建立雲安全架構的5個技巧

安全頻道發表於2021-05-31
架構

隨著組織越來越多地將資料和應用程式轉移到雲端,安全架構在確保工作負載安全方面變得至關重要。雲安全架構是一個框架,它定義了組織如何為其運營的每個雲模型處理雲安全,以及它打算使用哪些解決方案和技術來建立安全環境。

雲安全最佳實踐應該是雲安全架構的起點。標準的可能來源是雲提供商釋出的文件、國家標準與技術研究院等組織或網際網路安全中心等安全研究組織的合規性標準。

雲安全架構還必須考慮您的組織和基礎設施即服務 (IaaS) 提供商之間的共同責任,指定組織應如何在保護雲提供商平臺上的資料和工作負載方面發揮作用。

雲安全挑戰

雲安全為組織帶來了獨特的挑戰。以下是您在設計雲安全架構時應考慮的一些主要挑戰:

· 身份和訪問:雲系統預設不安全,員工很容易在雲上建立資源而無人看管。所有云提供商都提供強大的身份和訪問管理 (IAM) 功能,但由組織來正確設定它們並將它們一致地應用於所有工作負載。

· 不安全的 API:雲中的一切都有一個 API,這既強大又極其危險。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪問和控制整個環境。API 是通向雲的前門,它通常是敞開的。

· 錯誤配置:雲環境有大量移動部件,包括計算例項、儲存桶、資料庫、容器和無伺服器功能。其中大部分都是短暫的,每天都有新例項啟動和關閉。這些資源中的任何一個都可能被錯誤配置,從而允許攻擊者透過公共網路訪問它們、洩露資料並對關鍵系統造成損害。

· 合規風險:您必須確保您的雲提供商支援所有相關的合規要求,並瞭解您可以使用哪些控制和服務來滿足您的合規義務。

· 隱形控制平面:在雲中,控制平面不受組織控制。雖然雲提供商負責其基礎設施的安全,但他們不提供有關資料流和內部架構的資訊,這意味著安全團隊在盲目飛行。

構建雲安全架構的技巧

這裡有一些技巧可以幫助您構建可靠的雲安全架構。

1) 進行盡職調查

在遷移到雲提供商或將雲部署擴充套件到其他雲提供商之前,組織應仔細調查整個雲提供商的安全性和彈性屬性以及他們打算使用的特定服務。

盡職調查過程應包括:

· 根據來自同行業組織的資料定義安全性和可用性基準

· 發現雲提供商的安全最佳實踐及其對組織的影響

· 嘗試雲提供商的安全功能,例如加密、日誌記錄以及身份和訪問管理 (IAM)

· 瞭解雲提供商如何幫助滿足您的合規義務以及它獲得認證的標準

· 瞭解您的雲提供商的責任共擔模型的細節以及您的組織負責哪些安全元素

· 評估第一方安全服務(由雲平臺提供)並將它們與第三方替代產品進行比較

· 評估現有的安全工具是否與新的雲環境相關

2) 確定哪些資料最敏感

對於大多陣列織而言,對所有資料應用嚴格的安全措施是不可行的。某些資料可能仍然不安全,但您必須確定必須保護哪些資料類別以防止違規和違反合規性。使用資料檢測和分類瞭解您需要保護的內容至關重要。

這通常是使用自動資料分類引擎來實現的。這些工具旨在跨網路、端點、資料庫和雲查詢敏感內容,使組織能夠識別敏感資料並建立必要的安全控制。

3) 讓員工雲使用走出陰影

僅僅因為您擁有企業雲安全策略並不意味著員工會遵守它。在使用常見的雲服務(例如 Dropbox 或基於網路的電子郵件)之前,員工很少諮詢 IT 部門。

組織的Web代理,防火牆和SIEM日誌是衡量員工對雲的影子使用情況的良好資源。這些可以提供有關正在使用哪些服務以及由哪些員工使用的全面檢視。在發現影子云使用情況時,您可以根據服務帶來的風險評估服務的附加價值。您可以選擇“合法化”影子云服務,也可以進行打擊並採取措施禁止它們。

影子使用的另一個方面是從不受信任的端點裝置訪問合法的雲資源。由於連線到 Internet 的任何裝置都可以訪問任何雲服務,因此個人移動裝置可能會在您的安全策略中造成差距。為了防止資料從受信任的雲服務逃逸到不受管理的裝置,在啟用訪問之前需要裝置安全驗證。

4) 保護雲端點

許多組織正在部署具有多層保護的端點保護平臺,包括端點檢測和響應(EDR),下一代防病毒(NGAV)以及使用者和實體行為分析(UEBA)。

端點保護在雲中更為重要。在雲中,端點是計算例項、儲存卷和儲存桶以及 Amazon RDS 等託管服務。

雲部署有大量端點,它們的變化比本地更頻繁,因此需要更高階別的可見性。端點保護工具可以幫助組織控制其雲工作負載並保護其安全狀況中最薄弱的環節。

5) 瞭解您在合規義務中的作用

請記住,合規性最終是您組織的唯一責任。無論您將多少業務功能轉移到雲端,您都可以選擇一個雲架構平臺來幫助您遵守適用於您所在行業的所有監管標準,無論是 PCI DSS、GDPR、HIPAA、CCPA 還是任何其他標準或法規。

瞭解您的雲提供商提供的工具和服務以確保合規性,以及您可以使用哪些第三方工具來建立合規且可以透過審計證明合規的雲系統。

寫在最後

構建雲安全架構並非易事。您需要為您的雲環境解決組織的安全策略、相關合規標準和安全最佳實踐,同時應對雲基礎架構的高度複雜性和動態性。我們提供了五個技巧,可以使您的雲安全架構取得成功:

1. 在使用雲提供商或雲服務之前,對安全性和合規性影響進行盡職調查

2. 確定儲存在雲環境中的哪些資料是敏感的並且需要保護

3. 透過“合法化”或阻止雲服務,讓員工瞭解雲使用情況並防止影子 IT

4. 使用與雲相容的端點保護技術保護雲中的端點

5. 瞭解您的組織和雲提供商之間在合規義務方面的責任分擔,並確保您儘自己的一份力量

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545812/viewspace-2774735/,如需轉載,請註明出處,否則將追究法律責任。

相關文章