云安全:每個技術(shù)領(lǐng)導(dǎo)者需要了解的內(nèi)容
與網(wǎng)絡(luò)安全公司的首席技術(shù)官相比,還有誰能更好地獲得有關(guān)如何保護企業(yè)云的建議?
將業(yè)務(wù)遷移到云端的企業(yè)將會獲得一些顯著的好處,即冗余、成本節(jié)約、易于集成,但在云端托管應(yīng)用程序帶來的挑戰(zhàn)和安全風(fēng)險也很多。對于企業(yè)的首席技術(shù)官和首席信息安全官來說,缺乏可視性、內(nèi)部或外部威脅因素可能會泄露數(shù)據(jù),以及合規(guī)性令人擔憂。但面臨的問題并不只有這些。他們還發(fā)現(xiàn),與真正將安全性和合規(guī)性集成到云端相比,加強其安全性通常是亡羊補牢的做法,而很多企業(yè)則對傳統(tǒng)的內(nèi)部部署安全控制進行了抨擊,需要更加主動和全面的方法,以便在對云安全有效的至關(guān)重要的所有領(lǐng)域?qū)崿F(xiàn)適當級別的控制實施、覆蓋范圍和成熟度。
本文將對企業(yè)如何更有效地保護云中信息進行分析。以下最佳實踐和見解源于保護財富100強企業(yè)免受數(shù)據(jù)泄露的經(jīng)驗,并且應(yīng)該成為企業(yè)尋求增強其在云中的信息安全態(tài)勢的首要考慮因素。
部署和驗證數(shù)據(jù)丟失預(yù)防功能
對于遷移到云端的公司來說,最重要的考慮因素之一是數(shù)據(jù)丟失預(yù)防(DLP)功能的部署和驗證。對于任何軟件即服務(wù)(SaaS)解決方案(包括Office 365、Amazon Web Services、Salesforce或Workday),實現(xiàn)有效數(shù)據(jù)丟失預(yù)防(DLP)的第一步是建立數(shù)據(jù)標簽實踐。由于數(shù)據(jù)丟失預(yù)防(DLP)解決方案依賴于正則表達式或基于模式的搜索來識別和保護數(shù)據(jù)丟失,因此無效的數(shù)據(jù)標記做法幾乎不可能防范泄漏風(fēng)險。人們建議企業(yè)以最大的敏感性處理未標記的文檔,并通過創(chuàng)建嚴格的數(shù)據(jù)丟失預(yù)防(DLP)策略阻止它們離開企業(yè)。這可以通過自動隔離違反這些策略的文件來實現(xiàn)。
維護敏感數(shù)據(jù)安全的組織需要評估由云計算訪問安全代理(CASB)解決方案提供的基于主機的敏感數(shù)據(jù)發(fā)現(xiàn)解決方案和/或基于網(wǎng)絡(luò)的數(shù)據(jù)丟失預(yù)防(DLP)。云計算訪問安全代理(CASB)提供了檢查云計算環(huán)境中所有客戶端到服務(wù)器流量的能力,以揭示隱藏在傳輸層安全性(TLS)加密通信中的威脅或惡意文件。云計算訪問安全代理(CASB)還使系統(tǒng)管理員能夠檢測從云計算到惡意命令和控制(C2)服務(wù)器的未授權(quán)網(wǎng)絡(luò)呼叫。云計算訪問安全代理(CASB)工具提供的審計功能可以輕松地與內(nèi)部企業(yè)分層防御集成。此集成提供整個企業(yè)威脅防護功能的單一控制平臺視圖。
大型跨國公司需要有效保護敏感數(shù)據(jù)免于泄漏,但可能缺乏對其各種云計算解決方案足跡的完整理解。這使得完全保護企業(yè)所需的數(shù)據(jù)丟失預(yù)防(DLP)覆蓋幾乎不可能實現(xiàn)。通過有效的身份和訪問管理實踐(如單點登錄和粒度授權(quán)),企業(yè)可以通過有效的身份和訪問管理實踐(如單點登錄和粒度授權(quán))實現(xiàn)對其云足跡的更大可見性。這些控制有助于企業(yè)確保通過其各種云計算解決方案的敏感流量由云計算訪問安全代理(CASB)檢查。
最近的安全漏洞已經(jīng)強調(diào)了與未能對訪問包含敏感信息的文件實施細粒度授權(quán)相關(guān)的風(fēng)險。企業(yè)有效地限制對授權(quán)組成員的訪問至關(guān)重要。當實施安全策略時,系統(tǒng)管理員還需要考慮對組織內(nèi)每個組執(zhí)行CRUD(“創(chuàng)建、讀取、更新和刪除”)和下載功能。除此之外,還必須對臨時員工實施有條件的訪問,以確保訪問僅限于組織批準的設(shè)備。
成熟的身份和訪問管理控制
身份和訪問管理(IAM)功能是在云中實現(xiàn)成熟的信息安全狀態(tài)所不可或缺的。作為一個起點,企業(yè)應(yīng)考慮單點登錄(SSO)、訪問請求和企業(yè)和員工自有設(shè)備的認證,以及特權(quán)訪問管理。
有效身份和訪問管理(IAM)計劃的一個基本原則是通過集中化可以最有效地實現(xiàn)和維護安全性。單點登錄(SSO)是一種在不同平臺之間統(tǒng)一用戶身份驗證的機制,就是這一概念的一個示例,它提供了一個單一控制平臺視圖,可以了解誰在對企業(yè)服務(wù)器進行身份驗證,同時促進更有效的員工入職和離職。此外,單點登錄(SSO)通過實施多因素身份驗證(MFA)為更嚴格的身份驗證提供了基礎(chǔ)。
同樣,企業(yè)也應(yīng)考慮從身份和訪問管理(IAM)角度集中管理應(yīng)用程序的舉措(例如訪問請求和認證以及定期用戶訪問評審)。根據(jù)經(jīng)驗,此類計劃可以提高整體身份和訪問管理(IAM)成熟度,并確保為應(yīng)用程序和用戶正確實施安全策略。
人們還將特權(quán)訪問管理(PAM)視為身份和訪問管理(IAM)狀態(tài)的核心。特權(quán)訪問管理(PAM)可幫助組織限制和監(jiān)控云中特權(quán)賬戶(包括服務(wù)賬戶)的使用,以降低特權(quán)憑據(jù)被攻擊者濫用的風(fēng)險。人們已經(jīng)看到了財富100強公司的特權(quán)憑證遭到入侵和濫用以在整個網(wǎng)絡(luò)中種植遠程shell的事件?梢酝ㄟ^實施更細粒度的身份和訪問管理(IAM)策略來防止這些攻擊。
通過強大的端到端加密保護靜態(tài)數(shù)據(jù)和傳輸
在設(shè)計云安全策略時,企業(yè)需要確定如何使用強大的端到端加密來保護靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)。
保護云中靜態(tài)數(shù)據(jù)的最關(guān)鍵方面是保護云計算服務(wù)提供商提供的密鑰。許多企業(yè)未能安全地處理這些密鑰。即使在規(guī)模最大的公司,仍然在將密鑰的網(wǎng)址輸入互聯(lián)網(wǎng)瀏覽器時而無意中暴露公鑰。這種常見的錯誤可能不僅會導(dǎo)致云平臺的憑據(jù)和配置泄漏,還會導(dǎo)致云實例被攻擊者完全接管。
對于傳輸中的數(shù)據(jù),大多數(shù)公司已經(jīng)意識到通過TLS等加密通道發(fā)送數(shù)據(jù)的好處。但是需要注意的是,在處理敏感信息(例如醫(yī)療保健或財務(wù)數(shù)據(jù))時,添加另一層加密措施以防止攻擊至關(guān)重要。例如,企業(yè)可能會考慮加密有效負載并固定TLS證書。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市