共计 2028 个字符,预计需要花费 6 分钟才能阅读完成。
云平安是须要企业和云供应商独特承当的责任,也是一项微小的挑战,以下是设置高效护栏时须要牢记的根本规定。
依据数据预估,寰球 50% 的企业曾经将数据存储在云中,这足以证实这个绝对年老的行业仍在进行爆炸性增长。当初大家都曾经理解采纳云计算的益处:进步敏捷性、易于扩大和老本效益。
但在平安方面,采纳云计算也有不太乐观的一面:对于局部企业而言,将其最有价值的大部分资产交给第三方的想法可能有些疯狂,但对于其余(绝大多数)企业来说,这样做齐全有情理。
企业能够从云提供商为爱护其数据而部署的大量平安资源中受害。本文将重点介绍云平安的基本概念,并提供十个规定以进步安全性。
责任共担模型
云中的平安遵循一种名为“共享责任模型”的模式,这意味着,要在云中操作,企业依然须要分担平安配置和治理的工作。企业的承当范畴可能会有很大的不同,因为这取决于应用的服务: 如果企业订阅了基础设施即服务 (IaaS) 产品,则需负责操作系统补丁和更新。如果只须要对象存储,那么职责范畴将局限于避免数据失落。
基本上所有的云破绽本都能够归结为一件事:配置谬误。云提供商曾经提供了弱小的平安工具,但这些平安工具有时也会生效。员工的谬误不可避免,因而很容易造成谬误配置。这就是为什么咱们须要护栏,以帮忙缩小产生谬误的可能性或在谬误产生时缩小影响。
上面一起理解一下云平安与“传统”信息安全相比的不同之处。
理解云平安的 3 个要害
云是一个动静的环境,在这个环境中,一切都在一直变动,但安全性的指标放弃不变: 确保零碎按预期工作,并且仅按预期工作。因而,许多基本概念须要从新定义:
周界:传统平安实质上是基于爱护可信周界,即所谓的“堡垒”。然而,云环境的特点是散布在互联网上,具备动静倒退的端点和许多互连层。任何云平安模型都应该以身份和拜访治理为核心,并专一于增强对可疑帐户的受权(这是行为建模等技术特地弱小的中央)。
可扩展性:存储和解决是动静的,因而云平安框架也要思考到基础设施的演变。换句话说,它须要理解零碎状态并相应地调整其策略。
监控:随着新的云资源的沉积和新的攻打媒介的发现,威逼格局正在迅速倒退。动静零碎减少的复杂性是一个不利因素:安全漏洞可能会激增,更难发现,攻打也更加简单。要跟上时代,就须要对疾速变动的安全形势做出反馈。
进步云安全性的 10 条规定
1、不要漠视开发人员凭据
作为一家每天扫描数百万公共和公有代码存储库的公司,强调健全凭证政策的重要性极其重要。企业应该确保开发人员至多只应用短期凭据,并破费工夫来进行残缺的设置,包含治理和检测。
2、始终查看默认配置
云提供商事后配置通用拜访控制策略。这些服务很不便,但常常会发生变化,因为新服务的引入并不一定合乎企业需要。通过抉择退出不必要或未应用的服务来缩小攻打的可能性。
3、列出可公开拜访的存储
一些云存储被齐全凋谢并可公开拜访的状况并不少见。无论您为对象和数据抉择何种存储办法,请查看是否只有预期的组件可公开拜访。
4、定期审计访问控制
云安全性可能取决于企业的身份和拜访管理策略。基于身份的平安零碎逐步成为主导,造成了所谓的“零信赖”策略的根底。但这些政策将被批改。施行最低特权准则是一个被动过程,波及对服务、零碎和网络的拜访进行微调。应定期安顿并严格执行手动和主动查看。
5、利用网络结构
同样的规定实用于网络:企业应该利用云提供商的管制来构建更好的、更精密的策略,以周到地划分流量。
6、使日志记录和监控具备预防性
良好的安全性离不开健全的监控和日志记录。基于危险的日志记录策略是必须的,但最重要的是,企业应该确保警报不仅已启用且无效,而且是可操作的,而不是在事件产生才查看。现实状况下,企业应该可能通过 API 或其余机制在本人的日志记录零碎上聚合云日志。
7、空虚资产清单
应用云供应商的 API 来加重库存治理的艰巨工作是很好的抉择,然而通过无关所有权、用例和敏感性的附加信息来丰盛它会更好。
8、避免域名劫持
云服务和 DNS 条目之间通常存在可传递信赖。定期检查您的 DNS 和云配置,以防止出现接管状况。
9、劫难复原打算不是可选的
云环境不能主动解决劫难复原 (DR) 问题。思考适宜云环境中灾难性事件的投资级别。设计一个 DR 程序以从内部帐户、提供商或区域设置中进行复原。
10、限度手动配置
利用云原生平安工具和控件意味着自动化。破绽源于谬误配置,而谬误配置就是谬误。须要实现的手动工作越多,就越容易呈现谬误。企业须要推动其团队更加自动化,尽可能应用平安即代码并逐渐加强不可变性(不可能再手动配置)。
论断
即便对于专家而言,云治理也很简单。对于平安人员而言,这是一个微小挑战,因为职责范畴不再是动态的,而是一直倒退以满足基础设施的需要和应答新威逼。但这对他们来说也是一个激动人心的时刻,因为他们能够利用他们所有的独创性来构建十分无效的解决方案,利用现有的云提供商的工具集,在平安要求和灵活性之间获得均衡。
企业及业务负责人能够依据以上云平安的规定构建本身防护措施,以进步在应用云计算时的安全性。