當前位置：云計算 → 行業動態 → 正文

云計算時代如何保護自己的數據

責任編輯：zsheng |來源：企業網D1Net 2018-06-12 20:14:44 本文摘自：中國IDC圈

隨著越來越多的組織采用云計算，內部部署數據中心的時代將會逐漸終結。從小規模企業到規模最大的跨國公司，無論在哪里，都可以看到云計算應用程序。云計算服務的使用量每年都會持續增長，截至2016年，每個組織平均使用1427個云服務。

雖然這一強勁的增長前景看好，但也帶來了一系列新的網絡安全威脅。通常每個企業每個月都會遭受到23個云安全威脅的影響，這使得云計算看起來像是一項有風險的責任。此外，敏感信息占上傳到云端的數據的18%。但是，通過適當的安全配置和工具，即使是最隱秘的數據，也可以在云中輕松實現。為了正確理解云計算的安全性，人們了解大型漏洞背后的主要罪魁禍首至關重要。

影子IT：云計算的未知風險

對于云安全來說，最大的威脅之一是影子IT(Shadow IT)，這是在未經組織IT部門了解或同意的情況下員工使用未經授權的云服務。由于以下幾個原因，影子IT對云安全構成很大風險：

首先，企業員工在決定是否使用云服務時通常不會審查應用程序的安全性。另一方面，IT專家在批準公司范圍使用之前，需要經過廣泛的審查過程，權衡應用程序的安全風險和云計算功能。

其次，IT部門只知道組織中使用的影子云應用程序的10%。剩下的90%超出了IT部門的職責范圍。

如何保護組織的受制裁和影子云服務

(1)可見性

可見性是克服影子IT固有風險的基礎。這是由于影子IT根據定義提出了未知級別的威脅，因為企業沒有意識到員工正在使用的全部云服務。更高的可見性使IT部門能夠開始量化風險，并制定降低風險的策略。

可見性的一個要素包括監控風險云服務的使用，對其URL或IP進行編目，并根據安全風險評估等級批準或阻止它們。為應用程序提供安全風險評級，將需要對應用程序的安全功能進行徹底調查，例如對數據進行靜態加密，還是在本地提供多因素身份驗證(MFA)等。

(2)威脅檢測

每天，全球各組織可以從他們的云計算應用中產生數十億個事件。從下載/上傳文檔到嘗試登錄服務的任何事情都會生成一個事件。

表示威脅的事件很容易丟失或被忽略。通過數據科學、機器學習以及用戶和實體行為分析(UEBA)，組織可以篩選可能會顯示出異常活動的事件，并標記出只是那些實際威脅的事件。

想象一下，用戶反復嘗試登錄Salesforce失敗。經過多次失敗嘗試后，檢測到帳戶可能發生異常。但是，如果用戶將Caps Lock鍵放開，該怎么辦? IT專業人員如何將其視為正常行為并忽略它?

再進一步，威脅防護軟件如何準確地將其歸類為正常行為并忽略它，使IT安全專業人員不必調查這些日常活動的警報?雖然網絡攻擊者可能能夠竊取員工的憑證，但攻擊者無法模仿員工的行為模式。事實證明，人們導航和使用應用程序的方式是獨特的，這是一種數字身體語言。這種模式幾乎不可能由網絡犯罪分子復制。回到Salesforce用戶登錄，在驗證了幾次失敗嘗試后，如果用戶的行為與先前的行為一致，可以查明用戶是正確的還是冒充的。

使用數據科學和機器學習來觀察和分析行為模式并不是一項新技術。信用卡提供商使用數據科學和分析來識別欺詐信用卡收費。雖然盡可能地進行嘗試，信用卡的盜竊者很難完全模仿正常交易的細節，而隨著時間的推移，建立和完善的算法已經變得非常精通于檢測，即使是最無害的交易。

(3)保護數據本身——加密和標記

數據安全的兩個重要元素是加密和標記，它們用于保護敏感信息的相同目的，但操作方式稍有不同。加密通過使用加密密鑰將數據轉換為密碼文本來工作。在加密數據后，再次使信息可以被理解的唯一方法是輸入適當的解密密鑰。

令牌化以不同的方式保護數據。本質上，為純文本生成一個隨機標記，然后將其存儲在數據庫中。標記化的最大好處是它存儲了本地的實際數據，并且只有標記值被上傳到云端。但是，如果令牌到文本映射數據庫被攻擊，其敏感信息仍然可能被暴露。令牌化通常用于結構化數據。

(4)云安全的合規性

數據安全有許多法規和規定，如PCI-DSS，HIPAA-HITECH和EU-GDPR。但是，重要的是要記住，將數據存儲在云中與將數據存儲在本地數據庫中不同。為了遵守內部/外部政策，應從以下步驟開始：

•識別上傳到云端的信息類型(健康信息、個人身份信息、支付卡信息等)。

•限制敏感數據的第三方控制。

•避免將機密信息上傳到云端。

•在每個云計算應用程序中應用統一的DLP策略，以確保所有數據的安全。

•清點現有政策并將其適應云計算環境。

(5)其他云安全工具