建立雲安全架構的5個技巧
隨著組織越來越多地將資料和應用程式轉移到雲端,安全架構在確保工作負載安全方面變得至關重要。雲安全架構是一個框架,它定義了組織如何為其運營的每個雲模型處理雲安全,以及它打算使用哪些解決方案和技術來建立安全環境。
雲安全最佳實踐應該是雲安全架構的起點。標準的可能來源是雲提供商釋出的文件、國家標準與技術研究院等組織或網際網路安全中心等安全研究組織的合規性標準。
雲安全架構還必須考慮您的組織和基礎設施即服務 (IaaS) 提供商之間的共同責任,指定組織應如何在保護雲提供商平臺上的資料和工作負載方面發揮作用。
雲安全挑戰
雲安全為組織帶來了獨特的挑戰。以下是您在設計雲安全架構時應考慮的一些主要挑戰:
· 身份和訪問:雲系統預設不安全,員工很容易在雲上建立資源而無人看管。所有云提供商都提供強大的身份和訪問管理 (IAM) 功能,但由組織來正確設定它們並將它們一致地應用於所有工作負載。
· 不安全的 API:雲中的一切都有一個 API,這既強大又極其危險。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪問和控制整個環境。API 是通向雲的前門,它通常是敞開的。
· 錯誤配置:雲環境有大量移動部件,包括計算例項、儲存桶、資料庫、容器和無伺服器功能。其中大部分都是短暫的,每天都有新例項啟動和關閉。這些資源中的任何一個都可能被錯誤配置,從而允許攻擊者透過公共網路訪問它們、洩露資料並對關鍵系統造成損害。
· 合規風險:您必須確保您的雲提供商支援所有相關的合規要求,並瞭解您可以使用哪些控制和服務來滿足您的合規義務。
· 隱形控制平面:在雲中,控制平面不受組織控制。雖然雲提供商負責其基礎設施的安全,但他們不提供有關資料流和內部架構的資訊,這意味著安全團隊在盲目飛行。
構建雲安全架構的技巧
這裡有一些技巧可以幫助您構建可靠的雲安全架構。
1) 進行盡職調查
在遷移到雲提供商或將雲部署擴充套件到其他雲提供商之前,組織應仔細調查整個雲提供商的安全性和彈性屬性以及他們打算使用的特定服務。
盡職調查過程應包括:
· 根據來自同行業組織的資料定義安全性和可用性基準
· 發現雲提供商的安全最佳實踐及其對組織的影響
· 嘗試雲提供商的安全功能,例如加密、日誌記錄以及身份和訪問管理 (IAM)
· 瞭解雲提供商如何幫助滿足您的合規義務以及它獲得認證的標準
· 瞭解您的雲提供商的責任共擔模型的細節以及您的組織負責哪些安全元素
· 評估第一方安全服務(由雲平臺提供)並將它們與第三方替代產品進行比較
· 評估現有的安全工具是否與新的雲環境相關
2) 確定哪些資料最敏感
對於大多陣列織而言,對所有資料應用嚴格的安全措施是不可行的。某些資料可能仍然不安全,但您必須確定必須保護哪些資料類別以防止違規和違反合規性。使用資料檢測和分類瞭解您需要保護的內容至關重要。
這通常是使用自動資料分類引擎來實現的。這些工具旨在跨網路、端點、資料庫和雲查詢敏感內容,使組織能夠識別敏感資料並建立必要的安全控制。
3) 讓員工雲使用走出陰影
僅僅因為您擁有企業雲安全策略並不意味著員工會遵守它。在使用常見的雲服務(例如 Dropbox 或基於網路的電子郵件)之前,員工很少諮詢 IT 部門。
組織的Web代理,防火牆和SIEM日誌是衡量員工對雲的影子使用情況的良好資源。這些可以提供有關正在使用哪些服務以及由哪些員工使用的全面檢視。在發現影子云使用情況時,您可以根據服務帶來的風險評估服務的附加價值。您可以選擇“合法化”影子云服務,也可以進行打擊並採取措施禁止它們。
影子使用的另一個方面是從不受信任的端點裝置訪問合法的雲資源。由於連線到 Internet 的任何裝置都可以訪問任何雲服務,因此個人移動裝置可能會在您的安全策略中造成差距。為了防止資料從受信任的雲服務逃逸到不受管理的裝置,在啟用訪問之前需要裝置安全驗證。
4) 保護雲端點
許多組織正在部署具有多層保護的端點保護平臺,包括端點檢測和響應(EDR),下一代防病毒(NGAV)以及使用者和實體行為分析(UEBA)。
端點保護在雲中更為重要。在雲中,端點是計算例項、儲存卷和儲存桶以及 Amazon RDS 等託管服務。
雲部署有大量端點,它們的變化比本地更頻繁,因此需要更高階別的可見性。端點保護工具可以幫助組織控制其雲工作負載並保護其安全狀況中最薄弱的環節。
5) 瞭解您在合規義務中的作用
請記住,合規性最終是您組織的唯一責任。無論您將多少業務功能轉移到雲端,您都可以選擇一個雲架構平臺來幫助您遵守適用於您所在行業的所有監管標準,無論是 PCI DSS、GDPR、HIPAA、CCPA 還是任何其他標準或法規。
瞭解您的雲提供商提供的工具和服務以確保合規性,以及您可以使用哪些第三方工具來建立合規且可以透過審計證明合規的雲系統。
寫在最後
構建雲安全架構並非易事。您需要為您的雲環境解決組織的安全策略、相關合規標準和安全最佳實踐,同時應對雲基礎架構的高度複雜性和動態性。我們提供了五個技巧,可以使您的雲安全架構取得成功:
1. 在使用雲提供商或雲服務之前,對安全性和合規性影響進行盡職調查
2. 確定儲存在雲環境中的哪些資料是敏感的並且需要保護
3. 透過“合法化”或阻止雲服務,讓員工瞭解雲使用情況並防止影子 IT
4. 使用與雲相容的端點保護技術保護雲中的端點
5. 瞭解您的組織和雲提供商之間在合規義務方面的責任分擔,並確保您儘自己的一份力量
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545812/viewspace-2774735/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- mozilla的安全架構架構
- 專案-安全架構架構
- 企業安全架構架構
- 使用Java API的5個技巧JavaAPI
- 安全架構中的前端安全防護架構前端
- 阿里雲安全肖力:雲原生安全定義下一代安全架構阿里架構
- 構建API的7個技巧API
- 安全架構評審實戰架構
- 大大提高我們的構建體驗5個 Vue 技巧Vue
- 5個介面效能提升的通用技巧
- 5 個普通的 Java 效能技巧 - RichardJava
- Java效能優化的5個技巧Java優化
- 提高 PostgreSQL 插入效能的 5 個技巧SQL
- 當金融科技遇上雲原生,螞蟻金服是怎麼做安全架構的?架構
- 建立有效DevOps測試策略的5大技巧dev
- 5 個 JavaScript 除錯技巧JavaScript除錯
- 5 個 Laravel Eloquent 小技巧Laravel
- 5 個JavaScript除錯技巧JavaScript除錯
- 零信任安全架構應如何落地?架構
- 網路安全架構規劃策略架構
- 保護雲端資料的5個技巧
- JavaScript 中 JSON 的 5 個小技巧?JavaScriptJSON
- Java執行緒的5個使用技巧Java執行緒
- 大型網站技術架構(八)--網站的安全架構網站架構
- 構建 Docker 映象的 N 個小技巧Docker
- 程式碼重構:類重構的 8 個小技巧
- NB-IOT物聯網系統的安全架構架構
- 提高 Laravel Eloquent 查詢的5個小技巧Laravel
- 提高郵件營銷效果的5個技巧
- 做好製造專案管理的5個技巧專案管理
- 提高Python執行效率的5個技巧!Python
- 5個讓DBA愛上你的SQL技巧SQL
- 構建Docker幾個小技巧Docker
- Kubernetes 下零信任安全架構分析架構
- BeyondCorp 打造得物零信任安全架構架構
- 程式碼重構:函式重構的 7 個小技巧函式
- 構建Vue.js元件的10個技巧Vue.js元件
- 十個 Laravel 5 程式優化技巧Laravel優化