2022-10-11 分類: 網(wǎng)站建設(shè)
隨著組織越來越多地將數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到云端,安全架構(gòu)在確保工作負(fù)載安全方面變得至關(guān)重要。云安全架構(gòu)是一個框架,它定義了組織如何為其運營的每個云模型處理云安全,以及它打算使用哪些解決方案和技術(shù)來創(chuàng)建安全環(huán)境。
云安全好實踐應(yīng)該是云安全架構(gòu)的起點。標(biāo)準(zhǔn)的可能來源是云提供商發(fā)布的文檔、國家標(biāo)準(zhǔn)與技術(shù)研究院等組織或互聯(lián)網(wǎng)安全中心等安全研究組織的合規(guī)性標(biāo)準(zhǔn)。
云安全架構(gòu)還必須考慮您的組織和基礎(chǔ)設(shè)施即服務(wù) (IaaS) 提供商之間的共同責(zé)任,指定組織應(yīng)如何在保護云提供商平臺上的數(shù)據(jù)和工作負(fù)載方面發(fā)揮作用。
云安全挑戰(zhàn)
云安全為組織帶來了獨特的挑戰(zhàn)。以下是您在設(shè)計云安全架構(gòu)時應(yīng)考慮的一些主要挑戰(zhàn):
身份和訪問:云系統(tǒng)默認(rèn)不安全,員工很容易在云上創(chuàng)建資源而無人看管。所有云提供商都提供強大的身份和訪問管理 (IAM) 功能,但由組織來正確設(shè)置它們并將它們一致地應(yīng)用于所有工作負(fù)載。
不安全的 API:云中的一切都有一個 API,這既強大又極其危險。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪問和控制整個環(huán)境。API 是通向云的前門,它通常是敞開的。
錯誤配置:云環(huán)境有大量移動部件,包括計算實例、存儲桶、數(shù)據(jù)庫、容器和無服務(wù)器功能。其中大部分都是短暫的,每天都有新實例啟動和關(guān)閉。這些資源中的任何一個都可能被錯誤配置,從而允許攻擊者通過公共網(wǎng)絡(luò)訪問它們、泄露數(shù)據(jù)并對關(guān)鍵系統(tǒng)造成損害。
合規(guī)風(fēng)險:您必須確保您的云提供商支持所有相關(guān)的合規(guī)要求,并了解您可以使用哪些控制和服務(wù)來滿足您的合規(guī)義務(wù)。
隱形控制平面:在云中,控制平面不受組織控制。雖然云提供商負(fù)責(zé)其基礎(chǔ)設(shè)施的安全,但他們不提供有關(guān)數(shù)據(jù)流和內(nèi)部架構(gòu)的信息,這意味著安全團隊在盲目飛行。
構(gòu)建云安全架構(gòu)的技巧
這里有一些技巧可以幫助您構(gòu)建可靠的云安全架構(gòu)。
1. 進行盡職調(diào)查
在遷移到云提供商或?qū)⒃撇渴饠U展到其他云提供商之前,組織應(yīng)仔細(xì)調(diào)查整個云提供商的安全性和彈性屬性以及他們打算使用的特定服務(wù)。
盡職調(diào)查過程應(yīng)包括:
根據(jù)來自同行業(yè)組織的數(shù)據(jù)定義安全性和可用性基準(zhǔn)
發(fā)現(xiàn)云提供商的安全好實踐及其對組織的影響
嘗試云提供商的安全功能,例如加密、日志記錄以及身份和訪問管理 (IAM)
了解云提供商如何幫助滿足您的合規(guī)義務(wù)以及它獲得認(rèn)證的標(biāo)準(zhǔn)
了解您的云提供商的責(zé)任共擔(dān)模型的細(xì)節(jié)以及您的組織負(fù)責(zé)哪些安全元素
評估第一方安全服務(wù)(由云平臺提供)并將它們與第三方替代產(chǎn)品進行比較
評估現(xiàn)有的安全工具是否與新的云環(huán)境相關(guān)
2. 確定哪些數(shù)據(jù)最敏感
對于大多數(shù)組織而言,對所有數(shù)據(jù)應(yīng)用嚴(yán)格的安全措施是不可行的。某些數(shù)據(jù)可能仍然不安全,但您必須確定必須保護哪些數(shù)據(jù)類別以防止違規(guī)和違反合規(guī)性。使用數(shù)據(jù)檢測和分類了解您需要保護的內(nèi)容至關(guān)重要。
這通常是使用自動數(shù)據(jù)分類引擎來實現(xiàn)的。這些工具旨在跨網(wǎng)絡(luò)、端點、數(shù)據(jù)庫和云查找敏感內(nèi)容,使組織能夠識別敏感數(shù)據(jù)并建立必要的安全控制。
3. 讓員工云使用走出陰影
僅僅因為您擁有企業(yè)云安全策略并不意味著員工會遵守它。在使用常見的云服務(wù)(例如 Dropbox 或基于網(wǎng)絡(luò)的電子郵件)之前,員工很少咨詢 IT 部門。
組織的Web代理,防火墻和SIEM日志是衡量員工對云的影子使用情況的良好資源。這些可以提供有關(guān)正在使用哪些服務(wù)以及由哪些員工使用的全面視圖。在發(fā)現(xiàn)影子云使用情況時,您可以根據(jù)服務(wù)帶來的風(fēng)險評估服務(wù)的附加價值。您可以選擇“合法化”影子云服務(wù),也可以進行打擊并采取措施禁止它們。
影子使用的另一個方面是從不受信任的端點設(shè)備訪問合法的云資源。由于連接到 Internet 的任何設(shè)備都可以訪問任何云服務(wù),因此個人移動設(shè)備可能會在您的安全策略中造成差距。為了防止數(shù)據(jù)從受信任的云服務(wù)逃逸到不受管理的設(shè)備,在啟用訪問之前需要設(shè)備安全驗證。
4. 保護云端點
許多組織正在部署具有多層保護的端點保護平臺,包括端點檢測和響應(yīng)(EDR),下一代防病毒(NGAV)以及用戶和實體行為分析(UEBA)。
端點保護在云中更為重要。在云中,端點是計算實例、存儲卷和存儲桶以及 Amazon RDS 等托管服務(wù)。
云部署有大量端點,它們的變化比本地更頻繁,因此需要更高級別的可見性。端點保護工具可以幫助組織控制其云工作負(fù)載并保護其安全狀況中最薄弱的環(huán)節(jié)。
5. 了解您在合規(guī)義務(wù)中的作用
請記住,合規(guī)性最終是您組織的唯一責(zé)任。無論您將多少業(yè)務(wù)功能轉(zhuǎn)移到云端,您都可以選擇一個云架構(gòu)平臺來幫助您遵守適用于您所在行業(yè)的所有監(jiān)管標(biāo)準(zhǔn),無論是 PCI DSS、GDPR、HIPAA、CCPA 還是任何其他標(biāo)準(zhǔn)或法規(guī)。
了解您的云提供商提供的工具和服務(wù)以確保合規(guī)性,以及您可以使用哪些第三方工具來創(chuàng)建合規(guī)且可以通過審計證明合規(guī)的云系統(tǒng)。
寫在最后
構(gòu)建云安全架構(gòu)并非易事。您需要為您的云環(huán)境解決組織的安全策略、相關(guān)合規(guī)標(biāo)準(zhǔn)和安全好實踐,同時應(yīng)對云基礎(chǔ)架構(gòu)的高度復(fù)雜性和動態(tài)性。我們提供了五個技巧,可以使您的云安全架構(gòu)取得成功:
在使用云提供商或云服務(wù)之前,對安全性和合規(guī)性影響進行盡職調(diào)查
確定存儲在云環(huán)境中的哪些數(shù)據(jù)是敏感的并且需要保護
通過“合法化”或阻止云服務(wù),讓員工了解云使用情況并防止影子 IT
使用與云兼容的端點保護技術(shù)保護云中的端點
了解您的組織和云提供商之間在合規(guī)義務(wù)方面的責(zé)任分擔(dān),并確保您盡自己的一份力量
文章名稱:建立云安全架構(gòu)的5個技巧
網(wǎng)頁鏈接:http://www.rwnh.cn/news/204619.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、企業(yè)網(wǎng)站制作、微信小程序、電子商務(wù)、網(wǎng)站排名、微信公眾號
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容