企业上云已经成为趋势,但是当数据上云之后就不可避免地面临网络安全风险,那么如何才能保证云数据的安全呢?外媒根据大量企业的安全实践总结出了10条经验。
1. 对云的位置和服务进行分类
根据云的位置,您可以确定云是公有的、私有的还是混合的。
根据云提供的服务,您可以确定是否应该将其分类为IaaS、PaaS、SaaS或FaaS。
2. 共同责任模式
根据使用云服务的方式,数据保护和网络安全的共同责任模式是必须要了解的。微软已经明确表示支持云端共同责任,但并非所有共同责任模式都一样。微软表明定义数据分类和保护控制是客户的责任,而提供商的责任包括通过云计算堆栈的流程,描述应用和操作系统控制、网络功能和底层主机基础设施(包括管理程序、存储组件、冗余和可扩展性工具等)。
亚马逊云计算服务提供类似的模型,他们将责任模型分为两大类:云中的安全以及云的安全。云中安全是客户的责任,这包括数据保护、身份和访问管理、操作系统配置、网络安全--访问控制--以及加密。AWS负责基础设施的底层部分,包括计算组件、存储基础设施、数据库和网络。
因此,当准备开始使用云服务时,这方面的信息是必须要了解清楚的,且和云服务供应商做好确认。
3.了解自己的数据是如何被访问和存储的
根据McAfee 2019云应用和风险报告,21%的云文件中包含敏感数据元素。检查您的云服务并确切了解它们处理的是什么数据是至关重要的。大多数数据可能存在于完善的云服务中,或者存在于您的企业(机构)熟悉的云服务中,但是没有一个云服务能够保证您的数据100%不受威胁。因此,在任何云环境中进行定期检查与数据相关的权限都是必要的。您甚至可能会发现需要隔离或删除一些敏感数据。
4.与可靠的云提供商建立合作关系
也许这个步骤应该更靠前一些。目前市面上的云服务提供商在可靠性、透明度和符合既定监管标准方面表现出较强的一致性,但我们仍然可以通过一些高级别且被认可的认证纳入考核,这包括但不限于SAS 70 Type II或ISO 27001。
同时,这些服务提供者通常提供有关安全审计、结果、认证等的可访问报告,重要的是要确保这些审计是基于现有的监管标准和独立进行的,以消除任何潜在的偏见。尽管有信誉的云提供商应该持续维护认证并通知客户在过程中的任何变化,但作为最终的使用者,您仍然有责任了解您的企业(机构)的数据安全需求和合规要求。
5. 了解云服务提供商已经实施的安全解决方案
因为云服务提供商可能会存储或托管您的数据,因此,了解这些云提供商保护敏感数据的方法是非常必要的,甚至要到刨根问底的程度。永远不要假定您或您的提供商的安全措施是不可破解的,有信誉的供应商应该遵守业界公认的施行标准,如零信任和其他以数据为中心的安全原则。
不同的云提供商的安全解决方案可能因其应用程序和数据服务专门化而有所不同。对于高度敏感的数据应用程序,一家供应商可能非常适合,而对于不太敏感的数据应用,另一家供应商可能最适合。
6.建立并应用云安全指南
拥有一份详细的“安全操作规章”将为您的企业或机构建立一个总的安全指导方针,指定谁可以访问什么云服务、如何使用云服务、哪些类型的数据可以存储在云服务中等等。此外,还应该指定保护云中的数据所需的安全技术。
理想的设置应该包括安全自动化解决方案,以确保每个人都遵循相同的指导原则,无论是来自云供应商的安全要求,还是购买具有策略实施功能的独立安全解决方案。
7.管理您的内部安全威胁
员工往往是云服务的使用者,但也往往没有意识到这些云服务操作行为的潜在安全风险。如果在开始使用之前,确保让员工接受云安全操作的培训,将会大大有助于降低组织内部的风险。
如前所述,创建供员工使用的云服务的“安全操作规章”是降低风险的一种简单而有效的方法。了解员工正在使用什么云服务,可以根据不同的情况来设置安全策略,确定云中哪些数据类型是允许操作的以及哪种云服务是可以允许员工操作的等等,这些都可以提高安全性。
8.训练你的员工
接着上一条所说的,除了在员工使用前进行安全培训之外,防止黑客入侵您的环境的最有效方法之一是在接下来的时间里面定期培训您的员工,因为技术和攻击手段发展得很快,比如您的员工需要为网络钓鱼和鱼叉式网络钓鱼计划做好准备,其他的一些掠夺性攻击手段也日益流行和成熟。对员工进行定期培训,让他们准备好识别当前的网络威胁或正在兴起的网络威胁也将会提高安全性。
9.尽量减少环境中的数据量
减少环境中的数据量是提高安全性的一种确定有效的方法,同时还可以降低合规风险。
10.执行定期审计和渗透测试
无论您的企业或机构是否决定为您的云数据安全需求去选择一个合作伙伴,您都应该要定期进行渗透测试,以确定您的网络设施在安全性方面的表现是否足够应对风险。与此同时,还有一项必须要做的就是定期进行审计,对访问日志进行检查,以确保只有授权人员在处理敏感数据,或者采取任何其他安全措施,以满足最新的安全需求。
为了更安全而完全避免使用公有云服务是不现实的。基于云的工作环境通常比在传统的数据中心中运行的安全问题更少。如果能够保持持续稳定的安全性,就可以在拥有云计算服务提供的诸多优点之下显著降低风险。
需要注意的是,对于任何企业或机构而言的数据安全需求,都没有简单的“一刀切”方式的解决方案。上述这些通过已有的情况总结出来的安全实践,对于想要使用云服务但又对安全性有所担心的企业来说仍是值得参考的。
