云計算推動的混合工作模型的問題在于,它們需要主動和深思熟慮的實施。了解云平臺的安全功能如何工作并正確實施它們至關重要。人們不能簡單地將數據放入公有云存儲設施中。如果沒有采取適當的安全措施和進行風險評估,以及定期的基礎設施維護,網絡威脅對企業(yè)和客戶的數據以及員工憑證和隱私構成真正的風險。
無論企業(yè)的團隊成員是在現場工作還是遠程工作,無論主要是處理內部數據還是客戶數據,考慮安全性措施都是一樣的。這些考慮因素中的關鍵是公有云中的基本責任劃分,其中云計算提供商負責云平臺的安全性,客戶負責云中數據的安全性。
企業(yè)不要誤以為其云計算提供商能夠確保其數據安全。云計算提供商的安全責任最終是確保他們的數據中心免受未經授權的訪問,保證服務器、存儲、數據庫和網絡硬件不受入侵,并且他們提供的任何托管服務都經過協調和維護。除此之外,作為云客戶的企業(yè)有責任確保正確使用他們提供的工具來保證自己的數據和應用程序的安全。
以下了解一下企業(yè)應該考慮的一些頂級云計算安全措施:
1.身份和訪問管理工具
如果企業(yè)在保護自己的數據同時讓員工可以訪問,需要嘗試一種孤立的方法。在這一模型中,身份和訪問管理(IAM)用戶權限和整體組織帳戶結構根據工作職能進行管理。這種分段利用了最小特權原則,用戶只能訪問他們執(zhí)行工作所需的資源和操作。這樣,如果不法分子滲透到企業(yè)的基礎設施或憑證被盜用,那么其網絡威脅就會被控制在有限的范圍內。
2.加密和防火墻
盡可能加密傳輸中和靜止的數據將為企業(yè)的數據提供額外的安全層。企業(yè)可以通過TLS/SSL加密通信和由AWS中的密鑰管理服務等云原生工具提供支持的服務器端加密或通過實施客戶端加密來實現這一點。
企業(yè)務必使用防火墻和網絡ACL功能來控制網絡和VPN連接內的通信,以幫助遠程工作人員安全地訪問企業(yè)資源,無論是在員工家中還是在公共WiFi上。
3.配置管理
企業(yè)使用云計算配置管理工具來維護和監(jiān)控其配置狀態(tài),通知更改,并促進將狀態(tài)恢復到應有的狀態(tài)。
4.密碼政策
企業(yè)需要確保擁有強大的密碼策略,這些策略需要在特定時間段后過期且無法重復使用的復雜密碼。還需要采用多重身份驗證(MFA),以便電子郵件地址和泄露的密碼不足以訪問云平臺中的員工帳戶。
5.私有云和混合云
假設企業(yè)的數據過于敏感而無法存儲在其內部部署設施之外(例如財務或健康記錄),企業(yè)可以將其保存在本地“私有云”基礎設施中,并在該數據存儲與企業(yè)使用的其他云計算服務之間啟用加密通信。而這種架構通常被稱為“混合云”。
6.威脅檢測、監(jiān)控和警報
投資威脅檢測解決方案是一個好主意。假設有人試圖滲透企業(yè)的數字防御,例如嘗試暴力破解密碼或使用已更改的舊密碼。在這種情況下,需要盡早檢測并響應威脅。AWS Guard Duty是一項在這方面提供幫助的服務,它可以持續(xù)監(jiān)控企業(yè)的運營環(huán)境是否有異常活動和對企業(yè)賬戶的威脅。
7.日志聚合與分析
為了協助審計和分析事件,必須將企業(yè)的應用程序、網絡和服務器日志存儲在企業(yè)中任何人都無法篡改的中心位置,并使用Sumo Logic之類的工具來分析數據。
8.定期更新補丁和維護
當然,及時更新補丁以最大程度地降低服務器軟件出現新威脅的風險是一項必不可少的云安全措施。配置自動漏洞掃描也是如此。企業(yè)與其IT提供商或內部技術人員合作,定期執(zhí)行全面的安全和系統(tǒng)范圍的審計,這有助于識別任何過時的流程、密碼泄露和其他安全風險。
結語
以上只是保持云基礎設施安全的冰山一角,但采用這些措施對于企業(yè)來說是一個很好的開始。企業(yè)可以在Microsoft Azure、谷歌云平臺和AWS等所有主要云計算提供商的支持網站上找到安全白皮書和其他資源。讓企業(yè)中的關鍵人員清楚地了解其對云計算環(huán)境安全的責任。企業(yè)將能夠通過全面的、面向未來的、積極的云安全方法應對這些風險。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號