毫無疑問,雲的廣泛使用促進了更大規模的協作,推動了創新與創造力的提升。分布在各個地方的員工可以和諧地共同工作,IT部門能夠降低昂貴的硬件與維護成本,同時企業也可從軟件工具的最新發展中受益。但是這也不可避免地産生了一個問題。
人們往往會在興奮之中忘記了安全。許多企業都産生了一個危險的想法,那就是由雲服務提供商負責安全性,然而為了防止發生代價高昂的數據洩露事件,企業應當迅速打消這種想法。由于要面對許多不同類型的雲安全威脅,企業制定牢固且周密的雲安全策略是至關重要的。
為此,企業可以采取以下五個措施來提升自己的雲安全性。
建立完整的可見性
企業要想實現有序地發展,需要獲取和部署可與遺留系統集成在一起的新工具,并與不同供應商和合作夥伴建立新關系。在本地服務器和多個外部雲服務之間傳輸數據的混合雲環境并不少見,但是日益增加的複雜性卻使得企業難以通觀全局。
在對570名網絡安全人員和IT專業人員進行的一項調查當中,當被問及在保護雲工作負載時遇到的最頭疼的問題是什麼時,認為是基礎設施安全性的可見性比例最高,為43%,其次是合規性(38%),再次為設置統一的安全策略(35%)。如果沒有充分映射并建立實時可見性,那麼企業将無法保護自己的雲環境。
培訓員工
無論是錯誤配置、訪問控制權不當、網絡釣魚攻擊還是其他的簡單錯誤,絕大多數數據洩露都可以追溯為人為錯誤。這就是适當的安全意識培訓如此重要的原因。企業需要為員工提供一些知識和技能,以降低惡意軟件或未經授權的訪問風險,并确保他們能夠及時報告潛在事件。
确保員工具備正确配置手中工具所需技能隻是其中的一部分。企業還需要培養員工良好的安全習慣,并制定清晰細緻的規章制度,規定誰應當為此負責以及明确發生潛在事件時的處置程序。完全杜絕錯誤是不可能的,但是正确的反應可以徹底扭轉被動局面。
盡可能早地考慮安全性
對于任何想保護雲安全的人來說,部分問題在于他們常常需要為在設計時很少考慮安全性的系統進行安全改造。負責安全的人往往會努力說服承受着各種壓力的設計團隊修改他們的流程,但是部門之間的隔閡可能會導緻設計團隊出現不滿和抵制情緒。
向DevSecOps轉變的一個重要内容就是将安全性納入開發過程中并消除隔閡,因為DevSecOps允許從項目啟動之初就将安全性納入到設計當中。雖然這可能是一個雄心勃勃的目标,但是無論是關于部署新工具、開發軟件還是調整雲架構,在任何讨論中盡早考慮安全性這一基本原則是非常行之有效的。
持續監控
能夠為自己的雲創建一個快照并精準映射數據在任何時間的存儲位置隻是基礎,企業還需要不斷保持警惕以應對可能出現的麻煩。數據應始終處于加密狀态,訪問權限應被嚴格控制,流量要被監控起來,漏洞也需盡快被識别和修複。
持續監控自己的網絡并連續提供有關潛在威脅的新信息至關重要。企業應确保可疑行為被标記出來,以便發現居心不良的内部人員和未經授權的訪問,并為所有的數據修改或删除建立清晰的審計跟蹤。企業發現問題的速度越快,獲得解決問題的機會也就越佳。
定期測試
将數據遷移到雲端并不會随之将責任也轉移給雲服務提供商,這與目前流行的觀點不同。如果發生數據丢失,企業仍要承擔監管處罰、公信力損失以及所有其他相關後果。這就是為什麼企業必須對合作夥伴進行盡職調查并确保他們完全理解合規對企業的意義。
确保内部和外部防禦機制正常工作的唯一辦法就是測試它們。企業應當制定并實施定期測試程序,包括從滲透測試到模拟網絡釣魚攻擊的所有内容。在測試中創建反饋循環并加入新興威脅是确保企業安全系統快速發展的最佳方法。此外,企業不要忘記将測試與可操作的補救建議聯系起來,以便安全團隊能夠進行必要的改進。再次強調一下,不要忘記文檔、文檔、文檔,重要的事情說三遍!
雖然雲安全還有許多東西需要進行深入挖掘,并且每家企業的網絡看起來都不相同,但是上述這些指導原則應該會有幫助。
本文作者MichelleDrolet為馬薩諸塞州弗雷明漢市數據安全服務提供商Towerwall的創始人,其客戶包括史密斯威森、米德塞克斯儲蓄銀行、WGBH公司、CovenantHealthcare以及其他許多中型公司。
原文網址
https://www.csoonline/article/3303580/cloudsecurity/5-tips-for-bettercloud-security.html