近两年的疫情使企业纷纷开始转变其业务经营模式。越来越多的企业开始转向虚构工作,而虚构工作须要云计算,因而存在安全漏洞和敏感信息泄露或删除的危险。
例如 Microsoft 的 Azur e Cosmos DB 是一项寰球多模型数据库服务,其次要读写密钥存在破绽,可被利用并拜访数千家公司持有的数据库。这使这家科技巨头不得不面临数月的重大安全事件,可见云上存储敏感信息依然存在破绽。
将数据存储在云中是最具老本效益的投资之一,具备惊人的投资回报率,它能够帮忙各种规模的企业在寰球范畴内运作。如果企业理解并可能缩小网络上的危险,云计算能够放弃平安并通过阻止数据泄露节俭大量费用。
1、云平安很重要的 5 个起因
云平安是一种网络安全模式,由一组独特爱护云计算零碎的策略、管制、技术和实际组成。这些安全措施旨在爱护云数据和数字资产免受网络安全破绽的影响。随着平安威逼的一直演变,领有弱小的云安全性已成为事不宜迟。上面一起理解云平安至关重要的几个起因。
1)近程工作
基于云的操作的最佳局部之一是可拜访性。能够从任何中央拜访主数据库和根本服务,从而使员工具备灵便的工作时间表。然而,这种灵活性的危险在于员工不足网络安全实际。近程工作时,人们有很大可能在不平安的互联网网络上工作。网络犯罪分子会将这些网络作为进入企业数据库和软件供应链的路径。
2)拜访级别
意外的数据泄露在许多企业中变得越来越广泛。造成这种状况的第一个起因是员工之间蹩脚的安全措施。在员工中施行更好的平安实际的办法是建设拜访级别。这须要将数据拜访限度在肯定级别,从而确保敏感数据只有多数人能够拜访。
3)集中式平安
云平安通过简化监控流程来集中爱护,并有助于更无效地解决安全漏洞。这一点在解决公共云或混合云时尤为重要。因而,为长期业务抉择具备最佳云安全性的提供商是十分重要的。
4)劫难复原
劫难是不可预测的。劫难产生时有可能抹除所有数据并使企业陷入进展甚至齐全敞开。因为云计算是齐全集中的,即便是十分小的侵害也会被放大。这正是企业必须实现爱护其数据和应用程序并制订具体的劫难复原打算的起因。
5)合规性
政府和监管机构制订了特定的规定和法规,例如 HIPPA 和 GDPR,以确保客户数据的平安。这些文件有肯定的数据保护规范,公司须要彻底恪守。数据泄露不仅会侵害品牌名誉和财务状况,还波及内部各方责任查究。
2、常见的云平安挑战
1)不平安的 API
云最具挑战性的是它的多个入口点,这为多点攻打提供了机会。这些要点通常来自不平安的 API。因而,即便云是平安的,攻击者也能够通过浸透易受攻击的 API 和碎片化的攻打区域来毁坏数据。这就是必须查看每个应用程序以避免威逼呈现的起因。
2)与人员相干的数据泄露
数据泄露是云平安最常见和最显着的威逼之一。产生数据泄露的形式有两种。第一种是黑客等内部人员通过各种形式侵入公司网络。第二个是员工不足数据安全和 IT 常识,因不应用安全设备和网络而泄露数据。企业须要制订适当的策略,以便可能无效地解决这些违规行为,以最大水平地缩小损失。
3)云迁徙问题
云迁徙是指公司将其数字资产迁徙到云计算环境。因为这种挪动的规模相当大,因而使公司面临微小的危险。将迁徙过程合成为不同阶段是确保完满过渡的重要因素。公司必须使迁徙策略尽可能简略间接,以升高破绽危险。
3、爱护云数据的 8 个根本步骤
1)创立依赖关系图
依赖关系图能够映射出多个组件相互依赖关系。它有点像数字网络的家谱。因为依赖关系图包含数字网络的每个组件及其与其余组件的关系,因而能够轻松地在多个阶段查看依赖关系以辨认意外的不安全性。
除了特定组件中的间接依赖关系之外,依赖关系也能够是传递的,即便一个依赖关系不影响本身但影响您的另一个依赖关系,那么企业依然依赖它。最好打消不必要的依赖,因为它能够缩小平安攻打的外表规模。创立依赖关系图有助于了解和指定各个阶段的依赖关系。随后,能够制订加重这些依赖关系的步骤。
2)上传云端前的数据加密
爱护数据的最简略办法之一是在将数据上传到云之前对其进行加密。任何入侵者都必须先解密数据,而后能力拜访敏感信息。数据加密非常简略,因为企业只需下载加密软件并在上传文件之前为本人的文件创建加密密钥。
当公司将他们的数据上传到云上时,如果加密这些数据的密钥有一点点破绽,攻击者就能够利用它来拜访公司的整个数据库。因而,在加密数据时,必须确保只有多数受信赖的员工能够齐全管制加密密钥,并且没有第三方提供商能够拜访它。
3)运行平安评估
运行平安评估有助于企业测试其整体平安情况并辨认开发环境中的破绽。这能够通过运行平安审计来评估系统配置、软件和用户实际的安全性来实现。它通过掂量现有平安实际来帮忙辨认安全漏洞并应答威逼。它还有助于公司恪守内部监管政策。
4)在云端记录资产
通过云计算网络运作的企业须要记录其上传到云端的资产。他们还应该理解这些资产以后的安全性。因为企业大规模上传数据,他们须要留神哪些须要记录,哪些不须要记录。须要记录的一些重要资源是:
- 在云资源上运行的数据库和应用程序
- 用户拜访要害信息和帐户权限
- 连贯到云帐户的公共 IP 地址
- 密钥及其个性
- 资产和资源之间的分割,以辨认易受攻击的门路
5)建设备份和复原打算
有一个常见的误会是,数据存储在云中就能够主动复原,但这不是真的。存储的数据随时可能被毁坏。除此之外,谬误的软件更新和 bug 也可能导致数据失落。大多数公司在本地、云端或云劫难复原 (DR) 中备份他们的数据——这是一种存储和保留数据正本的备份策略。理智的做法是应用云作为备份存储库而不是数据中心,大多数云都有内置的经济高效、牢靠、弱小的数据恢复解决方案。
此外,当初提供“备份即服务”的供应商曾经呈现。备份即服务有助于在云中平安备份企业的数据,并且无需每天治理数据保护。
6)重复测试
云平安实际并不仅仅停留在设置云基础设施上。须要进行多轮无力的测试来掂量这个基础设施的有效性和安全性。在各种基于云的测试中,最重要的两种是回归测试和浸透测试。
端到端回归测试有助于确定软件降级是否对设施平台池中的软件现有性能产生负面影响。另一方面,浸透测试是一种模仿网络攻击,有助于发现计算机网络中可利用的不平安因素。
测试的另一个重要方面是跟踪新呈现的威逼。这能够通过 MITRE ATT&CK 框架来实现,该框架是一个收费的、寰球可拜访的框架,可提供最新的网络威逼信息。通过这个框架,企业能够评估他们的安全措施并增强他们的网络安全策略。
该框架的评估规范因每个组织而异,因为它是依据其网络安全策略制订的。该框架的最佳个性是,除了批示威逼外,它还能够帮忙公司做出有依据的猜想,以检测和跟踪攻击者的行为。
7)进行继续监控
放弃对云环境的继续监控对于最大限度地缩小安全漏洞十分重要,因为它有助于疾速检测合规性问题、进行配置更改和其余数据更改。这种检测是实时实现的,因而为企业提供了要害信息,使其可能在攻打造成更大侵害之前遏制攻打。施行继续营销时要牢记以下几点:
保留最新的云资产和资源清单。因为云计算网络领有大量资源,因而很难对它们进行监督。公司须要确保他们领有所有资源的清单,并且在整个云资产中存在对于查问和其余信息的留存记录。
恪守最佳平安实际以防止数据泄露,这能够帮忙企业提前升高相干危险。
8)锁定 CI/CD 管道
在制订云数据安全策略时,重点关注的畛域是 CI/CD 管道。次要有两个起因:首先,CI/CD 管道是一个宽泛的零碎,波及从代码到云的多个步骤。其次,CI/CD 管道是所有应用程序的启动点。
一个好的 CI/CD 平安解决方案应该对 CI/CD 管道的每个步骤都有端到端的可见性。并且须要具备剖析 DevOps 管道的每个组件并确保它们端到端平安的办法和能力。
该计划还要帮忙执行最小权限准则,容许员工拜访执行手头工作所必须的资源。该平安解决方案能够辨认和打消来自开源和第三方插件的威逼。
随着业务的数字化,向残缺的云计算零碎的转变是不可避免的。因为现在攻打企业的惟一办法是通过他们的虚构零碎,因而爱护云数据和供应链是事不宜迟。理解和应用文中提到的八个根本步骤是缩小软件供应链受到攻打的重要形式。