企業(yè)需要了解的十個(gè)云安全優(yōu)秀實(shí)踐

2022-10-09    分類(lèi): 網(wǎng)站建設(shè)

每一次大規(guī)模網(wǎng)絡(luò)攻擊和每一次鮮為人知的宕機(jī)的背后,IT 安全專(zhuān)業(yè)人員、應(yīng)用程序開(kāi)發(fā)人員、供應(yīng)商和 IT 服務(wù)供應(yīng)鏈中的其他人都在彼此達(dá)成更緊密地合作,以開(kāi)發(fā)更強(qiáng)大的云防御?,F(xiàn)有的漏洞和新出現(xiàn)的威脅正在被識(shí)別,并推出修復(fù)方案,開(kāi)發(fā)和共享好實(shí)踐。

企業(yè)需要了解的十個(gè)云安全優(yōu)秀實(shí)踐

最近尤其如此,因?yàn)樵S多企業(yè)已經(jīng)增加或轉(zhuǎn)移了 IT 資源以適應(yīng)遠(yuǎn)程工作的員工。許多企業(yè)在匆忙做出這些更改的過(guò)程中,發(fā)現(xiàn)他們可能已經(jīng)削弱了 IT 安全態(tài)勢(shì),讓自己面臨新的漏洞,或者暴露了現(xiàn)有的漏洞。

雖然云安全好實(shí)踐沒(méi)有明確清單,但在企業(yè)的開(kāi)發(fā)團(tuán)隊(duì)、基礎(chǔ)設(shè)施和流程方面,有幾個(gè)要考慮的事項(xiàng),以增強(qiáng)企業(yè)的IT安全性。

1、從 DevOps 轉(zhuǎn)向 DevSecOps

實(shí)施 DevSecOps — 開(kāi)發(fā)安全操作。簡(jiǎn)而言之,它是關(guān)于內(nèi)置安全性,而不是圍繞應(yīng)用程序和數(shù)據(jù)外圍的安全性,應(yīng)用程序和基礎(chǔ)設(shè)施安全是整個(gè)應(yīng)用程序生命周期的組成部分。

例如,當(dāng)企業(yè)進(jìn)行持續(xù)測(cè)試時(shí),包括安全測(cè)試。不斷檢查應(yīng)用程序是否正確使用了應(yīng)用程序內(nèi)置的 IAM 服務(wù)、加密和其他安全流程。確保它們都正常工作。

在云中暫存和部署應(yīng)用程序后,在整個(gè)持續(xù)運(yùn)營(yíng)階段保持安全重點(diǎn)。檢查應(yīng)用程序、數(shù)據(jù)存儲(chǔ)和平臺(tái)內(nèi)的 IAM 和加密操作,以確保所有保護(hù)措施都處于活動(dòng)狀態(tài)并正常運(yùn)行。

2、涵蓋應(yīng)用安全基礎(chǔ)知識(shí)

確保了解這些基本的應(yīng)用程序安全概念:授權(quán)、審計(jì)/日志記錄、機(jī)密性和完整性。授權(quán)控制經(jīng)過(guò)身份驗(yàn)證的用戶(hù)有權(quán)訪(fǎng)問(wèn)的資源,例如文件和數(shù)據(jù)庫(kù)。

可以訪(fǎng)問(wèn)整個(gè)資源、部分資源或不訪(fǎng)問(wèn)。審計(jì)和日志記錄可確保記錄用戶(hù)的操作,從而可以識(shí)別可能發(fā)出違規(guī)信號(hào)的使用模式,以便采取防御措施。它們對(duì)于合規(guī)性或其他法律目的也至關(guān)重要。

機(jī)密性是確保數(shù)據(jù)保持私密性并確保未經(jīng)授權(quán)的用戶(hù)或監(jiān)視網(wǎng)絡(luò)流量的竊聽(tīng)者無(wú)法查看的過(guò)程。每當(dāng)數(shù)據(jù)在系統(tǒng)內(nèi)靜止或移動(dòng)時(shí),可以使用加密來(lái)強(qiáng)制執(zhí)行機(jī)密性。

完整性是指確保數(shù)據(jù)在其生命周期內(nèi)的準(zhǔn)確性和一致性(有效性)的措施。推薦的做法包括輸入驗(yàn)證以防止輸入無(wú)效數(shù)據(jù)、錯(cuò)誤檢測(cè)/數(shù)據(jù)驗(yàn)證以識(shí)別數(shù)據(jù)傳輸中的錯(cuò)誤,以及訪(fǎng)問(wèn)控制、加密和數(shù)據(jù)丟失預(yù)防等安全措施。

3、實(shí)施漏洞掃描

將漏洞掃描集成到 CI/CD 流程中。確保在交付管道的每個(gè)主要階段(從編寫(xiě)到部署到生產(chǎn)中)檢查代碼是否存在漏洞。確保負(fù)責(zé)不同管道階段的各方擁有檢測(cè)代碼問(wèn)題的必要工具和培訓(xùn)。

通常建議使用靜態(tài)應(yīng)用程序安全測(cè)試 (SAST) 來(lái)檢測(cè)專(zhuān)有代碼中的漏洞,而選 SCA 工具來(lái)檢測(cè)和跟蹤組織代碼庫(kù)中的所有開(kāi)源組件。

4、利用運(yùn)行時(shí)保護(hù)

跨 CI/CD 管道集成運(yùn)行時(shí)保護(hù),以保護(hù)應(yīng)用程序在開(kāi)始運(yùn)行時(shí)免受威脅。至少,監(jiān)控應(yīng)用程序是否存在可能表示違規(guī)的異常行為。制定一個(gè)流程來(lái)識(shí)別變量或配置設(shè)置,可能會(huì)在運(yùn)行時(shí)產(chǎn)生安全漏洞。

5、考慮具體和一般問(wèn)題

使用防止特定類(lèi)型攻擊的安全措施。例如,配置良好的內(nèi)容安全策略 (CSP) 標(biāo)頭可以防御 XSS 攻擊和其他繞過(guò)同源策略的嘗試。強(qiáng)制使用強(qiáng)密碼有助于保護(hù)敏感數(shù)據(jù)并防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)導(dǎo)致的數(shù)據(jù)泄露。在操作層面,使用 DDoS 緩解服務(wù)來(lái)幫助抵御 DDoS 攻擊。

6、利用容器/服務(wù)管理安全特性

確保使用編排工具和服務(wù)網(wǎng)格提供的安全功能。這些工具充當(dāng)容器與外部世界之間高度可擴(kuò)展的絕緣層,可以處理身份驗(yàn)證、授權(quán)和加密等任務(wù)。它們專(zhuān)為從頭開(kāi)始的自動(dòng)化而設(shè)計(jì)。

確定是否需要啟用或配置它們。例如,Kubernetes 的基于角色的訪(fǎng)問(wèn)配置 (role-based access configuration,RBAC) 應(yīng)該是 DevSecOps 的關(guān)鍵元素,但默認(rèn)情況下不啟用。

7、備份恢復(fù)策略

將數(shù)據(jù)保護(hù)、備份和恢復(fù)作為云安全計(jì)劃的一部分。培養(yǎng)具有內(nèi)置安全性的安全環(huán)境和應(yīng)用程序并不意味著網(wǎng)絡(luò)攻擊者無(wú)法找到減緩操作或破壞數(shù)據(jù)的方法。

適當(dāng)?shù)臄?shù)據(jù)保護(hù)、備份和恢復(fù)策略有助于確保如果企業(yè)的云安全無(wú)法阻止攻擊,其最重要的數(shù)據(jù)和應(yīng)用程序仍然可以訪(fǎng)問(wèn)和使用。

8、采用合規(guī)標(biāo)準(zhǔn)

如果企業(yè)正在考慮從 CSP 采購(gòu)云服務(wù),請(qǐng)選擇那些經(jīng)認(rèn)證符合 PCI DSS 要求或定期接受 HIPAA 合規(guī)性審核的服務(wù) ─ 即使該企業(yè)不在需要遵守這些標(biāo)準(zhǔn)的行業(yè)。符合 PCI 和 HIPAA 的云環(huán)境采用的基礎(chǔ)架構(gòu)和流程使其能夠滿(mǎn)足非常嚴(yán)格的安全要求。這將轉(zhuǎn)化為更安全的云環(huán)境。

如果企業(yè)受監(jiān)管要求的約束,請(qǐng)確保其符合要求。許多法規(guī)、政府規(guī)定和行業(yè)標(biāo)準(zhǔn)都需要滿(mǎn)足嚴(yán)格的數(shù)據(jù)安全和隱私技術(shù)要求。如果您的企業(yè)合規(guī),則很有可能擁有大量防御措施來(lái)減輕網(wǎng)絡(luò)攻擊。請(qǐng)記住,需求會(huì)發(fā)生變化,因此合規(guī)性不是一次性的。

9、保持防守

最新的防火墻、廣告攔截器、瀏覽器中的腳本攔截器和電子郵件安全產(chǎn)品可以阻止已知的惡意發(fā)件人并去除已知的惡意附件文件類(lèi)型。使用白名單來(lái)防止軟件下載。隔離“沙盒”技術(shù)可以防止勒索軟件的下載和執(zhí)行免受網(wǎng)絡(luò)釣魚(yú)鏈接、網(wǎng)絡(luò)偷渡和水坑攻擊。

如果企業(yè)團(tuán)隊(duì)不具備監(jiān)控和更新防御的專(zhuān)業(yè)知識(shí),則需考慮使用托管服務(wù)提供商來(lái)承擔(dān)安全責(zé)任。此外,也要考慮選擇 CSP 或第三方 IT 安全供應(yīng)商托管安全服務(wù)。企業(yè)將能夠更好地覆蓋所有端點(diǎn)和潛在漏洞。

好處:托管安全性通常意味著無(wú)需前期資本支出或內(nèi)部安全專(zhuān)業(yè)知識(shí)即可訪(fǎng)問(wèn)最新和最強(qiáng)大的安全技術(shù)。由于服務(wù)提供商負(fù)責(zé)對(duì)企業(yè)的 IT 安全進(jìn)行監(jiān)控和管理,因此企業(yè)自身的 IT 人員和資源可以騰出用于其他工作。

10、永遠(yuǎn)不要放松警惕

接受世界上沒(méi)有 100% 安全的云環(huán)境這一現(xiàn)實(shí)。當(dāng)企業(yè)假設(shè)其云環(huán)境難以滲透時(shí),很容易對(duì)云安全好實(shí)踐、定期審計(jì)、員工安全意識(shí)培訓(xùn)和其他元素松懈。

新的網(wǎng)絡(luò)威脅不斷出現(xiàn),其他威脅也在不斷演變。今天的保護(hù)措施可能對(duì)之后演變出的新的威脅不起作用。與掌握最新威脅的 CSP 或托管安全公司合作至關(guān)重要。但同樣重要的是,企業(yè)的 IT 員工也要跟上安全前沿的發(fā)展步伐。

關(guān)注一些由值得信賴(lài)的安全專(zhuān)家或云公司撰寫(xiě)的專(zhuān)業(yè)文章、參加 IT 安全網(wǎng)絡(luò)研討會(huì)、利用供應(yīng)商和技術(shù)合作伙伴提供的信息都是可行的途徑。

網(wǎng)站標(biāo)題:企業(yè)需要了解的十個(gè)云安全優(yōu)秀實(shí)踐
轉(zhuǎn)載注明:http://muchs.cn/news35/203735.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供云服務(wù)器、網(wǎng)站收錄、用戶(hù)體驗(yàn)、做網(wǎng)站動(dòng)態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

小程序開(kāi)發(fā)