在數據庫中。標記化的最大好處是它存儲了本地的實際數據,并且只有標記值被上傳到云端。但是,如果令牌到文本映射數據庫被攻擊,其敏感信息仍然可能被暴露。令牌化通常用于結構化數據。
(4)云安全的合規性
數據安全有許多法規和規定,如PCI-DSS,HIPAA-HITECH和EU-GDPR。但是,重要的是要記住,將數據存儲在云中與將數據存儲在本地數據庫中不同。為了遵守內部/外部政策,應從以下步驟開始:
- 識別上傳到云端的信息類型(健康信息、個人身份信息、支付卡信息等)。
- 限制敏感數據的第三方控制。
- 避免將機密信息上傳到云端。
- 在每個云計算應用程序中應用統一的DLP策略,以確保所有數據的安全。
- 清點現有政策并將其適應云計算環境。
(5)其他云安全工具
這些最佳實踐是保護云中數據的重要第一步,但以下工具可以增加更多安全性。
- SIEM:安全信息和事件管理(SIEM)是大型企業的重要工具。該工具可以查看入站事件,并實時標記潛在的安全威脅。
- 用戶訪問控制:最小權限原則規定,員工只能訪問他們需要的工作。單點登錄(SSO)和訪問管理(IDM)可以通過管理用戶登錄、訪問以及角色和權限來確保這一點。
- 云計算防火墻:云計算防火墻更適合較低級別的威脅,但它們為從云端定位網絡的威脅提供了重要的屏障,反之亦然。
- 云訪問安全代理:作為客戶與云應用程序之間的控制點,云訪問安全代理(CASB)提供云中用戶活動和威脅檢測的可視性,以保護數據免受各種攻擊。
- 云數據加密:通過將信息轉換為密碼文本,即使所有其他安全層被破壞,黑客也無法使用敏感數據,而無需解密密鑰。
一個試圖從數據庫轉移到云端的組織最初可能會被影子IT和內部威脅帶來的風險拋出。幸運的是,通過有效的最佳實踐和各種云計算安全工具,企業現在可以安心地將數據存儲在云中。
