隨著(zhù)組織越來(lái)越多地將數據和應用程序轉移到云端�,安全架構在確保工作負載安全方面變得至關(guān)重要����。云安全架構是一個(gè)框架�����,它定義了組織如何為其運營(yíng)的每個(gè)云模型處理云安全��,以及它打算使用哪些解決方案和技術(shù)來(lái)創(chuàng )建安全環(huán)境��。
云安全最佳實(shí)踐應該是云安全架構的起點(diǎn)�����。標準的可能來(lái)源是云提供商發(fā)布的文檔���、國家標準與技術(shù)研究院等組織或互聯(lián)網(wǎng)安全中心等安全研究組織的合規性標準�����。
云安全架構還必須考慮您的組織和基礎設施即服務(wù) (IaaS) 提供商之間的共同責任��,指定組織應如何在保護云提供商平臺上的數據和工作負載方面發(fā)揮作用��。
云安全挑戰
云安全為組織帶來(lái)了獨特的挑戰��。以下是您在設計云安全架構時(shí)應考慮的一些主要挑戰:
身份和訪(fǎng)問(wèn):云系統默認不安全��,員工很容易在云上創(chuàng )建資源而無(wú)人看管�。所有云提供商都提供強大的身份和訪(fǎng)問(wèn)管理 (IAM) 功能����,但由組織來(lái)正確設置它們并將它們一致地應用于所有工作負載�����。 不安全的 API:云中的一切都有一個(gè) API�����,這既強大又極其危險���。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪(fǎng)問(wèn)和控制整個(gè)環(huán)境����。API 是通向云的前門(mén)���,它通常是敞開(kāi)的�。 錯誤配置:云環(huán)境有大量移動(dòng)部件��,包括計算實(shí)例�、存儲桶����、數據庫�����、容器和無(wú)服務(wù)器功能���。其中大部分都是短暫的��,每天都有新實(shí)例啟動(dòng)和關(guān)閉�。這些資源中的任何一個(gè)都可能被錯誤配置����,從而允許攻擊者通過(guò)公共網(wǎng)絡(luò )訪(fǎng)問(wèn)它們�����、泄露數據并對關(guān)鍵系統造成損害����。 合規風(fēng)險:您必須確保您的云提供商支持所有相關(guān)的合規要求���,并了解您可以使用哪些控制和服務(wù)來(lái)滿(mǎn)足您的合規義務(wù)��。 隱形控制平面:在云中���,控制平面不受組織控制�。雖然云提供商負責其基礎設施的安全����,但他們不提供有關(guān)數據流和內部架構的信息���,這意味著(zhù)安全團隊在盲目飛行��。
構建云安全架構的技巧
這里有一些技巧可以幫助您構建可靠的云安全架構���。
1. 進(jìn)行盡職調查
在遷移到云提供商或將云部署擴展到其他云提供商之前���,組織應仔細調查整個(gè)云提供商的安全性和彈性屬性以及他們打算使用的特定服務(wù)���。
盡職調查過(guò)程應包括:
根據來(lái)自同行業(yè)組織的數據定義安全性和可用性基準 發(fā)現云提供商的安全最佳實(shí)踐及其對組織的影響 嘗試云提供商的安全功能�,例如加密����、日志記錄以及身份和訪(fǎng)問(wèn)管理 (IAM) 了解云提供商如何幫助滿(mǎn)足您的合規義務(wù)以及它獲得認證的標準 了解您的云提供商的責任共擔模型的細節以及您的組織負責哪些安全元素 評估第一方安全服務(wù)(由云平臺提供)并將它們與第三方替代產(chǎn)品進(jìn)行比較 評估現有的安全工具是否與新的云環(huán)境相關(guān) 2. 確定哪些數據最敏感
對于大多數組織而言����,對所有數據應用嚴格的安全措施是不可行的����。某些數據可能仍然不安全����,但您必須確定必須保護哪些數據類(lèi)別以防止違規和違反合規性�����。使用數據檢測和分類(lèi)了解您需要保護的內容至關(guān)重要�。
這通常是使用自動(dòng)數據分類(lèi)引擎來(lái)實(shí)現的�。這些工具旨在跨網(wǎng)絡(luò )�、端點(diǎn)����、數據庫和云查找敏感內容��,使組織能夠識別敏感數據并建立必要的安全控制����。
3. 讓員工云使用走出陰影
僅僅因為您擁有企業(yè)云安全策略并不意味著(zhù)員工會(huì )遵守它�����。在使用常見(jiàn)的云服務(wù)(例如 Dropbox 或基于網(wǎng)絡(luò )的電子郵件)之前�,員工很少咨詢(xún) IT 部門(mén)�。
組織的Web代理�����,防火墻和SIEM日志是衡量員工對云的影子使用情況的良好資源�����。這些可以提供有關(guān)正在使用哪些服務(wù)以及由哪些員工使用的全面視圖�����。在發(fā)現影子云使用情況時(shí)���,您可以根據服務(wù)帶來(lái)的風(fēng)險評估服務(wù)的附加價(jià)值�。您可以選擇“合法化”影子云服務(wù)��,也可以進(jìn)行打擊并采取措施禁止它們�。
影子使用的另一個(gè)方面是從不受信任的端點(diǎn)設備訪(fǎng)問(wèn)合法的云資源�����。由于連接到 Internet 的任何設備都可以訪(fǎng)問(wèn)任何云服務(wù)���,因此個(gè)人移動(dòng)設備可能會(huì )在您的安全策略中造成差距���。為了防止數據從受信任的云服務(wù)逃逸到不受管理的設備����,在啟用訪(fǎng)問(wèn)之前需要設備安全驗證����。
4. 保護云端點(diǎn)
許多組織正在部署具有多層保護的端點(diǎn)保護平臺����,包括端點(diǎn)檢測和響應(EDR)����,下一代防病毒(NGAV)以及用戶(hù)和實(shí)體行為分析(UEBA)�。
端點(diǎn)保護在云中更為重要����。在云中�,端點(diǎn)是計算實(shí)例�、存儲卷和存儲桶以及 Amazon RDS 等托管服務(wù)����。
云部署有大量端點(diǎn)���,它們的變化比本地更頻繁�,因此需要更高級別的可見(jiàn)性�����。端點(diǎn)保護工具可以幫助組織控制其云工作負載并保護其安全狀況中最薄弱的環(huán)節�����。
5. 了解您在合規義務(wù)中的作用
請記住�����,合規性最終是您組織的唯一責任����。無(wú)論您將多少業(yè)務(wù)功能轉移到云端�,您都可以選擇一個(gè)云架構平臺來(lái)幫助您遵守適用于您所在行業(yè)的所有監管標準��,無(wú)論是 PCI DSS����、GDPR�����、HIPAA���、CCPA 還是任何其他標準或法規���。
了解您的云提供商提供的工具和服務(wù)以確保合規性���,以及您可以使用哪些第三方工具來(lái)創(chuàng )建合規且可以通過(guò)審計證明合規的云系統���。
寫(xiě)在最后
構建云安全架構并非易事�。您需要為您的云環(huán)境解決組織的安全策略�、相關(guān)合規標準和安全最佳實(shí)踐����,同時(shí)應對云基礎架構的高度復雜性和動(dòng)態(tài)性���。我們提供了五個(gè)技巧�����,可以使您的云安全架構取得成功:
在使用云提供商或云服務(wù)之前�����,對安全性和合規性影響進(jìn)行盡職調查 確定存儲在云環(huán)境中的哪些數據是敏感的并且需要保護 通過(guò)“合法化”或阻止云服務(wù)����,讓員工了解云使用情況并防止影子 IT 使用與云兼容的端點(diǎn)保護技術(shù)保護云中的端點(diǎn) 了解您的組織和云提供商之間在合規義務(wù)方面的責任分擔����,并確保您盡自己的一份力量
來(lái)源:ITPUB
更多資訊:更多資訊
【文章聲明】
本站發(fā)布的【建立云安全架構的5個(gè)技巧】?jì)热荩▓D片�、視頻和文字)以原創(chuàng )����、轉載和分享為主���,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)
如果涉及侵權請盡快告知,我們將會(huì )在第一時(shí)間立刻刪除涉嫌侵權內容�,本站原創(chuàng )內容未經(jīng)允許不得轉載��,或轉載時(shí)需注明出處�。
