企業上雲已經成為趨勢,但是當數據上雲之後就不可避免地面臨網路安全風險,那麼如何才能保證雲數據的安全呢?外媒根據大量企業的安全實踐總結出了10條經驗。
1. 對雲的位置和服務進行分類
根據云的位置,您可以確定雲是公有的、私有的還是混合的。
根據云提供的服務,您可以確定是否應該將其分類為IaaS、PaaS、SaaS或FaaS。
2. 共同責任模式
根據使用雲服務的方式,數據保護和網路安全的共同責任模式是必須要了解的。微軟已經明確表示支持雲端共同責任,但並非所有共同責任模式都一樣。微軟表明定義數據分類和保護控制是客戶的責任,而提供商的責任包括通過雲計算堆棧的流程,描述應用和操作系統控制、網路功能和底層主機基礎設施(包括管理程序、存儲組件、冗餘和可擴展性工具等)。
亞馬遜雲計算服務提供類似的模型,他們將責任模型分為兩大類:雲中的安全以及雲的安全。雲中安全是客戶的責任,這包括數據保護、身份和訪問管理、操作系統配置、網路安全--訪問控制--以及加密。AWS負責基礎設施的底層部分,包括計算組件、存儲基礎設施、資料庫和網路。
因此,當準備開始使用雲服務時,這方面的信息是必須要了解清楚的,且和雲服務供應商做好確認。
3.了解自己的數據是如何被訪問和存儲的
根據McAfee 2019雲應用和風險報告,21%的雲文件中包含敏感數據元素。檢查您的雲服務並確切了解它們處理的是什麼數據是至關重要的。大多數數據可能存在於完善的雲服務中,或者存在於您的企業(機構)熟悉的雲服務中,但是沒有一個雲服務能夠保證您的數據100%不受威脅。因此,在任何雲環境中進行定期檢查與數據相關的許可權都是必要的。您甚至可能會發現需要隔離或刪除一些敏感數據。
4.與可靠的雲提供商建立合作關係
也許這個步驟應該更靠前一些。目前市面上的雲服務提供商在可靠性、透明度和符合既定監管標準方面表現出較強的一致性,但我們仍然可以通過一些高級別且被認可的認證納入考核,這包括但不限於SAS 70 Type II或ISO 27001。
同時,這些服務提供者通常提供有關安全審計、結果、認證等的可訪問報告,重要的是要確保這些審計是基於現有的監管標準和獨立進行的,以消除任何潛在的偏見。儘管有信譽的雲提供商應該持續維護認證並通知客戶在過程中的任何變化,但作為最終的使用者,您仍然有責任了解您的企業(機構)的數據安全需求和合規要求。
5. 了解雲服務提供商已經實施的安全解決方案
因為雲服務提供商可能會存儲或託管您的數據,因此,了解這些雲提供商保護敏感數據的方法是非常必要的,甚至要到刨根問底的程度。永遠不要假定您或您的提供商的安全措施是不可破解的,有信譽的供應商應該遵守業界公認的施行標準,如零信任和其他以數據為中心的安全原則。
不同的雲提供商的安全解決方案可能因其應用程序和數據服務專門化而有所不同。對於高度敏感的數據應用程序,一家供應商可能非常適合,而對於不太敏感的數據應用,另一家供應商可能最適合。
6.建立並應用雲安全指南
擁有一份詳細的「安全操作規章」將為您的企業或機構建立一個總的安全指導方針,指定誰可以訪問什麼雲服務、如何使用雲服務、哪些類型的數據可以存儲在雲服務中等等。此外,還應該指定保護雲中的數據所需的安全技術。
理想的設置應該包括安全自動化解決方案,以確保每個人都遵循相同的指導原則,無論是來自雲供應商的安全要求,還是購買具有策略實施功能的獨立安全解決方案。
7.管理您的內部安全威脅
員工往往是雲服務的使用者,但也往往沒有意識到這些雲服務操作行為的潛在安全風險。如果在開始使用之前,確保讓員工接受雲安全操作的培訓,將會大大有助於降低組織內部的風險。
如前所述,創建供員工使用的雲服務的「安全操作規章」是降低風險的一種簡單而有效的方法。了解員工正在使用什麼雲服務,可以根據不同的情況來設置安全策略,確定雲中哪些數據類型是允許操作的以及哪種雲服務是可以允許員工操作的等等,這些都可以提高安全性。
8.訓練你的員工
接著上一條所說的,除了在員工使用前進行安全培訓之外,防止黑客入侵您的環境的最有效方法之一是在接下來的時間裡面定期培訓您的員工,因為技術和攻擊手段發展得很快,比如您的員工需要為網路釣魚和魚叉式網路釣魚計劃做好準備,其他的一些掠奪性攻擊手段也日益流行和成熟。對員工進行定期培訓,讓他們準備好識別當前的網路威脅或正在興起的網路威脅也將會提高安全性。
9.盡量減少環境中的數據量
減少環境中的數據量是提高安全性的一種確定有效的方法,同時還可以降低合規風險。
10.執行定期審計和滲透測試
無論您的企業或機構是否決定為您的雲數據安全需求去選擇一個合作夥伴,您都應該要定期進行滲透測試,以確定您的網路設施在安全性方面的表現是否足夠應對風險。與此同時,還有一項必須要做的就是定期進行審計,對訪問日誌進行檢查,以確保只有授權人員在處理敏感數據,或者採取任何其他安全措施,以滿足最新的安全需求。
為了更安全而完全避免使用公有雲服務是不現實的。基於雲的工作環境通常比在傳統的數據中心中運行的安全問題更少。如果能夠保持持續穩定的安全性,就可以在擁有雲計算服務提供的諸多優點之下顯著降低風險。
需要注意的是,對於任何企業或機構而言的數據安全需求,都沒有簡單的「一刀切」方式的解決方案。上述這些通過已有的情況總結出來的安全實踐,對於想要使用雲服務但又對安全性有所擔心的企業來說仍是值得參考的。
