雲計算是網絡安全發力的下一個重要方向,但是很多企業對於雲所造成的安全隱患都沒有已是,隨著雲服務的增長和新威脅的增加,雲安全的情勢會越來越嚴重,也越來越值得企業重視。
雲服務市場正以驚人的速度擴張,據悉,2016 年企業共使用1427個雲服務,比上年增長23.7%。顯然,雲已經成為企業的重要組成部分,但帶來好處的同時也要承擔相應的責任。這個責任涉及妥善保護企業及其客戶的數據。據估計,18%的雲中數據包括某種形式的個人身份信息(PII),知識產權或其他敏感信息。而且,企業每月都會面臨23個雲安全威脅,這比去年增長了18.4%。
Shadow IT
企業安全包括外部攻擊和內部威脅,外部攻擊包括ransomware感染和暴力攻擊,而內部威脅有部分與Shadow IT相關,Shadow IT是指員工在未經僱主IT部門的瞭解或批准的情況下使用未授權的雲服務。事實上,企業批准的雲服務使用率只有10%,其餘的90%是Shadow IT。
使用未經批准的雲服務看起來可能並不是一個巨大風險,但是其實Shadow IT是很具風險的行為。因為在使用新的雲服務時,個體員工很少應用適當的審查。而IT安全部門在批准雲服務之前,會對雲服務的安全風險和功能進行權衡。
Shadow IT和內部威脅可能是雲採用的強大障礙,但企業只要應用有效的雲治理策略來利用雲,基本不會出現任何數據漏洞。
可見性
良好的雲安全基礎是企業能夠知道員工正在使用哪些服務。這個需求可以通過監控整個組織中的應用服務來實現,並且允許創建有效的計劃來確保其使用。IT安全還需要了解每個雲應用程序的安全功能,包括加密過程、用戶數據安全性和多因素身份驗證可用性。可見性是瞭解公司內部使用哪些服務的第一步,接下來要採用適當的審核程序來確保這些雲產品安全。
雲合規
隨著雲服務使用的迅速增長,企業必須找到符合HIPAA-HITECH,PCI-DSS和EU-GDPR等法規的新方法。企業通常使用數據丟失防護(DLP)工具來防止敏感數據落入攻擊者手中,並要遵守內部和外部政策。但是硬件,軟件和數據都是本地存儲的,Cloud DLP需要一種新的方法。當將DLP應用於雲時,企業必須確保保護其本地部署數據的同一組策略也被執行到雲中的數據。可以通過以下方式完成:
清點現有策略並定義可能是雲獨有的新策略。
瞭解什麼樣的數據可以上傳到雲端
能夠發現誰訪問了敏感數據,以及與誰共享了數據。
禁止訪問未經批准的第三方共享敏感數據
避免將高價值信息上傳到雲端
在所有云服務中應用標準的DLP策略,以確保不同雲服務之間不存在任何政策執行差距
預防威脅
雲端每天都有數十億次事件發生,雖然大部分是無害的,但是有一小部分異常需要我們額外注意。例如,如果一個用戶短時間內從兩個不同的位置登錄,則該事件應被標記為異常,並進行進一步調查,這可能表示受損的帳戶。機器學習對於這一點至關重要,因為它是分析雲中大量數據的唯一方法。企業應該將機器學習與用戶行為分析(UBA)相結合,以便在數十億次的事件中準確的篩選出異常事件。
數據安全
保證數據安全性有各種各樣的方法,但是更常用的兩種形式是加密和令牌化。只要解密密鑰不落入攻擊者的手中,加密就可以成為保護雲中數據的有效手段。
令牌化是保護數據的另一種形式。 令牌化技術使用隨機生成的碼本編碼數據,通常對密碼學分析免疫。。使用此係統,敏感數據不會離開企業,令牌是動態的,自身也是被加密的。傳統上,令牌化被廣泛用於保護支付卡數據和其他形式的結構化數據。但是,令牌化不太適合非結構化數據,例如word文檔,如果是非結構化數據,加密是首選方法。
雖然大多數企業級雲服務都提供某種形式的加密,但在大多數情況下,雲服務提供商(CSP)會保留對加密密鑰的訪問權限。如果流氓CSP員工訪問密鑰,或者如果CSP面臨盲目的政府傳喚來釋放其客戶數據,這對企業來說是有問題的。因此,企業使用企業所屬的密鑰加密雲中的數據是最佳做法。
雲安全工具
除了雲最佳實踐外,一些安全工具也可以提供額外的安全級別:
雲防火牆:雲防火牆為針對雲端和網絡之間傳輸的數據的低級威脅創建了強大的安全層。
雲數據加密:數據加密通過將信息加密成密文,使得黑客訪問敏感信息更加困難。
安全Web網關:SWG可以提供IP / URL過濾,以阻止訪問有風險的Shadow IT雲服務(如果服務的URL已知)。
用戶訪問控制:並不是每個用戶都需要訪問所有內容。用戶訪問控制,也稱為身份和訪問管理解決方案(IDM),為用戶提供其所需訪問的雲資源。
CASB:CASB為雲服務提供安全有效的監控,並作為雲應用的控制點。
雲計算的崛起為用戶帶來了巨大的效率和顯著提高的生產力,但如果沒有適當的安全考慮,就不應該使用它。如果遵循了上述的做法和建議,那麼企業就在享受雲優勢的同時,又不使企業數據面臨風險。
相關推薦
