勒索软件和特定数据攻击等日益增加的威胁促使许多企业部署新的数据备份和恢复模型,其中包括基于云的存储。大多数成熟的企业都有多层备份和复制数据,以实现业务连续性和灾难恢复(BCDR)目的。勒索软件的威胁促使一些企业考虑隔离备份。如果不需要更改基础架构和/或需要进行大量的管理身份验证/授权调整,则无法从核心企业环境中触及或访问这些备份。云备份勒索软件保护的常见策略包括:在企业环境中为这些备份构建一个新的网段,并使用“拒绝所有”防火墙保护该网段。这些规则仅在需要数据或进行复制时放宽。使用本地和基于云的网络约束,创建一个新的基于云的隔离备份,类似于上面提到的备份。或者,此隔离备份可以位于辅助或备份数据中心。要求多个管理员同时输入登录凭据和多因素身份验证信息。入门:制定战略要制定云备份勒索软件保护战略,企业的不同部分会参与规划阶段:IT运营。IT运营团队应确定需要备份的数据类型以及数据应存储多长时间。BCDR规划。对于BCDR规划团队,数据应满足标准指标,例如平均恢复时间、恢复时间目标、恢复点目标等。信息安全部门。存储和复制的数据的敏感性至关重要。因此,安全团队不仅应关注正在备份的数据类型,还应关注云中可用的任何和所有安全控制以帮助保护该数据。合法合规。应尽早解决任何早期的法律和法规要求,以确保所有存储和归档要求符合行业和最佳实践要求。企业应向其云存储提供商询问一系列有关其数据中心的物理安全性以及这些环境中的人员操作系统和应用程序的问题。这些问题包括:对数据中心的物理访问是否受到限制?对于访问,需要哪些安全方法-例如生物识别视网膜扫描仪?企业应确保提供商在这些设施上提供强大的物理访问控制。数据中心是否全天候24/7配备人员?如果是这样,如何处理换班?数据中心是否有视频监控和审计日志来跟踪访客以及他们何时来去?视频监控是如何监控的?具有访问权限的员工是否进行了背景调查?进行什么类型的检查,多久进行一次?是否有入侵警报,是否有针对数据中心物理安全漏洞的书面响应计划?存储架构和网络安全企业必须了解云提供商环境部署的一般安全设计注意事项。这些控制被认为是任何成熟项目都应该支持的基本安全程序元素。考虑以下标准:用户在访问存储组件和区域时需要通过哪些身份验证方法?特别是,提供商的存储管理员应该有严格的身份验证要求。是否有安全配置要求在安装过程中更改默认密码?安全配置应拒绝任何和所有设备、特性和功能,除非用户专门激活它们,为所有配置控制提供默认拒绝位置。使用什么类型的安全事件监控和日志记录?任何平台和应用程序都必须能够检测安全事件并相应地记录它们。用户应该能够向管理控制台、组件管理器、寻呼机、电子邮件和其他来源发送安全警报。在许多情况下,此数据仅供云提供商团队使用,但用户应该了解部署了哪些技术和流程。多租户是如何部署的,使用了哪些技术对不同租户的数据进行分段和隔离?虚拟防火墙、管理程序和存储区域网络(SAN)隔离工具和技术以及网络分段都是可行的选择。云提供商应该愿意披露他们为保护共享平台数据而采取的措施。是否审查网络设备用户权限和密码?多久审查一次?该系统是否会为每个在逻辑上和物理上与其他网络区域隔离的客户提供服务?用户Internet访问、生产数据库、开发和临时区域以及内部应用程序和组件应该有单独的防火墙区域。存储访问和管理安全对于云提供商管理员和企业用户,管理访问存储环境的访问控制和会话安全应该是重中之重。为了防范勒索软件等常见安全威胁,应根据以下标准评估云存储:管理工具和其他管理应用程序是否以加密格式存储用户密码?如果是,是什么类型,这种加密是否定期测试?此外,存储管理应用程序是否强制配置密码长度、类型和持续时间?云存储基础设施允许哪些类型的安全连接?它是否支持更安全的通信协议,例如SSL、TLS或SSH?活动用户会话是否超时?管理工具是否支持多个管理员配置文件以提供精细级别的安全性?用于访问和配置云存储的管理应用程序应该具有基于时间、日期、功能和其他属性访问限制管理员的配置选项。应记录所有管理员操作以用于审计和警报目的,并且日志应可供公司安全团队使用。云存储管理应用程序能否定义细粒度的角色和权限?为了保持适当的职责分离并执行最小权限原则,应将此功能视为强制性的。安全流程云存储提供商的内部安全流程应关注软件测试和开发安全,以及补丁和漏洞管理。应该问以下问题:云存储提供商是否在完全安全和修复的配置中测试硬件和软件以评估服务器、网络和应用程序中的漏洞?供应商是否有跟踪和报告云存储产品漏洞安全发现的流程?作为事件响应流程的一部分,CSP还应澄清一般公告与向特定客户提供联系信息之间的区别。如果发生数据泄露或其他潜在的严重安全事件,应遵循哪些通知和升级程序?是否有用于内部分发关键软件补丁和非关键安全更新的书面流程?在开发和质量保证周期中,是否有既定的安全测试流程?这应该包括扫描源代码以找出主要问题——这些问题包括开放Web应用程序安全项目的前10个问题、缓冲区溢出、身份验证不当和会话处理。基于云的存储将补充成熟企业已经部署的数据备份策略。这些策略包括使用磁带或磁盘进行本地标准备份,或通过SAN/网络附加存储集成对虚拟数据内容进行大规模复制,以及将二级备份发送到磁带或磁盘——发送给外部备份提供商。最后,对于较新的情况,例如勒索软件问题,请考虑对最终用户内容和/或核心数据中心关键资产进行短期隔离备份。
