论文部分内容阅读
随着组织将越来越多的数据和应用程序转移到云端,安全架构在确保工作负载安全方面变得至关重要。云安全架构是一个框架,它定义了组织如何为云模型处理云安全,以及打算使用哪些解决方案和技术来创建安全环境。
云安全架构还必须考虑组织和基础设施即服务(IaaS)提供商之间的共同责任,保护云提供商平台上的数据和工作负载。
云安全挑战
云安全为组织带来了独特的挑战,以下是在设计云安全架构时应考虑的一些主要挑战。
身份和访问:云系统默认设置是不安全的,员工很容易在云上创建资源而无人看管。所有云提供商都提供强大的身份和访问管理(IAM)功能,但由组织未正确设置就将其应用于所有工作负载。
不安全的API:云中的一切都有一个API,这既强大又极其危险。未充分保护或使用弱身份验证的API可能允许攻击者访问和控制整个环境,API是通向云的前门,而且通常都是敞开的。
错误配置:云环境有大量移动部件,包括计算实例、存储桶、数据库、容器和无服务器功能。其中大部分是短暂的,每天都有新实例启动和关闭。这些资源中的任何一个都可能被错误配置,从而允许攻击者通过公共网络访问它们、泄露数据并对关键系统造成损害。
合规风险:必须确保云提供商支持所有相关的合规要求,并了解可以使用哪些控制和服务来满足合规义务。
隐形控制平面:在云中,控制平面不受组织控制。虽然云提供商负责其基础设施的安全,但他们不提供有关数据流和内部架构的信息,这意味着安全团队在盲目飞行。
构建云安全架构的技巧
以下这些技巧可以帮助构建可靠的云安全架构。
进行尽职调查
在迁移到云提供商或将云部署扩展到其他云提供商之前,组织应仔细调查整个云服务提供商的安全性和弹性属性以及他们打算使用的特定服务。
尽职调查过程应包括:
根据来自同行业组织的数据定义安全性和可用性基准;
发现云提供商的安全最佳实践及其对组织的影响;
尝试云提供商的安全功能,例如加密、日志记录以及身份和访问管理(IAM);
了解云提供商如何帮助满足合规义务以及获得认证的标准;
了解云提供商的责任、共担模型的细节以及组织负责哪些安全元素;
评估第一方安全服务(由云平台提供)并将它们与第三方替代产品进行比较;
评估现有的安全工具是否与新的云环境相关。
确定哪些数据最敏感
对于大多数组织而言,对所有数据应用严格的安全措施是不可行的,但必须确定需要保护哪些数据类别以防止违规。使用数据检测需要保护的内容至关重要。
这通常使用自动数据分类引擎来实现,这些工具旨在跨网络、端点、数据库和云查找敏感内容,使组织能够识别敏感数据并建立必要的安全控制。
让员工云使用走出阴影
拥有企业云安全策略并不意味着员工会遵守,在使用常见的云服务(例如Dropbox或基于网络的电子邮件)之前,员工很少咨询IT部门。
组织的Web代理、防火墙和SIEM日志是衡量员工对影子云使用情况的资源,这些可以提供有关正在使用哪些服务以及由哪些员工使用的全面视图。在发现影子云使用情况时,可以根据服务带来的风险评估服务的附加价值,可以选择“合法化”影子云服务,也可以进行打击并采取措施禁止它们。
影子使用的另一个方面是从不受信任的端点设备访问合法的云资源。由于连接Internet的任何设备都可以访问云服务,因此个人移动设备可能会在安全策略中造成差距。为了防止数据从受信任的云服务转移到不受管理的设备,在启用访问之前需要对设备进行安全验证。
保护云端点
许多组织正在部署具有多层保护的端点保护平台,包括端点检测和响应(EDR),下一代防病毒(NGAV)以及用户和实体行为分析(UEBA)。
端点保护在云中更为重要。在云中,端点是计算实例、存储卷、存储桶以及Amazon RDS等托管服务。
云部署有大量端点,它们的变化比本地更频繁,因此需要更高级别的可见性。端点保护工具可以帮助组织控制云工作负载并保护其最薄弱的环节。
了解您在合规义务中的作用
合规性最终是组织的唯一责任。无论将多少业务功能转移到云端,都可以选择+云架构平台来帮助您遵守适用于所在行业的监管标准,无论是PCI DSS、GDPR、HIPAA和CCPA还是任何其他标准或法规。
了解云提供商提供的工具和服务以确保合规性,以及可以使用哪些第三方工具来创建合规的云系统。
构建云安全架构并非易事。需要为云环境解决组织的安全策略、相关合规标准和安全最佳实践,同时还要应对云基础架构的高度复杂性和动态性这里提供了5个技巧:
在使用云提供商或云服務之前,对安全性和合规性影响进行调查;
确定存储在云环境中的哪些数据是敏感的、需要保护的;
通过“合法化”阻止云服务,让员工了解云使用情况并防止影子IT;
使用与云兼容的端点保护技术,保护云中的端点;
了解组织和云提供商之间在合规义务方面的责任分担,并确保尽自己的一份力量。
云安全架构还必须考虑组织和基础设施即服务(IaaS)提供商之间的共同责任,保护云提供商平台上的数据和工作负载。
云安全挑战
云安全为组织带来了独特的挑战,以下是在设计云安全架构时应考虑的一些主要挑战。
身份和访问:云系统默认设置是不安全的,员工很容易在云上创建资源而无人看管。所有云提供商都提供强大的身份和访问管理(IAM)功能,但由组织未正确设置就将其应用于所有工作负载。
不安全的API:云中的一切都有一个API,这既强大又极其危险。未充分保护或使用弱身份验证的API可能允许攻击者访问和控制整个环境,API是通向云的前门,而且通常都是敞开的。
错误配置:云环境有大量移动部件,包括计算实例、存储桶、数据库、容器和无服务器功能。其中大部分是短暂的,每天都有新实例启动和关闭。这些资源中的任何一个都可能被错误配置,从而允许攻击者通过公共网络访问它们、泄露数据并对关键系统造成损害。
合规风险:必须确保云提供商支持所有相关的合规要求,并了解可以使用哪些控制和服务来满足合规义务。
隐形控制平面:在云中,控制平面不受组织控制。虽然云提供商负责其基础设施的安全,但他们不提供有关数据流和内部架构的信息,这意味着安全团队在盲目飞行。
构建云安全架构的技巧
以下这些技巧可以帮助构建可靠的云安全架构。
进行尽职调查
在迁移到云提供商或将云部署扩展到其他云提供商之前,组织应仔细调查整个云服务提供商的安全性和弹性属性以及他们打算使用的特定服务。
尽职调查过程应包括:
根据来自同行业组织的数据定义安全性和可用性基准;
发现云提供商的安全最佳实践及其对组织的影响;
尝试云提供商的安全功能,例如加密、日志记录以及身份和访问管理(IAM);
了解云提供商如何帮助满足合规义务以及获得认证的标准;
了解云提供商的责任、共担模型的细节以及组织负责哪些安全元素;
评估第一方安全服务(由云平台提供)并将它们与第三方替代产品进行比较;
评估现有的安全工具是否与新的云环境相关。
确定哪些数据最敏感
对于大多数组织而言,对所有数据应用严格的安全措施是不可行的,但必须确定需要保护哪些数据类别以防止违规。使用数据检测需要保护的内容至关重要。
这通常使用自动数据分类引擎来实现,这些工具旨在跨网络、端点、数据库和云查找敏感内容,使组织能够识别敏感数据并建立必要的安全控制。
让员工云使用走出阴影
拥有企业云安全策略并不意味着员工会遵守,在使用常见的云服务(例如Dropbox或基于网络的电子邮件)之前,员工很少咨询IT部门。
组织的Web代理、防火墙和SIEM日志是衡量员工对影子云使用情况的资源,这些可以提供有关正在使用哪些服务以及由哪些员工使用的全面视图。在发现影子云使用情况时,可以根据服务带来的风险评估服务的附加价值,可以选择“合法化”影子云服务,也可以进行打击并采取措施禁止它们。
影子使用的另一个方面是从不受信任的端点设备访问合法的云资源。由于连接Internet的任何设备都可以访问云服务,因此个人移动设备可能会在安全策略中造成差距。为了防止数据从受信任的云服务转移到不受管理的设备,在启用访问之前需要对设备进行安全验证。
保护云端点
许多组织正在部署具有多层保护的端点保护平台,包括端点检测和响应(EDR),下一代防病毒(NGAV)以及用户和实体行为分析(UEBA)。
端点保护在云中更为重要。在云中,端点是计算实例、存储卷、存储桶以及Amazon RDS等托管服务。
云部署有大量端点,它们的变化比本地更频繁,因此需要更高级别的可见性。端点保护工具可以帮助组织控制云工作负载并保护其最薄弱的环节。
了解您在合规义务中的作用
合规性最终是组织的唯一责任。无论将多少业务功能转移到云端,都可以选择+云架构平台来帮助您遵守适用于所在行业的监管标准,无论是PCI DSS、GDPR、HIPAA和CCPA还是任何其他标准或法规。
了解云提供商提供的工具和服务以确保合规性,以及可以使用哪些第三方工具来创建合规的云系统。
构建云安全架构并非易事。需要为云环境解决组织的安全策略、相关合规标准和安全最佳实践,同时还要应对云基础架构的高度复杂性和动态性这里提供了5个技巧:
在使用云提供商或云服務之前,对安全性和合规性影响进行调查;
确定存储在云环境中的哪些数据是敏感的、需要保护的;
通过“合法化”阻止云服务,让员工了解云使用情况并防止影子IT;
使用与云兼容的端点保护技术,保护云中的端点;
了解组织和云提供商之间在合规义务方面的责任分担,并确保尽自己的一份力量。