确保云计算安全的五大最佳实践
创始人
2025-01-10 09:11:43
0

如果我们回顾一下,就会发现2014年很可能称得上是“有史以来爆出最重大安全泄密事件的一年”。

可以说,不法分子们已武装到了牙齿,但尽管许多犯罪分子在技术层面确确实实取得了非常大的进步,可是在我看来真正引人注目的是,现有的安全实践和技术原本可以防止许多这样的泄密事件。

许多不幸中招的公司陷入了一个很常见的陷阱,这个陷阱常常被称为“合规即安全”心态。这种想法得出的结论是,如果公司不遗余力地做到遵守法律――符合任何法律法规,包括《健康保险可携性及责任性法案》(HIPAA)和《支付卡行业数据安全标准》(PCI)等,那么它实际上就会“很安全”。遗憾的是,事实远非如此。与许多种类的法规一样,遵守法律其实意味着只要付出极少的绝对努力。

这倒不是说合规就不重要了,合规确实很重要。即便付出了最大的努力,也永远无法确保百分之百的安全性。但如果云服务公司想要给自己最大的机会,避免重大泄密事件带来的非常严重的后果,它们现在就应该做好这五个实践。

1. 不断确保可见性

首先,公司企业需要确保百分之百的可见性,随时了解其技术资产和服务。简而言之,要是你不了解情况,保护也就无从谈起。始终要了解自己有什么资产或服务及其运作状况。这听起来极其基本,但是考虑到现代虚拟基础设施具有自动化、弹性和随需应变的特性,确保可见性可能是一大挑战。一旦你摸清了基础设施、应用程序、数据和用户方面的情况,就能开始明白如何限制攻击范围,更有效地防止或缓解攻击。

2. 风险管理

这意味着为第一个最佳实践中的可见性和透明度添加上下文。一旦获得了透明度,公司企业就要消除已知本企业网络里面存在的明显的安全漏洞(过期的工作站和移动设备等)。想在这个层面缓解曝露风险,关键在于使用不断监控的工具,以及强有力的安全漏洞和安全配置管理技术及实践。

 

[[127531]]

3. 强访问控制

这个最佳实践似乎不言自喻,但常常实施不当。虽然许多公司的确实施了访问控制措施,但它们常常授予不必要的访问权。在最近几起泄密事件中,有效的访问控制ID被用来闯入企业里面与某人所在职能部门毫无关系的系统。他们拥有访问权,完全是因为其在企业里面拥有的级别,尽管他们实际上不需要这种访问权就能完成工作。确保你落实了合适的访问管理和权限监控机制。最小权限概念在这方面至关重要,不断监控用户活动以确保没有违反贵企业政策同样很重要。

4. 数据保护和加密

一旦确立了强访问控制机制,不断确保可见性,而且缓解了已知的安全漏洞,就要对你知道很敏感的所有数据进行加密。回顾之前的一些泄密事件,要引以为戒。你可以从中发现需要保护哪些类别的数据、需要怎样的优先级别。这通常意味着保护“静态数据”和“动态数据”,但是也要落实数据丢失预防(DLP)等技术,确保万一受到危及,数据也不会被发送到企业网络外面。

5. 危机管理

很少有公司在如何迅速地应对数据泄密、缓解破坏方面实施相应的政策和程序。总之一句话,即便采用了稳健的安全实践,泄密事件也会发生;这不是“会不会发生”的问题,而是“何时会发生”的问题。为了防备这种情况,公司就要落实相应的流程和技术,好让自己能够迅速应对,缓解任何安全泄密事件的不利影响。这就意味着能够明白你已遭到了攻击,可以采取什么办法来限制其影响。这方面涉及的技术包括:文件完整性监控、入侵检测和用于中招后分析的取证数据。在泄密事件发生之前制定一套行动方案,之后一旦察觉了泄密事件,就遵照行动方案来行事。

不管贵企业从事哪个行业,或者使用多少云服务,贵企业都应该落实这五大安全要素,并且作为日常工作的一部分而加以实施。切记:合规并不等同于安全。它只是代表最基本的保护。合规无力应对异常安全或高级持续性威胁(APT):在这种情况下,隐藏的恶意软件会在很长一段时间内引起安全泄密事件。

英文原文链接:http://www.informationweek.com/cloud/infrastructure-as-a-service/5-critical-cloud-security-practices/a/d-id/1318801?

相关内容

热门资讯

PHP新手之PHP入门 PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什... 《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详... 千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805... “霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据... 在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡 负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机 最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控... 本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...