保護雲端資料的5個技巧

導讀	隨著企業逐漸轉向雲優先策略，保護雲端資料變得越來越重要。下面讓我們看看5個雲安全技巧，以幫助企業在混合或完全公共雲環境中保護資料。

美國前國防部長Donald Rumsfeld提到“已知的已知”、“已知的未知”和“未知的未知”。這些術語實際上是由美國國家航空航天局的研究人員創造，長期以來美國國家安全和情報專業人員都在使用這些說法。

當保護雲端資料時，企業需要準確地記錄他們在雲端擁有哪些資產，以及這些資產的當前安全狀況：已知的已知。技術專業人員可以利用很多工具找到資源，真正的挑戰是準確地找出需要記錄哪些資源。除明顯資源外(例如在哪裡執行工作負載)，你還需要查詢以下資源：

• 身份和訪問管理使用者和管理員賬戶特權，以查詢任何特權過高的使用者和角色;
• 與你的雲賬號關聯的所有公共IP地址，以在任何攻擊事件發生時提供預警;
• 資產和資源之間的關係，以發現潛在攻擊路徑;
• 金鑰和金鑰特徵，包括髮布日期，以禁用舊於給定閾值的金鑰。

當設定好企業的雲環境後，請安排測試。現在有非常多的工具，可幫助企業針對環境進行測試，包括滲透測試、配置錯誤測試和各種形式的漏洞測試。有些工具可以搜尋金鑰和密碼，有些甚至可以讓安全團隊建立併發起針對企業的高階持續威脅。總之，所有可能被攻擊者使用的工具、技術和程式，企業都可用於對雲環境進行測試。

保持對雲環境的持續監控(即始終保持監控)是明智的做法。企業應密切注意配置更改、合規性失效、對檔案或結構化資料的可疑更改等。實時執行此操作的價值在於能夠及早發現嘗試攻擊，以遏制攻擊的能力以及及時修補漏洞的能力。

“現場消防演習”已成為消防部門訓練的主要內容。現場消防演習是指購買建築物，將建築物佈置成典型的住宅或辦公室，然後使其著火併派遣消防員控制火勢的做法。這使得消防員可深入瞭解火災在不同條件的情況，並在現場火災的壓力下了解他們自己的弱點和傾向。

在雲環境中，這種演習可以是不安全的雲環境和雲應用程式。這些工具包含錯誤的配置和漏洞，可以快速輕鬆地進行設定，以訓練雲工程師如何檢測和修復常見的配置缺陷和安全漏洞。這樣的環境應該成為企業培訓計劃的一部分。企業可採用遊戲化機制，向最快速最有效地發現漏洞的網路安全專家給予獎勵。

企業需要跟蹤新興威脅，包括複雜的民族國家攻擊，這些威脅越來越多地利用雲服務。方法之一是透過Mitre ATT&CK框架，該框架跟蹤威脅，並將攻擊分解為各種技術手段，例如憑據訪問、許可權提升、發現等。ATT&CK框架還提供針對攻擊者的行為和活動的修復建議和最新見解。其他保持知情的方式包括，訂閱來自供應商和第三方組織的威脅情報源，以及參加ISACA或其他網路安全組織。