不只是縮時,還有粉塵、噪音、位移偵測 |
雲安全涉及保護雲端運算環境,免受外部和內部網路安全威脅的程序和技術。雲端運算是透過網露提供資訊技術服務,已成為尋求加速創新和協作的企業和政府的必需品。需要目的在防止,未經授權的訪問的雲安全和安全管理最佳實踐,以保護雲中的數據和應用程序免受當前和新出現的網路安全威脅。
雲端運算類別
雲安全性因所使用的雲端運算類別而異。雲計算主要分為四類:
- 由公有雲提供商營運的公有雲服務 —— 包括軟體即服務 (SaaS)、基礎設施即服務 (IaaS) 和平台即服務 (PaaS)。
- 由公有雲提供商營運的私有雲服務 —— 這些服務提供了一個專用於一個客戶的計算環境,由第三方營運。
- 由內部員工操作的私有雲服務 —— 這些服務是傳統數據中心的演變,內部員工在其中操作他們控制的虛擬環境。
- 混合雲服務 —— 私有雲和公有雲運算配置可以結合起來,根據成本、安全性、營運和訪問等優化因素託管工作負載和數據。操作將涉及內部員工,以及可選的公有雲提供商。
當使用公有雲提供商提供的雲端運算服務時,數據和應用由第三方託管,這標誌著的雲端運算與傳統 IT 的根本區別,傳統 IT 大部分數據保存在自控網露中。了解你的安全責任是建構雲安全策略的第一步。
雲安全職責的細分
大多數雲提供商都試圖為客戶創建安全的雲。他們的商業模式取決於防止違規和維護公眾和客戶的信任。雲提供商可以嘗試避免他們提供的服務出現雲安全問題,但無法控制客戶如何使用該服務、他們添加了哪些數據,以及誰有權訪問。客戶可以透過他們的配置、敏感數據和訪問策略削弱雲中的網路安全。在每種公有雲服務類型中,雲提供商和雲客戶分擔不同級別的安全責任。按服務類型,這些是:
- 軟體即服務 (SaaS) — 客戶負責保護他們的數據和用戶訪問。
- 平台即服務 (PaaS) — 客戶負責保護他們的數據、用戶訪問和應用程序。
- 基礎設施即服務 (IaaS) — 客戶負責保護他們的數據、用戶訪問、應用程序、操作系統和虛擬網絡流量。
在所有類型的公有雲服務中,客戶負責保護他們的數據,並控制誰可以訪問這些數據。雲端運算中的數據安全,是成功採用和獲得雲優勢的基礎。考慮流行的 SaaS 產品(如 Microsoft Office 365 或 Salesforce)的組織,需要規劃他們將如何履行共同的責任,來保護雲中的數據。那些考慮提供像 Amazon Web Services (AWS) 或 Microsoft Azure 這樣的 IaaS 產品的人需要一個更全面的計劃,該計劃從數據開始,但也涵蓋雲應用程序安全、操作系統和虛擬網路流量 —— 一個都可能帶來數據安全問題.
雲安全挑戰
由於公有雲中的數據由第三方儲存,並透過網路訪問,因此在維護安全雲的能力方面出現了一些挑戰。這些是:
- 對雲數據的可見性 —— 在許多情況下,雲服務是在企業網路之外和不受 IT 管理的設備上訪問的。這意味著 IT 團隊需要能夠深入了解雲服務本身,以全面了解數據,而不是傳統的網絡流量監控方式。
- 控制雲數據 —— 在第三方雲服務提供商的環境中,與在自己的場所控制伺服器和應用相比,IT 團隊對數據的訪問更少。默認情況下,雲客戶的控制權有限,無法訪問底層實體基礎設施。
- 訪問雲數據和應用 —— 用戶可以透過網路訪問雲應用和數據,使得基於傳統數據中心網路邊界的訪問控制不再有效。用戶可以從任何位置或設備訪問,包括自帶設備 (BYOD) 技術。此外,雲提供商人員的特權訪問可以繞過你自己的安全控制。
- 合規性 —— 雲端運算服務的使用為監管,和內部合規性增加了另一個維度。你的雲環境可能需要遵守 HIPAA、PCI 和 Sarbanes-Oxley 等法規要求,以及內部團隊、合作夥伴和客戶的要求。雲提供商基礎設施以及內部系統和雲之間的接口,也包含在合規和風險管理流程中。
- 雲-本地洩露 - 雲中的數據洩露與本地洩露不同,因為數據盜竊通常使用雲的本地功能發生。雲原生漏洞是攻擊者採取的一系列行動,他們通過在不使用惡意軟件的情況下利用雲部署中的錯誤或漏洞「登陸」攻擊,透過弱配置或受保護的接口,「擴展」他們的訪問權限以定位有價值的數據,並將該數據「滲透」到他們自己的儲存位置。
- 錯誤配置——雲原生漏洞通常歸於雲客戶的安全責任,其中包括雲服務的配置。研究顯示,目前只有 26% 的公司可以審核其 IaaS 環境中的配置錯誤。IaaS 的錯誤配置通常充當云原生漏洞的前門,允許攻擊者成功登陸,然後繼續擴展和洩露數據。研究還顯示,雲客戶在 IaaS 中沒有註意到 99% 的錯誤配置。以下是這項研究的摘錄,顯示了這種級別的錯誤配置斷開:
- 災難恢復——需要網路安全規劃來保護重大負面漏洞的影響。災難恢復計劃包括目的在支持數據恢復,並允許組織繼續營運和業務的策略、程序和工具。
- 內部威脅——流氓員工能夠使用雲服務,將組織暴露於網路安全漏洞。最近的 McAfee Cloud 採用和風險報告顯示,85% 的組織中存在顯示內部威脅的不規則活動。
雲安全解決方案
尋求雲安全解決方案的組織應考慮以下標準,以解決雲數據可見性和控制等主要雲安全挑戰。
- 雲數據的可見性 ——雲數據的完整視圖需要直接訪問云服務。雲安全解決方案通過與雲服務的應用程序編程接口 (API) 連接來實現這一點。通過 API 連接,可以查看:
- 哪些數據存儲在雲中。
- 誰在使用雲數據?
- 有權訪問云數據的用戶的角色。
- 雲用戶與誰共享數據。
- 雲數據所在的位置。
- 從哪裡訪問和下載雲數據,包括從哪個設備。
- 控制雲數據 ——一旦您了解雲數據,就可以應用最適合您的組織的控制。這些控制包括:
- 數據分類 ——在雲中創建的數據在多個級別上進行分類,例如敏感、受監管或公共。分類後,可以阻止數據進入或離開雲服務。
- 數據丟失防護 (DLP) — 實施雲 DLP 解決方案以保護數據免受未經授權的訪問,並在檢測到可疑活動時自動禁用數據訪問和傳輸。
- 協作控制 - 管理雲服務中的控制,例如將指定用戶的文件和文件夾權限降級為編輯者或查看者、刪除權限以及撤銷共享鏈接。
- 加密 ——雲數據加密可用於防止未經授權訪問數據,即使該數據被洩露或被盜。
- 訪問云數據和應用 —— 與內部安全一樣,訪問控制是雲安全的重要組成部分。典型的控制包括:
- 用戶訪問控制 —— 實施系統和應用程序訪問控制,確保只有授權用戶才能訪問云數據和應用程序。雲訪問安全代理(CASB)可用於實施訪問控制
- 設備訪問控制 —— 當未經授權的個人設備試圖訪問云數據時阻止訪問。
- 惡意行為識別 - 使用用戶行為分析 (UBA) 檢測受損帳戶和內部威脅,以免發生惡意數據洩露。
- 惡意軟體預防 —— 使用文件掃描、應用白名單、基於機器學習的惡意軟體檢測和網路流量分析等技術,防止惡意軟體進入雲服務。
- 特權訪問- 確定特權帳戶可能對你的數據和應用,擁有的所有可能的訪問形式,並實施控制以減少風險。
- 合規性 —— 應增強現有的合規性要求和實踐,以包括駐留在雲中的數據和應用程序。
- 風險評估——審查和更新風險評估以包括雲服務。辨識並解決雲環境和提供商引入的風險因素。雲提供商的風險數據庫,可用於加快評估過程。
- 合規性評估— 審查和更新 PCI、HIPAA、Sarbanes-Oxley 和其他應用程序監管要求的合規性評估。
沒有留言:
張貼留言