毫無疑問,云計(jì)算的廣泛采用促進(jìn)了更大規(guī)模的協(xié)作,推動(dòng)了創(chuàng)新和創(chuàng)造。企業(yè)分布在各地的員工可以更加和諧地工作,IT部門可以減少昂貴的硬件和維護(hù)成本,組織可以從軟件工具的最新發(fā)展中受益。但不可避免地會(huì)面臨安全性這個(gè)問題。企業(yè)需要擔(dān)心許多不同的云計(jì)算安全威脅,因此制定一個(gè)強(qiáng)大的、全面的云安全策略至關(guān)重要。
為此,企業(yè)可以采取以下五個(gè)技巧來改善云計(jì)算的安全性。
1、建立完全可見性
組織有機(jī)地開發(fā)、獲取和采用必須與遺留系統(tǒng)集成的新工具,并與不同的供應(yīng)商和合作伙伴建立新的關(guān)系。在本地服務(wù)器和多個(gè)外部云計(jì)算服務(wù)之間傳播數(shù)據(jù),這并不罕見。日益增加的復(fù)雜性使得難以保持全局視圖。
在調(diào)查中,當(dāng)570名網(wǎng)絡(luò)安全人員和IT專業(yè)人員被問及嘗試保護(hù)云計(jì)算工作負(fù)載時(shí)最頭痛的問題時(shí),43%的受訪者表示是基礎(chǔ)設(shè)施安全性的可見性,38%的受訪者表示是合規(guī)性,35%的受訪者表示設(shè)置一致的安全策略。如果沒有完全映射并建立實(shí)時(shí)可見性,企業(yè)無法保護(hù)其云計(jì)算環(huán)境,無論它看起來如何。
2、培訓(xùn)員工
絕大多數(shù)數(shù)據(jù)泄露事件都能追溯到人為錯(cuò)誤,無論是錯(cuò)誤配置、訪問控制不良、網(wǎng)絡(luò)釣魚攻擊還是簡(jiǎn)單錯(cuò)誤。這就是適當(dāng)?shù)陌踩庾R(shí)培訓(xùn)如此重要的原因。為企業(yè)員工提供所需的信息和技能,以降低惡意軟件或未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn),并確保及時(shí)報(bào)告潛在事件。
確保企業(yè)的員工具備正確配置他們正在使用的工具所需的技能,這只是其中的一部分。還需要灌輸良好的安全意識(shí),并制定非常明確的政策,規(guī)定誰(shuí)負(fù)責(zé)以及發(fā)生潛在事件時(shí)的程序。完全防止錯(cuò)誤是不可能的,但正確的反應(yīng)可以創(chuàng)造一個(gè)與眾不同的世界。
3、盡早包含安全性
對(duì)于任何試圖保護(hù)云計(jì)算平臺(tái)的人來說,部分問題在于他們通常會(huì)將安全性改造為在設(shè)計(jì)時(shí)很少考慮的系統(tǒng)。負(fù)責(zé)安全的人往往努力說服壓力不足的團(tuán)隊(duì)改變他們的流程。部門之間的障礙可能導(dǎo)致怨恨和抵制。
企業(yè)引入安全性并消除障礙是向DevSecOps轉(zhuǎn)變的一部分,DevSecOps允許從任何項(xiàng)目的開始設(shè)計(jì)安全性。這可能是一個(gè)雄心勃勃的目標(biāo),但在任何討論中盡早包含安全性的基本原則是有效的,無論是采用新工具,開發(fā)軟件,還是云計(jì)算架構(gòu)的變更。
4、持續(xù)監(jiān)控
創(chuàng)建云計(jì)算的快照,并精確映射數(shù)據(jù)在任何給定時(shí)刻的位置只是基礎(chǔ),企業(yè)還需要不斷警惕以應(yīng)對(duì)產(chǎn)生的問題。數(shù)據(jù)應(yīng)始終加密,應(yīng)嚴(yán)格控制訪問,監(jiān)控流量,并盡快識(shí)別和修復(fù)漏洞。
企業(yè)需要持續(xù)監(jiān)控網(wǎng)絡(luò),并持續(xù)提供有關(guān)潛在威脅的新信息。確保標(biāo)記可疑行為,以便可以發(fā)現(xiàn)惡意內(nèi)部人員以及未經(jīng)授權(quán)的訪問。為任何數(shù)據(jù)修改或刪除構(gòu)建清晰的審計(jì)路徑。企業(yè)發(fā)現(xiàn)問題的速度越快,解決問題的機(jī)會(huì)就越大。
5、定期測(cè)試
與流行的看法相反,將數(shù)據(jù)轉(zhuǎn)移到云中并不會(huì)將責(zé)任轉(zhuǎn)移到云計(jì)算提供商。如果發(fā)生數(shù)據(jù)丟失,企業(yè)仍將承擔(dān)監(jiān)管處罰、喪失用戶信任,以及所有其他相關(guān)后果的責(zé)任。這就是為什么企業(yè)必須對(duì)合作伙伴進(jìn)行盡職調(diào)查并確保他們完全理解合規(guī)的意義的原因。
唯一可以確保企業(yè)內(nèi)部和外部防御工作正常的方法就是測(cè)試。應(yīng)該規(guī)劃和實(shí)施定期測(cè)試程序,其中包括從滲透測(cè)試到模擬網(wǎng)絡(luò)釣魚攻擊的所有內(nèi)容。創(chuàng)建反饋循環(huán)并激發(fā)新興威脅是確保企業(yè)的安全系統(tǒng)快速發(fā)展的最佳方法,但不要忘記將測(cè)試與可操作的補(bǔ)救建議聯(lián)系起來,使企業(yè)的團(tuán)隊(duì)能夠進(jìn)行必要的更改。此外,不要忘記文檔的安全。
云計(jì)算安全需要深入挖掘,每個(gè)組織的網(wǎng)絡(luò)和業(yè)務(wù)都各不相同,但這些指導(dǎo)原則應(yīng)該對(duì)其有益。