BetterCloud最近的一项调查发现,企业平均使用80个独立的第三方云应用程序进行协作、通信、开发、管理合同和HR功能、授权签署和支持处理和存储敏感数据的业务功能。这些类型的应用程序统称为SaaS(软件即服务)。除此之外,企业组织在公共平台(PaaS或平台即服务)和基础设施(IaaS或基础设施即服务)上部署应用程序和整个业务。数据显示,2020年,76%的企业将应用程序运行在亚马逊网络服务器(AWS)上,而63%的企业将应用程序运行在微软Azure上。CapitalOne顾问、前CISOMichaelJohnson表示,这些公有云服务是必要且高效的,甚至有望提供比传统数据中心更安全的环境。然而,它们也给在云中存储和处理的敏感数据带来了独特的风险,其中大部分是由于用户在设置和管理这些服务时的错误造成的。据报道,在2019年的一次公开事件中,约翰逊参与指导第一资本公司完成应对流程,该事件暴露了8000万条个人记录。在这种情况下,攻击者利用了配置错误的第三方云环境。幸运的是,约翰逊和他的团队及时遏制了这一漏洞,并借助强有力的响应计划、与董事会和执行团队的透明度以及与执法部门建立的关系,他们成功地在数据被利用之前实现了数据窃取。那些被捕并绳之以法。制定应对计划以解决将敏感数据置于云中的风险应该是任何云安全策略不可或缺的一部分。要为公共云环境部署数据保护策略,了解如何从公共第三方服务公开或窃取数据非常重要。为什么云中的数据如此脆弱?根据云安全联盟(CSA)的年度威胁报告,第三方云服务中的数据泄漏主要是由于配置错误和更改控制不充分(例如,过多的权限、默认凭证、配置不当的AWSS3存储桶和禁用的云安全控制)).缺乏云安全策略或架构是导致数据泄露的第二大常见原因,其次是身份和密钥管理不当,其次是内部威胁、不安全的API、结构性故障以及对云活动和安全的担忧。控件的可见性有限等等。“由于远程工作的需要,SaaS已成为我们2021年的一大关注点,”云安全联盟首席执行官JimReavis说。我们已经看到公共云采用的惊人增长,但在匆忙中,组织忘记了将边缘网络保护到云中。例如,人们在多个云服务中重复使用他们的凭据,因此撞库攻击现在呈上升趋势。根据McAfee的一项调查,2020年5月CiscoWebEx的使用量增加了600%,Zoom增加了350%,MicrosoftTeams增加了300%,Slack增加了200%。在最初的远程工作热潮中,Reavis指出了许多可能导致数据泄露的问题:IT团队没有保护云中的存储桶、实施安全的开发人员实践或协调身份和访问程序。如今,网络罪犯甚至发现了一些硬编码的应用程序凭据。可怕的是,这些都是非常基本的东西。专家建议遵循以下3个最佳实践将显着降低在云中存储或处理数据的风险:在云中保护敏感数据的3个最佳实践盘点云使用情况CISOIanPoynter为大中型公司提供建议,建议应对云中数据威胁的最佳方法是将云计算纳入任何涉及公共云服务的新计划的规划阶段。应用程序受到控制并进行风险评估。CISO之间的共识是,用户的云实例并非都经过授权,并且很少针对暴露的数据进行有效监控。这就是为什么CISO需要成为执行团队的一部分。他们需要这种访问权限以查看正在发生的事情,还需要一个协作环境,业务经理可以在其中直接与他们沟通,共享他们正在从事的新项目或产品,然后让他们深入了解云产品的评估情况。以公司为例,CISO甚至可以发出警告,告知财务哪些第三方云应用程序和平台有资格获得报销。如果业务单位或个人用户在未经事先批准的情况下购买了您以外的产品,您可以简单地拒绝他们的报销要求。这是强制执行云应用程序白名单的手动方式,但它确实有效。云应用白名单和黑名单通常也部署在公司控制的端点上,或者通过浏览器隔离等零信任技术控制用户、企业和云应用之间的远程会话的强大技术控制。应用云原生安全产品Johnson建议在组织标准化的成熟云服务和应用程序中利用云原生安全产品。例如,应用AWSInspector评估在用应用程序的配置合规性,应用AmazonGuardDuty检测恶意活动和未经授权的行为。组织需要在购买产品之前尽其所能对云提供商的声誉进行尽职调查,并尽量避免规模较小的提供商。较大的提供商通常在数据保护和可见性控制方面做得更好。本机安全性因服务模型而异。IaaS和PaaS供应商为买家提供安全和配置工具,以升级其基础架构或平台中的应用程序。这些通常在本地提供或通过第三方收费提供。对于DocuSign、Slack或Box等SaaS应用程序,安全性大多是原生的。例如,Microsoft356为Exchange、SharePoint和Azure(以及其他安全产品)ActiveDirectory提供高级审计。通过检查Box的云企业,我们可以了解如何处理进出第三方提供商的敏感数据。Box管理多个应用程序以支持工作流、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。当用户通过BoxShuttle将Box连接到其他云服务(例如具有完整数据传输功能的FacebookWorkplace)时,云就会出现在Box中。Box安全、隐私和合规产品副总裁AlokOjha表示,随着越来越多的应用程序出现在Box世界中,面向用户的嵌入式安全和合规工具集将成为一个关键的差异化因素。Ojha引用ContentCloud作为Box用户实现跨不同工作流的一致安全性和可见性的地方,以查看应用程序中正在处理哪些文件和数据,以及谁在访问数据以及出于什么目的。另一个本地工具BoxShield也可以配置为查找和分类敏感数据,并对分类数据进行适当控制以降低内部人员和恶意软件威胁的风险,同时了解与数据相关的法规要求,并确保审计跟踪监管机构。此外,他建议重新关注身份和访问管理(IAM),尤其是对外部用户和合作伙伴使用多因素身份验证,而不是可重复使用的密码组合。在数据层保护数据TitaniamDataProtection的创始人兼首席执行官ArtiRaman警告不要过分依赖身份和访问控制来防止数据泄露,同时控制还需要直接关注通过公共云进行交易和存储在公共云中的数据。但是保护从端点到企业再到云端的数据是困难的,而且必须足够灵活以跨越所有这些边界,以便在数据的整个生命周期中保护数据。Raman认为,在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时,加密和数据保护应该始终存在。这包括传统加密以及在合规标准之上使用传统加密的新可搜索技术。最后,Box的Ojha补充说,数据终止政策也很重要。根据企业和法规对数据的要求,希望自动删除第三方应用程序和基础设施中不再需要的数据。
