在當今世界,高級網路攻擊的頻率越來越高,並且給受影響的組織帶來了越來越高的成本,無論您的組織選擇哪種基礎架構策略,安全性都是至關重要的。
雖然Cloud環境在本質上並沒有比本地環境低,但是有這麼多人將工作負載遷移到Cloud上,因此您必須了解威脅情況是很重要的。
每天彙報的網路攻擊在一千萬次上下,在2018年,由於配置不當而從公共雲存儲中竊取或洩漏的紀錄組數達到7000萬,估計2019年整年度全球網路犯罪的成本損失將達到2萬億美元。
為了應對實施新的網路安全策略,到2023 年,Cloud安全工具的年度支出估計將達到126億美元。
下面,我們將介紹五種保護您的Cloud security的方法。該列表絕不是詳盡無遺的,但它將使您對應考慮的安全注意事項有所了解。
使用 Cloud Security 系統和第三方工具緩解網路安全威脅
1.入侵檢測(IDS) 和 2.入侵防禦系統(IPS)
入侵檢測系統(IDS)和入侵防禦系統(IPS)是確保您的Cloud環境安全的第三方重要工具。這些系統會主動監視Cloud Network和系統是否存在惡意行為和違反規則的行為。該操作或規則可以直接報告給您的管理團隊,也可以收集並通過安全通道發送給信息管理解決方案。
IDS具有一個已知的威脅數據庫,該數據庫監視用戶和您的Cloud環境中的設備的所有活動,以立即發現威脅,例如SQL注入技術,帶有定義簽名的已知惡意軟體蠕蟲和無效的安全證書。
IPS設備工作在不同的層,通常是防火牆的功能。這些解決方案以即時深層數據檢查而著稱,該警報可警告潛在的威脅行為。有時,這些行為可能是錯誤的警報,但是對於了解什麼是什麼以及什麼不是對您的Cloud環境的威脅仍然很重要。
3.為各種用戶隔離您的Cloud環境
在考慮遷移到Cloud時,請了解您的提供商將如何隔離您的環境。在多租戶Cloud中,由於許多組織使用相同的技術資源(即多租戶儲存),因此您使用vLAN和為最低訪問權限配置的防火牆對環境進行了分段。
任何規則都是所有網路的詛咒,是調查防火牆規則時首先要尋找的東西。就像將您的前門全天開放一樣,此防火牆規則是一種開放策略,允許從任何來源到 任何地方的流量,通過任何端口到目的地。一個好的經驗法則是先阻塞所有端口和網路,然後從那裡進行工作,以徹底的方式測試每個應用程式和環境。這似乎很耗時,但是比起打開端口並稍後允許網路的工作,通過設置中的端口和連接方案清單進行檢查會更有效。
同樣重要的是要記住,雖然提供商擁有Cloud的安全性,但是客戶擁有其Cloud環境的安全性。評估工具和合作夥伴,使您可以更好地控制。
4.用戶實際行為分析
現代威脅分析採用了用戶實際行為分析(UEBA),對於減輕組織對Cloud 軟體的危害具有不可估量的價值。通過機器學習模型,UEBA分析來自報告和日誌的數據,不同類型的威脅數據等等,以識別某些活動是否是網路攻擊。
UEBA會檢測組織的成員、顧問和供應商的行為模式中有無異常。例如,如果財務部門經理的帳戶是在同一天不同時間從世界各地下載文件,或者正在同時編輯來自多個時區的文件,則該帳戶將被標記。在某些情況下,這對於該用戶而言可能是合法行為,但是當UEBA發出此類警報時,IT主管仍應盡職調查。如果確實危害了Cloud環境,則快速致電以確認行為可以防止數據丟失或數百萬美元的收入損失。
5.基於角色的訪問控制(RBAC)
所有訪問都應謹慎並在需要時進行。基於角色的訪問控制(RBAC)允許員工僅訪問允許其執行其工作的信息,從而相對應地限制了網路訪問。RBAC工具使您可以指定用戶所扮演的角色(管理員、專家、會計師等),並將其添加到各個組中。權限將根據用戶角色和成員身份而變化。對於某些開發人員可能需要比其他開發人員更多訪問權限的DevOps組織以及特定的Cloud環境,尤其有用。
轉移到RBAC時,請記錄更改和特定的用戶角色,以便可以將其放入書面策略中。在定義用戶角色時,與員工進行對話以了解他們的工作。並確保傳達為什麼實施RBAC對公司有利。它不僅可以幫助您通過管理員工來保護公司的數據和應用程式,還可以幫助第三方供應商。
以上工具只是用於確保您的Cloud環境在多租戶或私有雲情況下安全的幾種資源。在考慮使用Cloud時,與可信賴的合作夥伴合作是滿足特定Cloud環境的需求的一種好方法。
Sereno 在Cloud上已有10年的經驗,解決方案之一的 Sereno Pro 能幫助您控管整個Cloud環境,並確保Cloud環境安全無疑,想了解詳細內容歡迎隨時與我們聯繫。