随着越来越多的组织员工在家远程工作,云计算服务使他们能够轻松访问公司数据和应用程序。组织对云计算的依赖也为云安全带来了新的关注。然而,对于许多组织来说,云安全仍然是事后才想到的。组织管理者可能会对谁负责公共云或混合云的安全感到困惑,但一般来说,云计算服务提供商(CSP)需要保护云计算基础设施和物理网络。组织负责保护其在云中的所有资产,包括数据、应用程序、用户访问和支持基础设施。近年来,这种对问责制的混淆导致了一些备受瞩目的网络安全和数据泄露事件。虽然云安全应该始终是一项共同的使命,但组织需要加紧努力来识别潜在的云安全威胁,并以最佳实践和更好的网络安全措施做出回应。了解挑战在实施云安全最佳实践之前,您组织中的人员必须了解安全威胁来自何处以及它们带来的挑战。在云平台中,最大的挑战之一是缺乏真正的边界。另一个问题来自于谁负责云安全的哪些方面。IBM安全服务总监LuisCastro指出,“虽然AWS、微软Azure和谷歌云平台等主要云计算提供商提供了一些云原生安全控制,但它们可能不足以满足安全和合规需求用户。用户并不总是知道他们的安全责任从哪里开始和结束。”云计算的采用扩大了组织的攻击面,因为黑客和其他网络威胁行为者迅速利用云系统中的开放端口。使组织对谁有权访问感到困惑。云计算提供商需要为基础架构提供安全性,并且存在薄弱的制衡就云计算提供商和拥有可信凭证的客户而言。因此,组织对云计算设置的控制越少,风险就越大。云安全威胁和最佳实践人们无法解决他们不知道的问题。识别云计算设置面临的最大安全威胁是第一步。一旦您了解哪些类型的挑战正在威胁您组织的云安全,您就可以采取措施实施最佳实践以减轻风险。(1)数据泄露挑战:数据泄露是组织的可怕噩梦。它可能导致客户信息、知识产权的泄露或丢失财产和员工个人身份信息(PII),这可能会损害组织的声誉并可能导致财务损失。这也可能意味着组织将无法遵守政府或行业数据隐私规则或其合同中规定的规则。良好做法:防止数据泄露的正确方法是加密。数据泄露仍然可能发生,但他们的关键数据不会受到损害。云平台的微分段虽然不能防止数据泄露,但会限制数据泄露的数量。此外,定期审计和检查可以评估潜在风险,首先评估最敏感的数据。(2)云泄漏和配置错误的挑战:有时数据会从云平台泄漏并最终泄漏到互联网上。这通常是由于云存储桶配置错误,这被认为是对云安全的更大威胁,也是云平台数据泄露的主要原因。一些云存储桶不安全或未加密。通常情况下,存储桶在有人访问后可能会配置错误或保持打开状态,从而导致数据泄漏。良好实践:认识到存储桶配置错误是组织的责任,而不是云提供商的责任(这通常在服务级别协议中确定)。用户必须了解如何配置和保护存储桶,以及如何使用唯一密码和身份验证。此外,还可以使用一些安全工具来测试桶中的风险。(3)登录和可信账户挑战:凭据盗窃是一种越来越流行的网络攻击方法,因为任何拥有适当凭据的人都可以访问云计算账户而不会触发任何警报信号。一些凭据盗窃使用恶意软件来记录击键,可能会检测使用真实凭据的登录,因此凭据也很容易被盗。最佳实践:部署可以监控用户并查找登录行为异常的身份和访问管理(IAM)工具。云安全意识培训也很重要,组织的员工应该了解如何安全地管理他们的凭据,而不是共享或重复使用密码。(4)账户劫持挑战:账户劫持是对云计算账户的恶意接管。威胁行为者倾向于使用高特权帐户,通常是云服务订阅。帐户劫持也经常用于身份盗用。在这种情况下,劫机者使用受损的凭据(最常见的是电子邮件)来接管云帐户。一旦被劫持,威胁行为者就可以操纵云平台中的数据和应用程序。良好实践:组织的管理人员知道谁有权访问组织的云帐户,无论是在组织内部还是在云计算服务提供商处。任何有权访问云帐户的人都应该被要求通过筛选过程,特别是如果它是第三方提供商。组织需要经常备份云数据,并制定计划以防帐户被劫持。组织需要加密存储在云中的所有敏感数据,并且使用云帐户的任何人都需要进行多因素身份验证。(5)内部威胁挑战:有时威胁来自组织内部。它的威胁可能是恶意的或无意的错误。除了数据泄露、凭据盗窃和配置错误之外,内部威胁也是一项主要的云安全挑战。当组织的员工将组织数据从云平台迁移到个人设备时,他们可能会成为网络钓鱼攻击和其他社会工程攻击的牺牲品,从而导致数据泄露。良好实践:组织进行安全意识培训,这可以帮助员工认识到云安全错误以及如何识别和避免社会工程攻击。还要限制访问权限,以便员工只能打开工作项目所需的应用程序和数据库,并在完成项目时限制访问权限。此外,当员工离开或转移到不同部门时,需要停用帐户和访问权限。牢记云安全最佳实践随着云计算变得越来越普遍,远程工作人员依赖它进行网络访问,安全威胁将继续增加,新的挑战将会出现。组织需要将安全性置于云采用的最前沿,这样他们才能更好地应对这些挑战,而不是在损害已经造成之后。
