您好,登錄后才能下訂單哦!
怎么建立云安全架構(gòu),相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。
云安全為組織帶來(lái)了獨(dú)特的挑戰(zhàn)。以下是您在設(shè)計(jì)云安全架構(gòu)時(shí)應(yīng)考慮的一些主要挑戰(zhàn):
身份和訪(fǎng)問(wèn):云系統(tǒng)默認(rèn)不安全,員工很容易在云上創(chuàng)建資源而無(wú)人看管。所有云提供商都提供強(qiáng)大的身份和訪(fǎng)問(wèn)管理 (IAM) 功能,但由組織來(lái)正確設(shè)置它們并將它們一致地應(yīng)用于所有工作負(fù)載。
不安全的 API:云中的一切都有一個(gè) API,這既強(qiáng)大又極其危險(xiǎn)。未充分保護(hù)或使用弱身份驗(yàn)證的 API 可能允許攻擊者訪(fǎng)問(wèn)和控制整個(gè)環(huán)境。API 是通向云的前門(mén),它通常是敞開(kāi)的。
錯(cuò)誤配置:云環(huán)境有大量移動(dòng)部件,包括計(jì)算實(shí)例、存儲(chǔ)桶、數(shù)據(jù)庫(kù)、容器和無(wú)服務(wù)器功能。其中大部分都是短暫的,每天都有新實(shí)例啟動(dòng)和關(guān)閉。這些資源中的任何一個(gè)都可能被錯(cuò)誤配置,從而允許攻擊者通過(guò)公共網(wǎng)絡(luò)訪(fǎng)問(wèn)它們、泄露數(shù)據(jù)并對(duì)關(guān)鍵系統(tǒng)造成損害。
合規(guī)風(fēng)險(xiǎn):您必須確保您的云提供商支持所有相關(guān)的合規(guī)要求,并了解您可以使用哪些控制和服務(wù)來(lái)滿(mǎn)足您的合規(guī)義務(wù)。
隱形控制平面:在云中,控制平面不受組織控制。雖然云提供商負(fù)責(zé)其基礎(chǔ)設(shè)施的安全,但他們不提供有關(guān)數(shù)據(jù)流和內(nèi)部架構(gòu)的信息,這意味著安全團(tuán)隊(duì)在盲目飛行。
這里有一些技巧可以幫助您構(gòu)建可靠的云安全架構(gòu)。
在遷移到云提供商或?qū)⒃撇渴饠U(kuò)展到其他云提供商之前,組織應(yīng)仔細(xì)調(diào)查整個(gè)云提供商的安全性和彈性屬性以及他們打算使用的特定服務(wù)。
盡職調(diào)查過(guò)程應(yīng)包括:
根據(jù)來(lái)自同行業(yè)組織的數(shù)據(jù)定義安全性和可用性基準(zhǔn)
發(fā)現(xiàn)云提供商的安全最佳實(shí)踐及其對(duì)組織的影響
嘗試云提供商的安全功能,例如加密、日志記錄以及身份和訪(fǎng)問(wèn)管理 (IAM)
了解云提供商如何幫助滿(mǎn)足您的合規(guī)義務(wù)以及它獲得認(rèn)證的標(biāo)準(zhǔn)
了解您的云提供商的責(zé)任共擔(dān)模型的細(xì)節(jié)以及您的組織負(fù)責(zé)哪些安全元素
評(píng)估第一方安全服務(wù)(由云平臺(tái)提供)并將它們與第三方替代產(chǎn)品進(jìn)行比較
評(píng)估現(xiàn)有的安全工具是否與新的云環(huán)境相關(guān)
對(duì)于大多數(shù)組織而言,對(duì)所有數(shù)據(jù)應(yīng)用嚴(yán)格的安全措施是不可行的。某些數(shù)據(jù)可能仍然不安全,但您必須確定必須保護(hù)哪些數(shù)據(jù)類(lèi)別以防止違規(guī)和違反合規(guī)性。使用數(shù)據(jù)檢測(cè)和分類(lèi)了解您需要保護(hù)的內(nèi)容至關(guān)重要。
這通常是使用自動(dòng)數(shù)據(jù)分類(lèi)引擎來(lái)實(shí)現(xiàn)的。這些工具旨在跨網(wǎng)絡(luò)、端點(diǎn)、數(shù)據(jù)庫(kù)和云查找敏感內(nèi)容,使組織能夠識(shí)別敏感數(shù)據(jù)并建立必要的安全控制。
僅僅因?yàn)槟鷵碛衅髽I(yè)云安全策略并不意味著員工會(huì)遵守它。在使用常見(jiàn)的云服務(wù)(例如 Dropbox 或基于網(wǎng)絡(luò)的電子郵件)之前,員工很少咨詢(xún) IT 部門(mén)。
組織的Web代理,防火墻和SIEM日志是衡量員工對(duì)云的影子使用情況的良好資源。這些可以提供有關(guān)正在使用哪些服務(wù)以及由哪些員工使用的全面視圖。在發(fā)現(xiàn)影子云使用情況時(shí),您可以根據(jù)服務(wù)帶來(lái)的風(fēng)險(xiǎn)評(píng)估服務(wù)的附加價(jià)值。您可以選擇“合法化”影子云服務(wù),也可以進(jìn)行打擊并采取措施禁止它們。
影子使用的另一個(gè)方面是從不受信任的端點(diǎn)設(shè)備訪(fǎng)問(wèn)合法的云資源。由于連接到 Internet 的任何設(shè)備都可以訪(fǎng)問(wèn)任何云服務(wù),因此個(gè)人移動(dòng)設(shè)備可能會(huì)在您的安全策略中造成差距。為了防止數(shù)據(jù)從受信任的云服務(wù)逃逸到不受管理的設(shè)備,在啟用訪(fǎng)問(wèn)之前需要設(shè)備安全驗(yàn)證。
許多組織正在部署具有多層保護(hù)的端點(diǎn)保護(hù)平臺(tái),包括端點(diǎn)檢測(cè)和響應(yīng)(EDR),下一代防病毒(NGAV)以及用戶(hù)和實(shí)體行為分析(UEBA)。
端點(diǎn)保護(hù)在云中更為重要。在云中,端點(diǎn)是計(jì)算實(shí)例、存儲(chǔ)卷和存儲(chǔ)桶以及 Amazon RDS 等托管服務(wù)。
云部署有大量端點(diǎn),它們的變化比本地更頻繁,因此需要更高級(jí)別的可見(jiàn)性。端點(diǎn)保護(hù)工具可以幫助組織控制其云工作負(fù)載并保護(hù)其安全狀況中最薄弱的環(huán)節(jié)。
請(qǐng)記住,合規(guī)性最終是您組織的唯一責(zé)任。無(wú)論您將多少業(yè)務(wù)功能轉(zhuǎn)移到云端,您都可以選擇一個(gè)云架構(gòu)平臺(tái)來(lái)幫助您遵守適用于您所在行業(yè)的所有監(jiān)管標(biāo)準(zhǔn),無(wú)論是 PCI DSS、GDPR、HIPAA、CCPA 還是任何其他標(biāo)準(zhǔn)或法規(guī)。
了解您的云提供商提供的工具和服務(wù)以確保合規(guī)性,以及您可以使用哪些第三方工具來(lái)創(chuàng)建合規(guī)且可以通過(guò)審計(jì)證明合規(guī)的云系統(tǒng)。
看完上述內(nèi)容,你們掌握怎么建立云安全架構(gòu)的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。