云安全和风险缓解. 2019-08-14
很多企业的数据存放在云端,而没有存放在内部部署数据中心,但这并不意味着可以不用负责其数据的安全性。
云计算技术当然具有一定的优势,但与任何大规模部署一样,采用云计算也可能面临无法预料的挑战。“云计算只是别人的数据中心”,这个概念让很多人感到困惑,因为这可能假设企业放弃安全责任,因为“别人会照顾它”。
云计算系统、网络和应用程序并非实际位于企业的控制范围内,而是安全责任和风险的一种缓解。云计算基础设施提供商可以在设置运营环境的方式、放置的内容,如何保护数据,以及如何监控环境方面实现大量控制。企业在整个环境中管理风险,并与现有安全框架保持一致是最重要的。
隐私和风险
根据欧盟发布的通用数据保护法规和美国一些地区(亚利桑那州、科罗拉多州、加利福尼亚州和其他州)的类似政策,组织在保护云中的数据时面临更高的要求。其解决方案并不像在数据中心安装数据丢失防护软件那么简单,因为企业现在拥有很多不属于自己但仍需要可见性和控制权的服务、系统和基础设施。
共享或交换信息的云计算服务和基础设施也难以管理:那么谁拥有服务级别协议?是否需要一个控制台可以监控一切?DevOps迫使企业实施微分段,并调整防火墙规则变更管理流程。此外,采用无服务器计算允许开发人员运行代码,而无需担心基础设施和平台,为组织提供了降低成本和提高工作效率的方法。但是,如果没有处理虚拟私有云和工作负载部署,事情可能会失控,就会开始看到重要数据可能泄漏。
缓解
组织可以采取几个步骤来帮助降低在云中的数据风险。
1.设计保持一致。首先,将组织的云计算环境与网络安全框架保持一致。通常,组织将业务迅速地迁移到云平台,以至于应用于其内部部署数据中心的安全控制措施可能不会有效地迁移到云平台。此外,组织可以采用软件即服务(SaaS)应用程序(如Salesforce或Office 365)上的安全措施。但即使使用这些合法的业务应用程序,如果组织没有正确的数据,数据可能会丢失能见度和控制力。因此,使云计算提供商技术与网络安全框架和业务运营程序保持一致,可以实现高度安全、更高效的云平台,从而提供更好的结果和成功的部署。
2.应该像对待局域网和数据中心那样对待云计算系统和网络。例如,亚马逊公司的共享责任模型概述了其安全责任从何处结束,以及其安全责任从何处开始。尽管计算层存在威胁(正如人们在Meltdown、Foreshadow和Spectre中看到的那样),最近的云计算数据泄露事件已经显示出组织安全责任领域的崩溃,即操作系统安全、数据加密和访问控制。如果组织有管理服务器配置、漏洞管理、修补、身份和访问管理、加密、分段、防火墙规则、应用程序开发和监控的标准,需要注意这些标准是否适用于云计算服务,并且定期进行审核。
3.有效的安全控制。很多组织通常会警告那些为了获得灵活性和效率却接入不安全无线接入点的员工,提醒他们注意安全。提供恶意检测和入侵防御系统功能的无线控制器有助于控制这种行为。通过云计算技术,员工可以根据需要设置云计算存储账户、无服务器计算环境和虚拟专用网络,以避免繁琐的变更控制程序,降低成本,并获得类似的灵活性和效率。通过重新架构传统网络调整数十年前的流程和程序,实施云计算代理或云计算访问安全代理(CASB)技术,并将其与强大的端点安全控制和有效的意识活动相结合,组织可以提供这种级别的灵活性和效率,但仍然可以提供数据保护。
4.密切关注。网络安全运营中心(CSOC)不再仅仅关注本地网络和数据中心。安全运营中心(CSOC)使用的运营监控程序、威胁搜寻、情报和事件响应也适用于组织数据所在的云计算环境。监控组织数据可能驻留的SaaS应用程序具有挑战性,但可以使用有效的端点安全性以及云计算访问解决方案(CASB和代理)的监控来完成。对于无服务器环境,根据组织的网络安全运营中心(CSOC)要求,这可能意味着第三方监控平台或解决方案的应用超出云计算提供商提供的范围。在所有情况下,事件记录和触发器都需要反馈到网络安全运营中心(CSOC)以便与本地事件数据、分析和威胁情报相关联。
由于可用的云计算服务,组织难以管理风险。从“尽一切努力完成工作”到“做对企业有利的事情”的文化转变需要大量的协调努力和时间,但其根源在于安全成为业务推动者。
如果需要继续保护业务,组织必须在技术决策中包含安全性,并且其安全性必须了解业务需求和技术变化才能成为推动者。为了帮助阻止员工自己寻求技术问题解决方案,IT团队和安全团队必须开发他们的资产和功能,以提供速度和便利,或者需要不断努力跟上这种需求。
转自D1Net