 |
| Klacci 凱樂奇 行動生物辨識智慧門鎖 |
2022 年 10 月,資料中心建設創下歷史新高,反映了我們對資料收集、儲存和保護的依賴。這種依賴滲透到所有行業的企業中,並給資料中心儲存和處理大量資料帶來了壓力,其中大部分是敏感的。
財務記錄、個人資訊和智慧財產權是敏感資料,企業不願意移交給第三方的一些例子,因為落入壞人之手或以任何方式受到損害,將對組織及其客戶造成嚴重後果。但隨著對資料的依賴增加,內部儲存和管理資料的成本也增加了。
與此同時,資料洩露繼續上升,甚至優步和 Medibank 等已建立的組織,也會出現嚴重的資料洩露和資料記錄丟失。可以理解的是,76% 的企業資料中心擔心資料安全。作為組織 IT 營運的骨幹,意味著資料中心營運的任何漏洞或中斷,都可能妨礙常規業務並導致財務損失。保持高標準的資料中心安全標準非常重要。
什麼是資料中心安全標準?
資料中心安全標準,是指導資料中心如何運作,以及如何保護使用者敏感資訊的準則和協議。資料中心使用各種官方和非官方標準,來規範其安全實踐,並提高其資料中心的效率。
每個組織可以根據組織的特定行業或需求,單獨選擇其遵循的標準。在美國最常用的標準之一是國家標準與技術研究所(NIST)開發的標準,NIST是一個屬於美國商務部的非監管政府機構。
NIST 的標準涵蓋資訊科技、支援應用程式和資料中心基礎設施,重點是網路安全和資訊保全。其他流行標準包括國際標準組織(ISO)和電信行業協會(TIA)。這些組織設定了組織必須遵循的安全要求,以升級或強化其安全性。
在本部落格中,我們討論了其中一些基本的資料中心安全標準。首先,為了瞭解它們的相關性,讓我們看看貴組織的資料中心可能面臨的一些威脅。
資料中心面臨什麼威脅?
資料中心在組織的內部和外部操作中發揮著關鍵作用,它託管應用程式,儲存和處理客戶和員工資料,並包括網路、運算、儲存等關鍵操作的組成。資料中心在你組織的基礎設施中發揮著關鍵作用,你需要意識到他們面臨的威脅,以提供他們所需的安全態勢。將資料中心置於風險之中的主要威脅可以分為兩大類:
直接基礎設施攻擊
資料中心由複雜的基礎設施組成,包括三個組成部分:運算、儲存和網路功能。針對此基礎設施的攻擊會影響資料中心的可用性、效能和安全性。為了防止這些攻擊,資料中心經過預先設計,可以抵禦基礎設施攻擊和漏洞。
針對託管服務的網路攻擊
資料中心的部分功能是託管內部和面向客戶的應用程式,這些應用程式可以透過各種方式定位,包括:
- Web 和應用程式攻擊:針對 Web 應用程式漏洞的攻擊。
- 分散式拒絕服務(DDoS)攻擊:針對你的服務可用性的攻擊,導致收入損失、客戶挫折感和聲譽損害。
- DNS 攻擊:此攻擊僅與託管 DNS 基礎設施的資料中心相關,這些資料中心可能容易受到 DNS DDoS 攻擊、快取中毒和其他 DNS 威脅。
- 憑證洩露:憑證填充、網路釣魚攻擊、資料洩露或其他攻擊被破壞的憑證,這些攻擊可用於連線存取資料中心的其餘部分,以提取其他資訊。
誰需要遵守資料中心安全標準?
資料中心安全標準對於任何計劃在其資料中心內,保持高水準安全的組織都非常重要。這特別適用於託管和管理自己的資料中心,以支援其營運的組織,或使用資料中心儲存重要資訊和敏感資料的組織。換句話說,這些標準幾乎涵蓋了所有組織,無論行業如何,因為將資料儲存在本地或雲端伺服器中已被儲存在紙質上所取代。
從儲存敏感支付資訊的金融組織,到儲存患者健康資料的醫療組織,安全是所有行業的優先事項。即使是使用雲提供商的組織,也需要主動確保其環境符合最新的安全標準。簡而言之,每個使用資料中心的組織都應該確保其IT、DevOps 和安全團隊有一個明確的清單和準則,以確保其安全永遠不會受到損害。
資料中心安全標準解決了哪些問題?
安全標準為你的 IT、DevOps 和安全團隊,提供了一套明確的準則,以確保你的資料保持安全。遵循知名和受人尊敬的標準,將使你的客戶有信心將他們最敏感的資料委託給你。在某些情況下,對於金融和醫療行業的企業來說,確保遵守某些標準是一項法律要求,違規行為可能會導致法律訴訟和昂貴的罰款。
即使不是強制性的,資料安全標準也可以幫助實現以下目標:
- 保護實體基礎設施:實體基礎設施是許多資料中心的脆弱組成部分,確保其受到保護非常重要。
- 限制接入點:接入點是資料中心基礎設施中的另一個漏洞,安全標準可以幫助保護它。透過監控和限制接入點,你可以防止未經授權連線資料,從而防止洩露。
- 新增新的安全層:確保安全難以突破的最有效方法之一,是多層安全方法,許多資料中心安全標準都支援這種方法。
你需要實施的 6 個資料中心安全標準
雖然你選擇遵循的資料中心安全標準,可能對你的組織或行業來說是個人的,但應該實施幾個關鍵安全標準來保持高水準的保護。你選擇的標準將因地區和行業法規而異,但一些最常見的包括:
1. ISO/IEC 27001
該標準在國際上用於概述實施世界上,最知名的資訊保全管理系統(ISMS),及其要求的最佳做法。 ISO/IEC 2700 系列的其他 47 個標準涵蓋了,資料保護和網路復原力方面的其他最佳實踐。
2. SSAE 16(SOC 1、2 和 3)
SOC 標準用於審計,評估當前用於保護資料中心資料的安全性、可用性和機密性的控制和流程。通常有四種類型的 SOC 報告,儘管 SOC 1 和 2 是最常用的。
找出哪個 SOC 與你的組織相關取決於你的業務性質。例如,SOC 1 報告與在金融部門營運的企業有關,因為它證明了它們更有效率、安全地管理客戶財務資料的能力。另一方面,SOC 2 更具全面性,可能與大多數線上營運的企業相關,因為它證明了組織在處理敏感客戶資訊時有確保安全、完整性和處理效率的程式。
3. PCI DSS
這套標準適用於任何處理、儲存或傳輸使用者信用卡資訊的組織。它包括關於如何保護資料中心,和管理支付卡處理,和資訊儲存的其他組成的各種要求,這些要求經常更新。
4. NIST 800-53
NIST 800-53 一套標準由NIST研究所控制,包括一個 7 步流程,任何組織都可以使用該流程,來管理組織和系統的資訊安全和隱私風險。它還連結到一套 NIST 標準和準則,以支援實施必要的風險管理計劃,以滿足我們的下一個專案,即《聯邦資訊保全現代化法案》(FISMA)的要求。
5. FISMA(聯邦資訊保全管理法)
這套法律標準於 2014 年推出,是對聯邦政府網路安全實踐的更新。他們編纂了國土安全部在管理聯邦行政部門民事機構的資訊保全,實踐實施方面的作用。換句話說,它們旨在保護屬於聯邦政府的資訊和資訊系統,包括資料系統。
6. HIPAA(健康保險可攜帶性和問責制法案)
該標準與醫療行業特別相關,包括保護資料中心中儲存的電子保護健康資訊(ePHI)的完整性、保密性和可用性的要求。它於 1996 年作為美國聯邦法律推出,目的在保護敏感的患者健康資訊,在未經患者同意或不知情的情況下被披露。
DevOps 救援:為什麼資料中心安全是每個人的業務
實施資料安全標準,是避免資料洩露的有害後果的必備品,包括經濟損失、聲譽損害和潛在的法律後果。但僅僅實施一次這些標準是不夠的。隨著技術的發展,攻擊者利用系統漏洞和資料中心的方法,也變得更加複雜。因此,必須定期審查和更新你的安全標準,以確保它們對最新的安全威脅保持有效。這似乎是一項艱鉅的任務,但它應該被視為一個漸進的、必要的步驟,以保證你的安全方法保持有效。
幸運的是,有自動化工具可以幫助你管理這項任務。Spectral 是開發人員優先的安全解決方案,可幫助你隨時自動保護你的資料安全。數百個檢測器不斷掃描和監控你的環境漏洞,Spectral 保護你的資料中心基礎設施,而不會減慢你的開發過程。今天請求演示以瞭解更多資訊。
0 comments:
張貼留言