提高云計算安全性的5個技巧
隨著云采用率上升到新的高度,安全標(biāo)準(zhǔn)未能跟上其發(fā)展的步伐。組織需要對自己的云計算安全負(fù)責(zé),而五個實(shí)用技巧將會對此有所幫助。
毫無疑問,云計算的廣泛采用促進(jìn)了更大規(guī)模的協(xié)作,推動了創(chuàng)新和創(chuàng)造。企業(yè)分布在各地的員工可以更加和諧地工作,IT部門可以減少昂貴的硬件和維護(hù)成本,組織可以從軟件工具的最新發(fā)展中受益。但不可避免地會面臨安全性這個問題。
安全性已經(jīng)在云計算應(yīng)用的興奮中被遺忘,許多企業(yè)已經(jīng)做出一些危險假設(shè),認(rèn)為如果發(fā)生代價高昂的數(shù)據(jù)泄露,云計算服務(wù)提供商應(yīng)該負(fù)有責(zé)任。企業(yè)需要擔(dān)心許多不同的云計算安全威脅,因此制定一個強(qiáng)大的、全面的云安全策略至關(guān)重要。
為此,企業(yè)可以采取以下五個技巧來改善云計算的安全性。
1. 建立完全可見性
組織有機(jī)地開發(fā)、獲取和采用必須與遺留系統(tǒng)集成的新工具,并與不同的供應(yīng)商和合作伙伴建立新的關(guān)系。在本地服務(wù)器和多個外部云計算服務(wù)之間傳播數(shù)據(jù),這并不罕見。日益增加的復(fù)雜性使得難以保持全局視圖。
在調(diào)查中,當(dāng)570名網(wǎng)絡(luò)安全人員和IT專業(yè)人員被問及嘗試保護(hù)云計算工作負(fù)載時最頭痛的問題時,43%的受訪者表示是基礎(chǔ)設(shè)施安全性的可見性,38%的受訪者表示是合規(guī)性,35%的受訪者表示設(shè)置一致的安全策略。如果沒有完全映射并建立實(shí)時可見性,企業(yè)無法保護(hù)其云計算環(huán)境,無論它看起來如何。
2. 培訓(xùn)員工
絕大多數(shù)數(shù)據(jù)泄露事件都能追溯到人為錯誤,無論是錯誤配置、訪問控制不良、網(wǎng)絡(luò)釣魚攻擊還是簡單錯誤。這就是適當(dāng)?shù)陌踩庾R培訓(xùn)如此重要的原因。為企業(yè)員工提供所需的信息和技能,以降低惡意軟件或未經(jīng)授權(quán)的訪問風(fēng)險,并確保及時報告潛在事件。
確保企業(yè)的員工具備正確配置他們正在使用的工具所需的技能,這只是其中的一部分。還需要灌輸良好的安全意識,并制定非常明確的政策,規(guī)定誰負(fù)責(zé)以及發(fā)生潛在事件時的程序。完全防止錯誤是不可能的,但正確的反應(yīng)可以創(chuàng)造一個與眾不同的世界。
3. 盡早包含安全性
對于任何試圖保護(hù)云計算平臺的人來說,部分問題在于他們通常會將安全性改造為在設(shè)計時很少考慮的系統(tǒng)。負(fù)責(zé)安全的人往往努力說服壓力不足的團(tuán)隊改變他們的流程。部門之間的障礙可能導(dǎo)致怨恨和抵制。
企業(yè)引入安全性并消除障礙是向DevSecOps轉(zhuǎn)變的一部分,DevSecOps允許從任何項目的開始設(shè)計安全性。這可能是一個雄心勃勃的目標(biāo),但在任何討論中盡早包含安全性的基本原則是有效的,無論是采用新工具,開發(fā)軟件,還是云計算架構(gòu)的變更。
4. 持續(xù)監(jiān)控
創(chuàng)建云計算的快照,并精確映射數(shù)據(jù)在任何給定時刻的位置只是基礎(chǔ),企業(yè)還需要不斷警惕以應(yīng)對產(chǎn)生的問題。數(shù)據(jù)應(yīng)始終加密,應(yīng)嚴(yán)格控制訪問,監(jiān)控流量,并盡快識別和修復(fù)漏洞。
企業(yè)需要持續(xù)監(jiān)控網(wǎng)絡(luò),并持續(xù)提供有關(guān)潛在威脅的新信息。確保標(biāo)記可疑行為,以便可以發(fā)現(xiàn)惡意內(nèi)部人員以及未經(jīng)授權(quán)的訪問。為任何數(shù)據(jù)修改或刪除構(gòu)建清晰的審計路徑。企業(yè)發(fā)現(xiàn)問題的速度越快,解決問題的機(jī)會就越大。
5. 定期測試
與流行的看法相反,將數(shù)據(jù)轉(zhuǎn)移到云中并不會將責(zé)任轉(zhuǎn)移到云計算提供商。如果發(fā)生數(shù)據(jù)丟失,企業(yè)仍將承擔(dān)監(jiān)管處罰、喪失用戶信任,以及所有其他相關(guān)后果的責(zé)任。這就是為什么企業(yè)必須對合作伙伴進(jìn)行盡職調(diào)查并確保他們完全理解合規(guī)的意義的原因。
唯一可以確保企業(yè)內(nèi)部和外部防御工作正常的方法就是測試。應(yīng)該規(guī)劃和實(shí)施定期測試程序,其中包括從滲透測試到模擬網(wǎng)絡(luò)釣魚攻擊的所有內(nèi)容。創(chuàng)建反饋循環(huán)并激發(fā)新興威脅是確保企業(yè)的安全系統(tǒng)快速發(fā)展的最佳方法,但不要忘記將測試與可操作的補(bǔ)救建議聯(lián)系起來,使企業(yè)的團(tuán)隊能夠進(jìn)行必要的更改。此外,不要忘記文檔的安全。
云計算安全需要深入挖掘,每個組織的網(wǎng)絡(luò)和業(yè)務(wù)都各不相同,但這些指導(dǎo)原則應(yīng)該對其有益。
