保護(hù)云中敏感數(shù)據(jù)的3個(gè)優(yōu)秀實(shí)踐

BetterCloud公司最近進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，企業(yè)平均使用80個(gè)第三方云計(jì)算應(yīng)用程序進(jìn)行協(xié)作、通信、開(kāi)發(fā)、管理合同、授權(quán)簽名，并以其他方式支持處理和存儲(chǔ)敏感數(shù)據(jù)的業(yè)務(wù)功能。這些類(lèi)型的應(yīng)用程序稱(chēng)為SaaS。

企業(yè)還在PaaS和IaaS上擴(kuò)展應(yīng)用程序和業(yè)務(wù)。2020年，有76%的企業(yè)在AWS云平臺(tái)上運(yùn)行其應(yīng)用程序，63%的企業(yè)在Microsoft Azure云平臺(tái)上運(yùn)行應(yīng)用程序。

Capital One公司技術(shù)顧問(wèn)和前任首席信息安全官(CISO)Michael Johnson表示，這些公共云服務(wù)都是必需的且富有成效的，甚至比傳統(tǒng)的數(shù)據(jù)中心提供更安全的環(huán)境。但是，它們也給正在處理和存儲(chǔ)在云平臺(tái)中的敏感數(shù)據(jù)帶來(lái)了獨(dú)特的風(fēng)險(xiǎn)，其中大多數(shù)風(fēng)險(xiǎn)是由這些服務(wù)的設(shè)置和管理中的客戶錯(cuò)誤引起的。

Johnson 以該公司在2019年發(fā)生的數(shù)據(jù)泄露事件為例，此次事件泄露了8000萬(wàn)的個(gè)人記錄。在其中，網(wǎng)絡(luò)攻擊者利用了配置不當(dāng)?shù)牡谌皆朴?jì)算環(huán)境。Johnson和他的團(tuán)隊(duì)彌補(bǔ)了這一漏洞，并借助強(qiáng)大的響應(yīng)計(jì)劃，與企業(yè)董事會(huì)和執(zhí)行團(tuán)隊(duì)的透明性以及與執(zhí)法部門(mén)之間的合作關(guān)系，在數(shù)據(jù)被利用之前迅速幫助執(zhí)法機(jī)構(gòu)抓獲網(wǎng)絡(luò)攻擊者。

制定應(yīng)對(duì)計(jì)劃以應(yīng)對(duì)在云平臺(tái)中放置敏感數(shù)據(jù)的風(fēng)險(xiǎn)，這應(yīng)該是任何云安全策略的一部分。要開(kāi)始制定有關(guān)公共云使用的數(shù)據(jù)保護(hù)政策，重要的是要了解攻擊者如何竊取來(lái)自第三方云服務(wù)的數(shù)據(jù)。

數(shù)據(jù)在云中如何受到攻擊

根據(jù)云安全聯(lián)盟(CSA)發(fā)布的2020年度威脅報(bào)告，第三方云服務(wù)中的數(shù)據(jù)泄露主要是由于配置錯(cuò)誤和變更控制不充分(例如，過(guò)多的權(quán)限、默認(rèn)憑據(jù)、配置不正確的AWS S3存儲(chǔ)桶以及禁用的云安全控制)造成的。這份報(bào)告指出，這意味著缺乏云計(jì)算的安全策略或架構(gòu)，是造成數(shù)據(jù)泄露的另一個(gè)常見(jiàn)原因，其次是身份和密鑰管理不足，其次是不安全的API、結(jié)構(gòu)故障以及對(duì)云計(jì)算活動(dòng)和安全控制的有限可見(jiàn)性。

云安全聯(lián)盟(CSA)首席執(zhí)行官Jim Reavis表示：“由于越來(lái)越多的企業(yè)員工開(kāi)展遠(yuǎn)程工作，SaaS在2021年已成為我們關(guān)注的重點(diǎn)。公共云采用率出現(xiàn)了驚人的增長(zhǎng)，但是很多企業(yè)在匆忙中卻忘記了對(duì)邊緣網(wǎng)絡(luò)的安全保護(hù)。例如，人們?cè)诙鄠€(gè)云服務(wù)中重復(fù)使用其憑據(jù)，因此憑據(jù)填充攻擊正日益增多。”

根據(jù)安全服務(wù)商McAfee公司的一項(xiàng)調(diào)查，到2020年5月，思科WebEx的使用量增加了600%，Zoom增長(zhǎng)了350%，Microsoft Teams增長(zhǎng)了300%，Slack增長(zhǎng)了200%。Reavis指出，在企業(yè)最初支持遠(yuǎn)程工作的過(guò)程中，有許多可能導(dǎo)致數(shù)據(jù)泄漏的故障：IT團(tuán)隊(duì)沒(méi)有保護(hù)云中的存儲(chǔ)桶、實(shí)施安全的開(kāi)發(fā)人員實(shí)踐，或協(xié)調(diào)身份和訪問(wèn)程序。有些甚至是網(wǎng)絡(luò)攻擊者在存儲(chǔ)庫(kù)中發(fā)現(xiàn)的硬編碼應(yīng)用程序憑據(jù)。他補(bǔ)充說(shuō)，“這是非常基本的東西。”

企業(yè)遵循以下三個(gè)好實(shí)踐將顯著降低在云中存儲(chǔ)或處理數(shù)據(jù)的風(fēng)險(xiǎn)。

1. 盤(pán)點(diǎn)云服務(wù)的使用情況

首席信息安全官I(mǎi)anPoynter建議，應(yīng)對(duì)云平臺(tái)中數(shù)據(jù)威脅的好方法是控制云應(yīng)用程序的使用，并在涉及公共云服務(wù)的任何新舉措的規(guī)劃階段執(zhí)行風(fēng)險(xiǎn)評(píng)估。

首席信息安全官(CISO)之間的共識(shí)是，用戶的云計(jì)算實(shí)例并非總是得到授權(quán)，并且很少針對(duì)公開(kāi)數(shù)據(jù)進(jìn)行有效監(jiān)控。Poynter說(shuō)，“這就是首席信息安全官(CISO)需要成為執(zhí)行團(tuán)隊(duì)成員的原因，他們需要了解正在發(fā)生的事情，并且還需要?jiǎng)?chuàng)建一個(gè)協(xié)作環(huán)境，業(yè)務(wù)部門(mén)主管希望與他們共享新項(xiàng)目或產(chǎn)品，然后讓他們?cè)u(píng)估正在尋找的云計(jì)算產(chǎn)品以獲得支持。”

他表示，他曾向以前任職的一家公司的會(huì)計(jì)部門(mén)發(fā)出警告，告知哪些第三方云應(yīng)用程序和平臺(tái)的費(fèi)用報(bào)銷(xiāo)需要獲得批準(zhǔn)。如果未經(jīng)事先批準(zhǔn)，在批準(zhǔn)服務(wù)以外購(gòu)買(mǎi)的業(yè)務(wù)單位或個(gè)人用戶的報(bào)銷(xiāo)申請(qǐng)將被拒絕。

這是強(qiáng)制執(zhí)行云計(jì)算應(yīng)用程序白名單的人為但有效的方法。云計(jì)算應(yīng)用程序允許和拒絕列表也是通常部署在企業(yè)控制的端點(diǎn)上或通過(guò)零信任技術(shù)(例如瀏覽器隔離)來(lái)控制用戶、企業(yè)和云計(jì)算應(yīng)用程序之間遠(yuǎn)程會(huì)話的強(qiáng)大技術(shù)控制。

2. 云原生的安全性

Johnson表示，在企業(yè)已經(jīng)實(shí)現(xiàn)標(biāo)準(zhǔn)化的成熟云服務(wù)和應(yīng)用程序中使用云原生安全產(chǎn)品。例如，評(píng)估正在使用的應(yīng)用程序的配置合規(guī)性的AWS Inspector，以及可以檢測(cè)惡意活動(dòng)和未經(jīng)授權(quán)的行為的Amazon GuardDuty。他表示，企業(yè)需要對(duì)云計(jì)算提供商的聲譽(yù)進(jìn)行盡職調(diào)查，并盡量采用規(guī)模較大的云計(jì)算提供商的服務(wù)，因?yàn)橥ǔＫ麄儠?huì)在數(shù)據(jù)保護(hù)和可見(jiàn)性控制方面獲得更高的評(píng)分。

服務(wù)模型之間的原生安全性有所不同。 IaaS和PaaS供應(yīng)商為購(gòu)買(mǎi)者在其基礎(chǔ)設(shè)施或平臺(tái)中升級(jí)的應(yīng)用程序提供安全性和配置工具。這些是本地提供的，也可以通過(guò)第三方提供。對(duì)于SaaS應(yīng)用程序(例如DocuSign、Slack或Box)，安全性多數(shù)是原生的。例如，Microsoft 356為Active Directory的Exchange、SharePoint和Azure實(shí)例(除其他安全產(chǎn)品)提供高級(jí)審核。

通過(guò)Box企業(yè)云的應(yīng)用，可以了解第三方云計(jì)算提供商對(duì)敏感數(shù)據(jù)的處理過(guò)程。Box云平臺(tái)管理多個(gè)應(yīng)用程序，以支持工作流、數(shù)字合同、人力資源、Zoom會(huì)議、歷史數(shù)據(jù)存儲(chǔ)、人力資源加載和其他人力資源功能。用戶可以通過(guò)Box Shuttle將Box云平臺(tái)連接到其他云服務(wù)。

Box公司安全、隱私和法規(guī)遵從產(chǎn)品副總裁Alok Ojha表示，隨著越來(lái)越多的應(yīng)用程序在Box云平臺(tái)的應(yīng)用，面向用戶的嵌入式安全和法規(guī)遵從工具集將成為關(guān)鍵。Ojha引用Content Cloud作為Box用戶在不同工作流中實(shí)現(xiàn)一致安全性和可視性的地方，以查看應(yīng)用程序中正在處理哪些文件和數(shù)據(jù)，以及誰(shuí)在訪問(wèn)數(shù)據(jù)以及出于什么目的訪問(wèn)。

另一個(gè)原生工具Box Shield可配置為查找和分類(lèi)敏感數(shù)據(jù)，對(duì)分類(lèi)數(shù)據(jù)實(shí)施適當(dāng)控制，減少內(nèi)部和惡意軟件威脅的風(fēng)險(xiǎn)，了解與數(shù)據(jù)相關(guān)的監(jiān)管要求，并確保監(jiān)管機(jī)構(gòu)的審計(jì)跟蹤。他還建議重新關(guān)注身份和訪問(wèn)管理(IAM)，特別是使用多因素身份驗(yàn)證，以供外部用戶和合作伙伴使用，而不要使用可重復(fù)使用的密碼。

3. 保護(hù)數(shù)據(jù)層的數(shù)據(jù)

數(shù)據(jù)保護(hù)服務(wù)商Titaniam公司創(chuàng)始人兼首席執(zhí)行官Arti Raman警告說(shuō)，不要過(guò)度依賴(lài)身份和訪問(wèn)控制來(lái)防止數(shù)據(jù)泄漏，并表示還需要直接關(guān)注存儲(chǔ)在公共云中的數(shù)據(jù)。但是，從端點(diǎn)到企業(yè)再到云計(jì)算的數(shù)據(jù)保護(hù)非常困難，并且必須具有足夠的靈活性以跨越這些邊界，以保護(hù)生命周期中的數(shù)據(jù)。

她說(shuō)：“我們認(rèn)為，當(dāng)數(shù)據(jù)被索引、搜索、聚合、查詢(xún)或以其他方式操作時(shí)，加密和數(shù)據(jù)保護(hù)應(yīng)該保持存在，其方法是保持?jǐn)?shù)據(jù)以自適應(yīng)保護(hù)格式使用，而不限制任何功能。這包括傳統(tǒng)加密技術(shù)以及新的可搜索技術(shù)，這些技術(shù)在其之上使用傳統(tǒng)加密以滿足法規(guī)遵從性標(biāo)準(zhǔn)。”

Box公司的Ojha補(bǔ)充說(shuō)，數(shù)據(jù)終止策略也很重要。企業(yè)應(yīng)遵循數(shù)據(jù)安全的法規(guī)要求，最好自動(dòng)刪除不再需要在第三方云平臺(tái)或基礎(chǔ)設(shè)施中運(yùn)行的數(shù)據(jù)。

網(wǎng)頁(yè)標(biāo)題：保護(hù)云中敏感數(shù)據(jù)的3個(gè)優(yōu)秀實(shí)踐
URL分享：http://muchs.cn/news/201339.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、用戶體驗(yàn)、企業(yè)建站、網(wǎng)站內(nèi)鏈、移動(dòng)網(wǎng)站建設(shè)、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)