共计 2429 个字符,预计需要花费 7 分钟才能阅读完成。
IT 平安社区因其共享信息和解决方案的个性而备受认可。如果企业正在迁徙到云端,或者偏向于进步应用程序的安全性,能够很好地利用这一点。
每一次大规模网络攻击和每一次鲜为人知的宕机的背地,IT 平安业余人员、应用程序开发人员、供应商和 IT 服务供应链中的其他人都在彼此达成更严密地单干,以开发更弱小的云进攻。现有的破绽和新呈现的威逼正在被辨认,并推出修复计划,开发和共享最佳实际。
最近尤其如此,因为许多企业曾经减少或转移了 IT 资源以适应近程工作的员工。许多企业在匆忙做出这些更改的过程中,发现他们可能曾经减弱了 IT 平安态势,让本人面临新的破绽,或者裸露了现有的破绽。
尽管云平安最佳实际没有明确清单,但在企业的开发团队、基础设施和流程方面,有几个要思考的事项,以加强企业的 IT 安全性。
1、从 DevOps 转向 DevSecOps
施行 DevSecOps — 开发平安操作。简而言之,它是对于内置安全性,而不是围绕应用程序和数据外围的安全性,应用程序和基础设施平安是整个应用程序生命周期的组成部分。
例如,当企业进行继续测试时,包含平安测试。一直查看应用程序是否正确应用了应用程序内置的 IAM 服务、加密和其余平安流程。确保它们都失常工作。
在云中暂存和部署应用程序后,在整个继续经营阶段放弃平安重点。查看应用程序、数据存储和平台内的 IAM 和加密操作,以确保所有保护措施都处于活动状态并失常运行。
2、涵盖利用平安基础知识
确保理解这些根本的应用程序平安概念:受权、审计 / 日志记录、机密性和完整性。受权管制通过身份验证的用户有权拜访的资源,例如文件和数据库。
能够拜访整个资源、局部资源或不拜访。审计和日志记录可确保记录用户的操作,从而能够辨认可能收回违规信号的应用模式,以便采取进攻措施。它们对于合规性或其余法律目标也至关重要。
机密性是确保数据放弃私密性并确保未经受权的用户或监督网络流量的窃听者无奈查看的过程。每当数据在零碎内静止或挪动时,能够应用加密来强制执行机密性。
完整性是指确保数据在其生命周期内的准确性和一致性(有效性)的措施。举荐的做法包含输出验证以避免输出有效数据、谬误检测 / 数据验证以辨认数据传输中的谬误,以及访问控制、加密和数据失落预防等安全措施。
3、施行破绽扫描
将破绽扫描集成到 CI/CD 流程中。确保在交付管道的每个次要阶段(从编写到部署到生产中)查看代码是否存在破绽。确保负责不同管道阶段的各方领有检测代码问题的必要工具和培训。
通常倡议应用动态应用程序平安测试 (SAST) 来检测专有代码中的破绽,而首选 SCA 工具来检测和跟踪组织代码库中的所有开源组件。
4、利用运行时爱护
跨 CI/CD 管道集成运行时爱护,以爱护应用程序在开始运行时免受威逼。至多,监控应用程序是否存在可能示意违规的异样行为。制订一个流程来辨认变量或配置设置,可能会在运行时产生安全漏洞。
5、思考具体和个别问题
应用避免特定类型攻打的安全措施。例如,配置良好的内容安全策略 (CSP) 标头能够进攻 XSS 攻打和其余绕过同源策略的尝试。强制应用强明码有助于爱护敏感数据并避免未经受权的拜访导致的数据泄露。在操作层面,应用 DDoS 缓解服务来帮忙抵挡 DDoS 攻打。
6、利用容器 / 服务治理平安个性
确保应用编排工具和服务网格提供的平安性能。这些工具充当容器与内部世界之间高度可扩大的绝缘层,能够解决身份验证、受权和加密等工作。它们专为从头开始的自动化而设计。
确定是否须要启用或配置它们。例如,Kubernetes 的基于角色的拜访配置 (role-based access configuration,RBAC) 应该是 DevSecOps 的要害元素,但默认状况下不启用。
7、备份复原策略
将数据保护、备份和复原作为云平安打算的一部分。造就具备内置安全性的平安环境和应用程序并不意味着网络攻击者无奈找到减缓操作或毁坏数据的办法。
适当的数据保护、备份和复原策略有助于确保如果企业的云平安无奈阻止攻打,其最重要的数据和应用程序依然能够拜访和应用。
8、采纳合规规范
如果企业正在思考从 CSP 洽购云服务,请抉择那些经认证合乎 PCI DSS 要求或定期承受 HIPAA 合规性审核的服务 ─ 即便该企业不在须要恪守这些规范的行业。合乎 PCI 和 HIPAA 的云环境采纳的基础架构和流程使其可能满足十分严格的平安要求。这将转化为更平安的云环境。
如果企业受监管要求的束缚,请确保其符合要求。许多法规、政府规定和行业标准都须要满足严格的数据安全和隐衷技术要求。如果您的企业合规,则很有可能领有大量进攻措施来加重网络攻击。请记住,需要会发生变化,因而合规性不是一次性的。
9、放弃防守
最新的防火墙、广告拦截器、浏览器中的脚本拦截器和电子邮件平安产品能够阻止已知的歹意发件人并去除已知的歹意附件文件类型。应用白名单来避免软件下载。隔离“沙盒”技术能够避免勒索软件的下载和执行免受网络钓鱼链接、网络偷渡和水坑攻打。
如果企业团队不具备监控和更新进攻的专业知识,则需思考应用托管服务提供商来承当平安责任。此外,也要思考抉择 CSP 或第三方 IT 平安供应商托管平安服务。企业将可能更好地笼罩所有端点和潜在破绽。
益处:托管安全性通常意味着无需后期资本收入或外部平安专业知识即可拜访最新和最弱小的平安技术。因为服务提供商负责对企业的 IT 平安进行监控和治理,因而企业本身的 IT 人员和资源能够腾出用于其余工作。
10、永远不要放松警觉
承受世界上没有 100% 平安的云环境这一事实。当企业假如其云环境难以渗透时,很容易对云平安最佳实际、定期审计、员工安全意识培训和其余元素松散。
新的网络威逼一直呈现,其余威逼也在一直演变。明天的保护措施可能对之后演变出的新的威逼不起作用。与把握最新威逼的 CSP 或托管平安公司单干至关重要。但同样重要的是,企业的 IT 员工也要跟上平安前沿的倒退步调。
关注一些由值得信赖的平安专家或云公司撰写的业余文章、加入 IT 平安网络研讨会、利用供应商和技术合作伙伴提供的信息都是可行的路径。