Улучшение практики безопасности в эпоху облачных вычислений (04.20.24)

Облачные вычисления процветают, и в последние годы значительно выросло количество облачных сервисов. Почти все малые, средние и корпоративные организации реализуют ту или иную форму инициативы по цифровой трансформации или стратегии облачных вычислений. Безопасность является основным компонентом отрасли, а защита конфиденциальных данных и конфиденциальной информации является главным приоритетом.

Поставщики облачных услуг используют искробезопасные платформы, которые разработаны с нуля для защиты бизнес-активов и контроля доступ логичным, но безопасным способом. К счастью, при выборе выделенного облачного партнера компании могут выбрать подключение напрямую к существующей платформе «безопасность как услуга», которая уже разработана таким образом, чтобы превзойти лучшие отраслевые практики и которая может облегчить технические сложности и огромные затраты на собственный подход, подход «сделай сам».

Обеспечение безопасности облака - это общая ответственность поставщика, потребителя и всех соответствующих третьих сторон. Нет сомнений в том, что принятие решений по безопасности жизненно важно в эпоху облачных вычислений, все облачные платформы должны усердно потреблять услуги облачной инфраструктуры. По-прежнему существует реальная вероятность того, что ничего не подозревающий системный администратор неправильно сконфигурировал облачный сервер, потенциально оставив дверь открытой для всей системы.

Анализ облачных вычислений

Жизненно важно, чтобы все компьютерные системы, будь то облачные, - собственные или системы, передаваемые поставщику облачных услуг, полная проверка безопасности благодаря тщательной проверке. Этот процесс предназначен для понимания того, как делятся конфиденциальные данные и как к ним осуществляется доступ. Точное знание того, какие данные у вас есть, как вы обрабатываете и преобразовываете данные, а также где эти данные хранятся или передаются, является необходимым компонентом проверки безопасности.

Анализ - сложное и трудоемкое занятие, но очень важно идентифицировать конфиденциальные или регулируемые данные и принимать соответствующие меры для их защиты. Многие поставщики имеют инструменты на основе агентов, которые могут отправлять данные конфигурации и настройки системы непосредственно для проверки. Для настройки этого автоматизированного процесса требуется несколько минут, но он может помочь создать схему существующей среды.

Собранная информация помогает проводить аудит существующей или предлагаемой облачной платформы и является отличным инструментом для выявления и предотвращения серверов. неправильная конфигурация. Он также может обнаружить любое вредоносное или неожиданное поведение, происходящее в сети. Примеры включают использование учетных данных пользователей, системные службы, запущенные в учетной записи пользователя Active Directory, политики ненадежных паролей или слабые права доступа к файлам и папкам.

Цель состоит в том, чтобы устранить проблемы перед переходом в облако. Именно на этом раннем этапе обучение сотрудников должно уже начаться. Обмен информацией и обучение будущим устремлениям облачной стратегии - отличное начало. Обучите выбранного партнера, пользователя и компьютерного этикета и предоставьте подробную информацию о передовых методах обеспечения безопасности, которые помогут предотвратить вредоносные программы, вирусы и программы-вымогатели.

Защита облачных служб

Для безопасной архитектуры облачная платформа организации. Как только производственные рабочие нагрузки и системы начинают работать в облаке, необходимо пересмотреть архитектуру безопасности, чтобы убедиться, что она соответствует своему назначению. Большинство средств защиты аппаратного уровня, таких как шифрование, сегментация сети и брандмауэры, уже будет на месте, а процессы будут точно настроены поставщиком.

Необходимо создать и пересмотреть несколько политик безопасности. Они охватывают важные аспекты, касающиеся управления данными. Практически безграничная емкость облачного хранилища очень привлекательна для бизнеса. Однако тип хранилища и установленные средства управления имеют большое значение. Политики относительно того, какие данные хранятся и в каком месте? Разрешены ли конфиденциальные данные за границей или они должны оставаться на суше по соображениям соответствия?

В сегментах хранилища должны быть предусмотрены средства аудита, касающиеся создания и удаления данных. Необходимо проверить элементы управления доступом, чтобы гарантировать, что авторизованные пользователи имеют правильные разрешения для управления файлами. Введены средства контроля для отслеживания периода хранения и удаления данных, некоторые предприятия предпочитают хранить данные до семи лет, по истечении этого периода организация обязана удалить данные. Облачное хранилище может автоматизировать подавляющее большинство этой головной боли.

Целостность данных жизненно важна в эпоху облачных вычислений. Настоятельно рекомендуется, чтобы все данные в облаке были зашифрованы, желательно с использованием ваших собственных ключей шифрования. Необходимо принять меры для предотвращения переноса данных на внешние устройства, например дампа данных на USB-накопитель. Многие комплекты безопасности предлагают эту функциональность «из коробки».

Другой важный метод обеспечения безопасности - постоянный мониторинг уязвимостей безопасности во всей среде. Это важная задача, для выполнения которой может потребоваться команда профессионалов в области безопасности. Платформы безопасности используются для сканирования внешних публичных IP-адресов из общедоступного Интернета, а также специалисты SecOp сканируют внутренние сети и системы на предмет слабых мест.

Это действие создает большое количество действий, необходимых для исправления уязвимости. Типичные примеры включают недостатки, обнаруженные в операционной системе и приложениях, слабые шифры безопасности, используемые на веб-сайтах, и используемые слабые пароли или пароли по умолчанию. Также выполняется сканирование обширной базы данных известных уязвимостей. Сообщается о каждой уязвимости с указанием серьезности и вероятного риска использования уязвимости.

Многофакторная аутентификация (MFA) является ожидаемым стандартом для защиты доступа к облачным службам. Самый распространенный способ получить доступ - предоставить имя пользователя, личный PIN-код и защищенный код с устройства, обычно мобильного телефона. Эти средства защиты обычно находятся на сетевом уровне, например запуск VPN-туннеля к целевому облачному VPS, но могут использоваться в качестве дополнительного уровня безопасности для веб-сайтов и важных производственных серверов.

Многие организации идут еще дальше и проксируют весь сетевой трафик через службу проверки, которая проверяет пакеты, когда они входят в сеть или покидают ее. Такой подход улучшает возможности ведения журнала и отслеживания, но также очень просто заносить в черный список неавторизованные адреса.

SecOps

После того, как компьютерные системы организации были встроены в облако, возникает множество требований повседневной операционной деятельности . Эти процессы предназначены для улучшения передового опыта в области безопасности в эпоху облачных вычислений. Постоянное обновление и изменение политик доступа к облаку помогает компаниям упростить доступ, гарантируя, что авторизованные пользователи будут иметь доступ только к системе.

Для управления информацией о безопасности требуются актуальные технические процедуры и наличие документированных операционных процедур для облачной платформы. Это служит нескольким целям. Это помогает в передаче знаний и обучении сотрудников, а также предоставляет организации возможности для обеспечения непрерывности бизнеса. Передовая практика безопасности требует, чтобы процедуры перезапуска системы и восстановления данных были доступны в случае отказа системы.

В документации должно быть четко определено, как организация обрабатывает и обрабатывает информацию, определяется политика резервного копирования, включая требования к планированию (запуск / время окончания задач), а также инструкции по обработке ошибок или других исключительных ситуаций, а также то, как конфиденциальная информация обрабатывается и надежно удаляется.

Практика обеспечения безопасности SecOps охватывает процесс управления изменениями. Это включает запись значительных изменений, планирование и тестирование изменений, включая оценки воздействия. Все изменения должны быть одобрены группой, в которую входят сотрудники службы безопасности, и все соответствующие лица должны быть проинформированы.

Другие методы обеспечения безопасности, о которых следует упомянуть, включают планирование управления мощностью и разделение средств разработки, тестирования и производства. Внедрение средств контроля против вредоносных программ и обеспечение наличия средств защиты от вирусов. Резервное копирование системы и данных выполняется, а информация хранится в соответствии с местным законодательством (GDPR или CCPA).

Крайне желательны подробные журналы и аудит сервисов. Записи можно собирать и поддерживать на платформе SIEM. Это включает соответствующие уровни ведения журнала, включенные на веб-серверах, серверах приложений и продуктах баз данных. Другие области включают мониторинг привилегированного доступа, попыток несанкционированного доступа, системных предупреждений и любых изменений, внесенных в настройки безопасности системы.

YouTube видео: Улучшение практики безопасности в эпоху облачных вычислений

04, 2024