搜索讓世界變的簡(jiǎn)單

您是否關(guān)心企業(yè)的云安全最佳實(shí)踐？你不是一個(gè)人。超過(guò)三分之二(68%) 的首席執(zhí)行官和企業(yè)領(lǐng)導(dǎo)者對(duì)云安全準(zhǔn)備表示擔(dān)憂，54% 的公司表示他們的 IT 部門(mén)沒(méi)有能力應(yīng)對(duì)云攻擊。如果不定期優(yōu)化和更新您的云基礎(chǔ)設(shè)施，云安全可能會(huì)迅速崩潰。

由于 DDoS 攻擊、代碼注入或數(shù)據(jù)泄露等威脅隨時(shí)可能出現(xiàn)，確保您的組織安全可能是一項(xiàng)挑戰(zhàn)。真正有效的云安全依賴于云供應(yīng)商和最終用戶之間的團(tuán)隊(duì)合作和共同責(zé)任。它采用標(biāo)準(zhǔn)化的云安全方法和具有出色流程和實(shí)踐的安全云主機(jī)。

以下是保護(hù) IT 資產(chǎn)安全的 7 大云安全最佳實(shí)踐。利用這些技巧和策略將確保您和您的云托管提供商有能力應(yīng)對(duì)當(dāng)今數(shù)字環(huán)境可能給您帶來(lái)的任何挑戰(zhàn)。

什么是云安全？

云安全定義了 IT 管理員用來(lái)確保云數(shù)據(jù)或用戶信息獲得必要級(jí)別保護(hù)的程序、協(xié)議和軟件應(yīng)用程序。敏感信息每天都會(huì)在網(wǎng)絡(luò)上提交和共享。此外，特定行業(yè)處理受合規(guī)立法保護(hù)的個(gè)人身份信息 (PII)。對(duì)于這些行業(yè)，他們的“云盔甲”中最輕微的裂縫都可能讓他們付出沉重的代價(jià)——他們可能會(huì)損失金錢(qián)、時(shí)間，甚至他們的聲譽(yù)。

云安全最佳實(shí)踐通常需要采取安全措施，例如設(shè)置身份驗(yàn)證或權(quán)限、安裝和更新防病毒和反惡意軟件工具等。組織的云安全策略可以像組織本身一樣獨(dú)立。可用的應(yīng)用程序、工具和技術(shù)并不缺乏，IT 管理員可以完全自定義他們自己的內(nèi)部安全最佳實(shí)踐來(lái)滿足組織的需求。

盡管在如何構(gòu)建云安全性方面存在很大的靈活性，但有一點(diǎn)是不變的。為了有效，云安全需要成為一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)。您和您的云托管提供商需要達(dá)成一致并朝著同一個(gè)目標(biāo)努力，以阻止當(dāng)今一些復(fù)雜的數(shù)字威脅。

云安全的工作原理

在數(shù)字世界中花費(fèi)的時(shí)間越多，數(shù)字威脅參與者滲透和破壞重要客戶或公司數(shù)據(jù)的機(jī)會(huì)就越多。根據(jù) Cisco 和 Cyber??security Ventures 2022 Cyber??security Almanac，到 2025 年，數(shù)據(jù)泄露造成的經(jīng)濟(jì)損失預(yù)計(jì)將達(dá)到10.5 萬(wàn)億美元。這一統(tǒng)計(jì)數(shù)據(jù)應(yīng)該足以讓我們仔細(xì)審視您目前為云安全所做的工作以及您可以做什么做得更好。

要提高云安全性，您首先需要了解云安全性的有效性。為組織實(shí)施云安全準(zhǔn)則的 IT 管理員可以使用多種技巧和工具。他們可能會(huì)操縱用戶權(quán)限，因此員工只能訪問(wèn)他們需要的數(shù)據(jù)。阻止員工“游蕩”到網(wǎng)絡(luò)的其他部分可以防止重要的“關(guān)鍵任務(wù)”文件被意外刪除或與錯(cuò)誤的各方共享。

技術(shù)人員還可以為公司員工提供培訓(xùn)資源，以防止社會(huì)工程攻擊。例如，網(wǎng)絡(luò)釣魚(yú)仍然是網(wǎng)絡(luò)安全專業(yè)人員面臨的最常見(jiàn)的數(shù)字威脅之一。向您組織內(nèi)的最終用戶傳授可疑電子郵件的外觀、如何發(fā)現(xiàn)“垃圾郵件”電子郵件地址以及他們不應(yīng)打開(kāi)哪些鏈接可以阻止許多威脅的蹤跡。

您的網(wǎng)絡(luò)安全團(tuán)隊(duì)也可能采用網(wǎng)絡(luò)保護(hù)方法。這涉及使用防火墻等工具將您的網(wǎng)絡(luò)與外部影響隔離開(kāi)來(lái)，并從根本上鎖定數(shù)據(jù)。比您使用的工具和技術(shù)更重要的是您對(duì)網(wǎng)絡(luò)安全的心態(tài)。精明的 IT 專業(yè)人員需要比聰明的數(shù)字威脅參與者領(lǐng)先一步。為此，需要一個(gè)適應(yīng)性強(qiáng)、靈活的云安全策略。

云網(wǎng)絡(luò)已經(jīng)變得過(guò)于龐大和復(fù)雜，無(wú)法通過(guò)一刀切的解決方案來(lái)保護(hù)。IT 管理員需要考慮他們正在保護(hù)的平臺(tái)，并努力在盡可能靠近其數(shù)據(jù)存儲(chǔ)點(diǎn)的最低級(jí)別上實(shí)施云安全協(xié)議。無(wú)論您采取何種云安全方法，以“您始終是目標(biāo)”的心態(tài)來(lái)處理它是最好的方法。

為什么云安全很重要？

協(xié)作是完成工作的方式。雖然云存儲(chǔ)和云計(jì)算是實(shí)現(xiàn)這一目標(biāo)的絕佳工具，但它也為黑客創(chuàng)造了更多機(jī)會(huì)。我們的一些最重要的組織——銀行和醫(yī)院——是出了名的龐大，它們的網(wǎng)絡(luò)也是如此。這些臃腫的云基礎(chǔ)設(shè)施是黑客名副其實(shí)的游樂(lè)場(chǎng)，他們想要竊取敏感數(shù)據(jù)以勒索贖金，竊取敏感金融賬戶的登錄信息等等。

安全最佳實(shí)踐還可以幫助大型組織了解其基礎(chǔ)架構(gòu)。當(dāng)云網(wǎng)絡(luò)與您的公司一起成長(zhǎng)時(shí)，它們可能會(huì)失控。您的云基礎(chǔ)設(shè)施的某些部分和人們?cè)L問(wèn)的數(shù)據(jù)可能會(huì)被忽視。實(shí)施適當(dāng)?shù)墓ぞ吆蛿?shù)據(jù)安全措施可以提高可見(jiàn)性并防止危險(xiǎn)的數(shù)據(jù)泄露。

法規(guī)遵從性和業(yè)務(wù)連續(xù)性是云安全重要性的另外兩個(gè)原因。根據(jù)法律規(guī)定，醫(yī)院和銀行等行業(yè)必須保證其數(shù)據(jù)安全。如果沒(méi)有適當(dāng)?shù)脑瓢踩改?，這項(xiàng)任務(wù)幾乎不可能完成。在中斷業(yè)務(wù)運(yùn)營(yíng)方面，DDoS 攻擊是罪魁禍?zhǔn)字弧Ｖ贫ㄔ瓢踩?jì)劃有助于防止這些攻擊使您的業(yè)務(wù)脫機(jī)、中斷您的業(yè)務(wù)以及讓您的客戶不高興。

在云安全上尋找什么？

既然您對(duì)云安全性、它的工作原理以及它的重要性有了更好的了解，現(xiàn)在是時(shí)候提供一些解決方案來(lái)改進(jìn)您自己的內(nèi)部安全最佳實(shí)踐了。因此，這里有 7 個(gè)技巧，您可以在自己的基礎(chǔ)架構(gòu)中實(shí)施，以提高云安全性、管理任務(wù)關(guān)鍵型數(shù)字資產(chǎn)，并讓您更好地了解在云安全中尋找什么。

1. 選擇成熟且安全的云提供商

選擇合適的云提供商通常需要使用一個(gè)既定的名稱。 您應(yīng)該選擇在安全方面享有盛譽(yù)的云服務(wù)提供商。 大牌供應(yīng)商通常在該行業(yè)的時(shí)間更長(zhǎng)，并且有時(shí)間和資源來(lái)增強(qiáng)其安全性和訪問(wèn)控制功能。

以下是您在選擇供應(yīng)商時(shí)應(yīng)考慮的幾個(gè)關(guān)鍵因素：

安全響應(yīng)

云提供商是否遭受過(guò)任何嚴(yán)重的違規(guī)行為？ 通常，快速的 Google 搜索可以告訴您您正在考慮的提供商是否存在任何安全漏洞或是否已成為眾多拒絕服務(wù) (DoS) 攻擊的目標(biāo)。大多數(shù)公司通過(guò)加強(qiáng)自身和客戶的安全來(lái)應(yīng)對(duì)此類攻擊，因此如果它們?cè)獾狡茐?，?qǐng)不要只是將它們從您的列表中剔除。相反，做一些研究以了解更多關(guān)于他們的安全實(shí)踐。

安全功能和附加產(chǎn)品

開(kāi)箱即用的安全相關(guān)功能有哪些？您可以使用哪些附加功能或服務(wù)？ 不要短視地購(gòu)買(mǎi)看起來(lái)很棒的主機(jī)，只是為了需要主機(jī)不提供的特定附加組件。

安全策略

潛在提供商是否有明確與安全和數(shù)據(jù)責(zé)任相關(guān)的特定公共政策和 服務(wù)水平協(xié)議 (SLA) ？ 如果沒(méi)有公開(kāi)可用的，請(qǐng)?jiān)谔峤恢八魅∫粋€(gè)。

遵守

提供商是否提供完全兼容的服務(wù)器？ PCI、HIPAA、GDPR、CCPA 和 SOC 具有非常特殊的安全配置和實(shí)踐要求。與其與多個(gè)云托管提供商一起努力工作，不如通過(guò) 將您的基礎(chǔ)架構(gòu) 與一個(gè)云主機(jī)整合來(lái)更智能地工作。

2. 了解安全和合規(guī)責(zé)任

當(dāng)您開(kāi)始使用云提供商時(shí)，請(qǐng)務(wù)必了解提供商和最終用戶共同承擔(dān)安全和合規(guī)責(zé)任。 您應(yīng)該充分了解您的最終用戶責(zé)任的起點(diǎn)和終點(diǎn)。 一旦了解這一點(diǎn)，您就可以將安全工作集中在您負(fù)責(zé)的領(lǐng)域。

在評(píng)估安全性和合規(guī)性責(zé)任時(shí)，請(qǐng)記住以下一些有用的事項(xiàng)：

云服務(wù)提供商政策

服務(wù)提供商可能有一些政策，例如 可接受的使用政策 (AUP)、 服務(wù)條款 (TOS)和 隱私政策。這些政策通常包含基本信息，概述了服務(wù)提供商對(duì)您作為客戶放置在其平臺(tái)上的數(shù)據(jù)的所有權(quán)、安全性和責(zé)任的看法。

數(shù)據(jù)位置

您的組織必須了解哪些數(shù)據(jù)將放置在云服務(wù)提供商的平臺(tái)上。與多個(gè)不同的提供商合作以 滿足特定需求 的情況并不少見(jiàn) 。跟蹤哪些提供商的系統(tǒng)符合特定數(shù)據(jù)類型的規(guī)定，哪些不符合，這一點(diǎn)至關(guān)重要。

有一些法規(guī)會(huì)影響您應(yīng)該將哪些數(shù)據(jù)放在云端。了解您將放入云中的信息類型以及根據(jù) GDPR、CCPA、HIPAA 和 PCI 等法規(guī)是否需要任何數(shù)據(jù)保護(hù)和加密至關(guān)重要。

3. 加強(qiáng)安全和訪問(wèn)

在您或您的組織開(kāi)始將數(shù)據(jù)上傳到云提供商之前，您應(yīng)該對(duì)所有安全和訪問(wèn)設(shè)置進(jìn)行徹底審查。 您應(yīng)該清楚地了解誰(shuí)需要訪問(wèn)您組織內(nèi)的哪些數(shù)據(jù)類型。

應(yīng)限制對(duì)云基礎(chǔ)設(shè)施的增強(qiáng)或特權(quán)權(quán)限。與您的云基礎(chǔ)架構(gòu)交互的每個(gè)人都應(yīng)該只有足夠的訪問(wèn)權(quán)限來(lái)執(zhí)行他們的任務(wù)。確保您啟用了常見(jiàn)的安全設(shè)置，例如 多因素身份驗(yàn)證 和基于角色的訪問(wèn)控制。對(duì)訪問(wèn)和共享設(shè)置進(jìn)行年度審查（至少），以了解誰(shuí)可以訪問(wèn)和共享您的云數(shù)據(jù)以及如何訪問(wèn)和共享。

4. 了解您的云提供商的數(shù)據(jù)加密

了解云提供商的加密策略非常重要。 在當(dāng)今的現(xiàn)代世界，沒(méi)有任何借口可以不受保護(hù)地傳輸數(shù)據(jù)。相反，它應(yīng)該在傳輸過(guò)程中通過(guò) SSL加密。這可以防止數(shù)據(jù)在最終用戶和云服務(wù)提供商之間傳輸時(shí)在網(wǎng)絡(luò)上被攔截。

您還應(yīng)該確定您的數(shù)據(jù)是否已靜態(tài)加密。 這意味著數(shù)據(jù)在云提供商數(shù)據(jù)中心的存儲(chǔ)設(shè)備上被加密。某些類型的受監(jiān)管數(shù)據(jù)需要加密，如果潛在的惡意行為者可以物理訪問(wèn)存儲(chǔ)數(shù)據(jù)的服務(wù)器，則可以防止他們?cè)L問(wèn)數(shù)據(jù)。

5. 制定政策和培訓(xùn)

制定關(guān)于誰(shuí)可以訪問(wèn)云服務(wù)、他們?nèi)绾卧L問(wèn)它們以及哪些數(shù)據(jù)可以存儲(chǔ)在云中的明確政策至關(guān)重要。就這些政策和安全設(shè)置對(duì)您自己和您的員工進(jìn)行培訓(xùn)， 以確保最終用戶不會(huì)意外成為云中違反法規(guī)或數(shù)據(jù)泄露的源頭。

讓最終用戶了解 強(qiáng)密碼 和多重身份驗(yàn)證的重要性也很重要。額外的安全措施通常會(huì)讓最終用戶感到沮喪，但如果他們了解政策背后的動(dòng)機(jī)和原因，他們就更有可能跟進(jìn)。

6. 審核訪問(wèn)和使用

您應(yīng)該對(duì)您的云服務(wù)進(jìn)行定期審核，以確定誰(shuí)在訪問(wèn)它以及他們?cè)谧鍪裁础?留意用戶未經(jīng)授權(quán)的訪問(wèn)和/或數(shù)據(jù)共享，并及時(shí)跟進(jìn)任何違規(guī)行為。

創(chuàng)建最好的云基礎(chǔ)設(shè)施安全策略是一個(gè)重要的開(kāi)始，但您不應(yīng)該自動(dòng)假設(shè)您的云存在是您最薄弱的環(huán)節(jié)?；〞r(shí)間清點(diǎn)并評(píng)估 惡意內(nèi)部人員 可能造成的破壞程度。借此機(jī)會(huì)制定一項(xiàng)政策，讓有權(quán)訪問(wèn)的人承擔(dān)責(zé)任。至少，設(shè)置 最少訪問(wèn)和控制的策略， 并定期審核對(duì)關(guān)鍵數(shù)據(jù)的權(quán)限和訪問(wèn)。

7. 響應(yīng)安全問(wèn)題

在網(wǎng)絡(luò)安全領(lǐng)域，重要的不是事件是否發(fā)生，而是何時(shí)發(fā)生。您能做的最重要的事情就是為這種可能發(fā)生的情況做好計(jì)劃。您或您的云托管提供商是否遭到破壞并不重要。您應(yīng)該了解自己的風(fēng)險(xiǎn)并制定預(yù)定義的行動(dòng)計(jì)劃來(lái)管理這些不測(cè)事件。創(chuàng)建一個(gè) 災(zāi)難恢復(fù)計(jì)劃 來(lái)處理您的基礎(chǔ)設(shè)施和提供商的數(shù)據(jù)泄露。確保您了解您的合規(guī)要求，并在發(fā)生此類違規(guī)行為時(shí)采取相應(yīng)行動(dòng)。

通過(guò)這些最佳實(shí)踐避免云錯(cuò)誤

隨著我們對(duì)云的生活、工作和娛樂(lè)的依賴不斷增長(zhǎng)，安全最佳實(shí)踐變得越來(lái)越重要。隨著這些服務(wù)和公司網(wǎng)絡(luò)變得更加復(fù)雜，出現(xiàn)安全失誤的機(jī)會(huì)有很多。遵循這些云安全最佳實(shí)踐將幫助您避免一些常見(jiàn)錯(cuò)誤。