Izboljšanje varnostnih praks v oblačni dobi (03.29.24)

Računalništvo v oblaku uspeva in v zadnjih letih se je znatno povečala uporaba storitev v oblaku. Skoraj vse majhne, ​​srednje in podjetniške organizacije že izvajajo neko obliko pobude za digitalno preobrazbo ali strategijo računalništva v oblaku. Varnost je pomemben sestavni del industrije, zaščita občutljivih podatkov in privilegiranih informacij pa je glavna prednostna naloga.

Ponudniki storitev v oblaku upravljajo s svojimi zaščitenimi platformami, ki so zasnovane od začetka do zaščite poslovnih sredstev in nadzora. dostop na logičen, a varen način. Na srečo se lahko podjetja pri izbiri namenskega partnerja v oblaku odločijo, da se neposredno vključijo v obstoječo platformo za varnost kot storitev, ki je že zasnovana tako, da presega najboljše industrijske prakse in lahko ublaži tehnično zapletenost in velike stroške interni, samostojni pristop.

Zaščita oblaka je skupna odgovornost ponudnika, potrošnika in vseh ustreznih tretjih oseb. Nobenega dvoma ni, da je odločanje o varnosti ključnega pomena v eri oblakov, vse platforme, ki temeljijo na oblaku, morajo pridno uporabljati storitve infrastrukture v oblaku. Še vedno obstaja zelo resnična verjetnost, da je nič hudega sluteči sistemski skrbnik napačno konfiguriral strežnik v oblaku, kar bi lahko odprlo vrata celotnemu sistemu.

Analiza oblaka

Nujno je, da vsi računalniški sistemi, bodisi domači ali sistemi, ki se prenašajo v ponudnika oblaka, popolna varnost zaradi skrbnega pregleda. Ta postopek je zasnovan tako, da razume, kako se občutljivi podatki delijo in dostopajo. Zahtevana komponenta varnostnega pregleda je natančno vedeti, katere podatke imate, kako jih obdelate in preoblikujete ter kje se ti podatki shranjujejo ali prenašajo.

Zaključitev analize je zahtevna in zamudna dejavnost, ključnega pomena pa je prepoznati občutljive ali regulirane podatke in sprejeti ustrezne ukrepe za njihovo zaščito. Številni ponudniki imajo orodja, ki temeljijo na posrednikih, ki lahko neposredno pošljejo podatke o konfiguraciji in nastavitvi sistema v pregled. Ta samodejni postopek traja nekaj minut za konfiguracijo, lahko pa pomaga ustvariti shemo obstoječega okolja.

Zbrane informacije pomagajo pri reviziji obstoječe ali predlagane platforme v oblaku in so odlično orodje za prepoznavanje in preprečevanje strežnika napačna konfiguracija. Prav tako lahko odkrije kakršno koli zlonamerno ali nepričakovano vedenje, ki se pojavlja v omrežju. Primeri vključujejo uporabnike, ki si delijo poverilnice, sistemske storitve, ki se izvajajo v uporabniškem računu aktivnega imenika, šibke politike gesel ali šibka dovoljenja za datoteke in mape.

Cilj je odpraviti težave pred selitvijo v oblak. V tej zgodnji fazi bi moralo že potekati usposabljanje zaposlenih. Izmenjava informacij in usposabljanje o prihodnjih prizadevanjih strategije v oblaku je odličen začetek. Izobražujte se o izbranem partnerju, uporabniku in računalniškem bontonu ter podajte podrobnosti o najboljših varnostnih praksah za preprečevanje zlonamerne programske opreme, virusov in odkupne programske opreme.

Zaščita storitev v oblaku

Za varno oblikovanje oblačna platforma organizacije. Ko se delovne obremenitve in sistemi začnejo izvajati v oblaku, je treba ponovno pregledati varnostno arhitekturo, da se prepriča, ali ustreza svojemu namenu. Večina zaščite strojne plasti, kot so šifriranje, segmentacija omrežja in požarni zidovi, bo že vzpostavljena, ponudnik pa bo postopke natančno prilagodil.

Treba je ustvariti in pregledati več varnostnih pravilnikov. Ti zajemajo pomembne vidike glede nadzora podatkov. Skoraj neomejena zmogljivost shranjevanja v oblaku je za podjetja zelo privlačna. Vendar pa sta vrsta pomnilnika in vzpostavljeni nadzor zelo pomembna. Politike glede tega, kateri podatki so shranjeni in na katerem mestu? Ali so občutljivi podatki dovoljeni v tujini ali morajo zaradi skladnosti ostati na kopnem?

V vedrih za shranjevanje morajo biti nadzorni nadzor v zvezi z ustvarjanjem in brisanjem podatkov. Nadzor dostopa je treba preveriti, da se zagotovi, da imajo pooblaščeni uporabniki pravilna dovoljenja za upravljanje datotek. Vzpostavljeni so kontrolniki za spremljanje obdobja hrambe in brisanja podatkov, nekatera podjetja se odločijo, da bodo podatke hranila do sedem let, po tem obdobju pa je organizacija dolžna podatke izbrisati. Skladiščenje v oblaku lahko avtomatizira veliko večino tega glavobola.

Celovitost podatkov je v obdobju oblakov ključnega pomena. Zelo priporočljivo je, da so vsi podatki v oblaku šifrirani, po možnosti z uporabo lastnih šifrirnih ključev. Vzpostaviti je treba ukrepe za preprečevanje prenosa podatkov na zunanje naprave, na primer izpis podatkov na pogon pisala USB. Številni varnostni paketi ponujajo to funkcionalnost že takoj.

Druga pomembna varnostna praksa je nenehno spremljanje varnostnih ranljivosti v celotnem okolju. To je ključna naloga, za katero bo morda potrebna skupina varnostnih strokovnjakov. Varnostne platforme se uporabljajo za skeniranje zunanjih javnih naslovov IP iz javnega interneta, prav tako pa strokovnjaki SecOp skenirajo notranja omrežja in sisteme zaradi pomanjkljivosti.

Ta dejavnost ustvari veliko število dejanj, potrebnih za odpravo ranljivosti. Tipični primeri vključujejo slabosti v operacijskem sistemu in aplikacijah, šibke varnostne šifre, ki se uporabljajo na spletnih mestih, in šibka ali privzeta gesla, ki se uporabljajo. Skeniranja se opravijo tudi na podlagi obsežne zbirke podatkov o znanih ranljivostih. Poroča se o vsaki ranljivosti, ki vključuje resnost in verjetno tveganje za izkoriščanje.

Multi-Factor Authentication (MFA) je pričakovani standard za zaščito dostopa do storitev v oblaku. Najpogostejši način za pridobitev dostopa je vnos uporabniškega imena, osebnega PIN-a in zaščitene kode iz naprave, običajno mobilnega telefona. Te zaščite običajno najdemo v omrežni plasti, na primer zagon tunela VPN do ciljnega oblaka VPS, vendar jih je mogoče uporabiti kot dodatno stopnjo varnosti spletnih mest in občutljivih produkcijskih strežnikov.

Mnoge organizacije gredo še korak dlje in posredujejo ves omrežni promet prek varnostne storitve, ki pregleda pakete ob vstopu ali izstopu iz omrežja. Ta pristop izboljšuje zmogljivosti beleženja in sledenja, zelo enostavno pa je tudi nedovoljene naslove uvrstiti na črni seznam.

SecOps

Po vgradnji računalniških sistemov organizacije v oblak obstaja veliko vsakodnevnih operativnih dejavnosti . Ti procesi so namenjeni izboljšanju najboljših varnostnih praks v oblaku. Nenehno posodabljanje in spreminjanje pravilnikov o dostopu v oblaku podjetjem olajša dostop in zagotavlja, da imajo odobreni uporabniki dostop samo do sistema.

Upravljanje varnostnih informacij zahteva, da so tehnični postopki posodobljeni, za platformo v oblaku pa so na voljo dokumentirani operativni postopki. To služi več namenom. Pomaga pri prenosu znanja in usposabljanju zaposlenih, organizaciji pa zagotavlja tudi možnosti neprekinjenega poslovanja. Najboljša praksa varnosti narekuje, da so v primeru okvare sistema na voljo ponovni zagon sistema in postopki za obnovitev podatkov.

V dokumentaciji mora biti izrecno določeno, kako organizacija obdeluje in obravnava informacije, opredeljena politika varnostnega kopiranja, vključene zahteve po razporejanju (začetek / čas konca opravil) in vključujejo navodila za ravnanje z napakami ali drugimi izjemnimi pogoji, pa tudi kako se zaupne informacije obdelujejo in varno odstranjujejo.

Varnostna praksa SecOps zajema postopek upravljanja sprememb. To vključuje beleženje pomembnih sprememb, načrtovanje in testiranje sprememb, vključno z ocenami učinka. Vse spremembe mora odobriti komisija, ki vključuje varnostne uradnike, in vse ustrezne osebe so obveščene.

Druge varnostne prakse vključujejo načrtovanje upravljanja zmogljivosti in ločitev razvojnih, testnih in proizvodnih zmogljivosti. Vzpostavitev nadzora nad zlonamerno programsko opremo in zagotovitev protivirusnega nadzora. Varnostne kopije sistema in varnostne kopije podatkov se zaključijo, informacije pa se vzdržujejo v skladu z lokalno zakonodajo (GDPR ali CCPA).

Podrobno beleženje in revizija storitev sta zelo zaželena. Zapise je mogoče zbirati in vzdrževati na platformi SIEM. To vključuje ustrezne ravni beleženja, ki so omogočene na spletnih strežnikih, strežnikih aplikacij in izdelkih baz podatkov. Druga področja vključujejo spremljanje privilegiranega dostopa, poskusov nepooblaščenega dostopa, sistemskih opozoril in vseh sprememb varnostnih nastavitev sistema.


YouTube Video.: Izboljšanje varnostnih praks v oblačni dobi

03, 2024