如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?
      
                                    
                                
      
                                
      
                                    
      云環(huán)境與公司最熟悉的本地數(shù)據(jù)中心截然不同,這些差異帶來了獨特的安全挑戰(zhàn),需要以云為中心的安全解決方案來解決。同時,公司還需要能夠?qū)⑵湓瓢踩軜?gòu)與本地安全基礎(chǔ)架構(gòu)相集成,以在整個 IT 基礎(chǔ)架構(gòu)中實現(xiàn)一致的安全可見性、管理和策略實施。以下云安全最佳實踐可以幫助您的組織將其云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低。
      

      如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?-南華中天
      

      #1。理解共同責(zé)任模型
      

      云計算的主要賣點之一是它允許組織將其 IT 基礎(chǔ)架構(gòu)的部分責(zé)任外包給云服務(wù)提供商。但是,云提供商不會對其客戶的基礎(chǔ)架構(gòu)或保護它承擔(dān)全部責(zé)任。
      

      清楚地了解云共享責(zé)任模型是云安全策略的重要基礎(chǔ)。責(zé)任共擔(dān)模型分解了云提供商和客戶之間對各種云服務(wù)模型的責(zé)任,例如基礎(chǔ)設(shè)施即服務(wù) (IaaS)、平臺即服務(wù) (PaaS) 和軟件即服務(wù) (SaaS)。了解模型及其分配給客戶的職責(zé)使組織能夠制定戰(zhàn)略來履行其職責(zé)。
      

      #2。采用零信任控制
      

      零信任安全模型旨在限制組織的網(wǎng)絡(luò)安全風(fēng)險。在零信任模型下,所有用戶和設(shè)備都被視為潛在威脅,經(jīng)過身份驗證的用戶的每個訪問請求都會根據(jù)基于角色的訪問控制和環(huán)境因素進行獨立評估。
      

      采用基于云的基礎(chǔ)設(shè)施擴大了組織的攻擊面,而云的獨特性質(zhì)意味著基于云的基礎(chǔ)設(shè)施比本地資源更容易受到外部威脅。采用和實施零信任安全模型有助于通過降低入侵的可能性和影響來改善網(wǎng)絡(luò)安全風(fēng)險。
      

      #3。優(yōu)化正常運行時間和性能
      

      影子 IT 是許多組織中的一個問題。造成這種情況的最常見原因是公司服務(wù)不能滿足員工的需求,因此他們尋找替代方案和變通辦法,使他們能夠高效地完成工作。然而,這些替代方案通常也會使公司面臨風(fēng)險。
      

      將影子 IT 風(fēng)險降至最低的一種方法是努力消除導(dǎo)致員工尋求替代方案的痛點。優(yōu)化云服務(wù)的性能和正常運行時間有助于確保員工擁有順暢的體驗,從而無需搜索更可用但安全性較低的替代方案。
      

      如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?-南華中天
      

      #4。承認(rèn)可見性和可觀察性的重要性
      

      在云中很難實現(xiàn)可見性。云服務(wù)提供商控制底層基礎(chǔ)設(shè)施,因此無法在云數(shù)據(jù)中心內(nèi)部署安全設(shè)備。可見性和可觀察性在云環(huán)境中與在本地環(huán)境中同樣重要。云安全的一個重要方面是在組織的整個 IT 生態(tài)系統(tǒng)中實現(xiàn)一致的可見性。這需要部署為本地和云環(huán)境提供支持的安全解決方案。
      

      #5。制定安全態(tài)勢和治理策略
      

      隨著遷移到云,組織的網(wǎng)絡(luò)攻擊面和暴露于網(wǎng)絡(luò)威脅。防范這些威脅需要明確定義的安全策略。制定此策略的第一步是確定組織的目標(biāo)安全態(tài)勢和治理要求。從那里,公司可以開發(fā)和實施策略和安全控制,例如云安全態(tài)勢管理(CSPM) 解決方案,可以在云端和本地環(huán)境中實現(xiàn)這些目標(biāo)。
      

      #6。執(zhí)行一致的安全策略
      

      保護云可能比在內(nèi)部部署網(wǎng)絡(luò)中更困難。在云中,企業(yè)缺乏對底層基礎(chǔ)設(shè)施的控制,這意味著更難以設(shè)計滿足其需求的網(wǎng)絡(luò)和部署安全設(shè)備。
      

      然而,盡管存在這些困難,但必須在組織的整個 IT 生態(tài)系統(tǒng)(包括本地和基于云的環(huán)境)中創(chuàng)建和實施一致的安全策略。在現(xiàn)代企業(yè)中,本地環(huán)境和云部署緊密相關(guān)。如果一家公司沒有在其整個環(huán)境中始終如一地實施安全措施,則攻擊者可以利用公司網(wǎng)絡(luò)一部分的安全漏洞進行初始訪問,然后利用其與本地或其他云環(huán)境的連接橫向移動并訪問其他公司 IT資產(chǎn)。
      

      #7。實現(xiàn)監(jiān)管要求的合規(guī)性
      

      大多數(shù)公司需要遵守至少一項或可能多項法規(guī)。近年來,PCI-DSS和 HIPAA 等現(xiàn)有法規(guī)隨著越來越多旨在保護某些類型的敏感數(shù)據(jù)的新要求(GDPR、CCPA、CMMC 等)而得到擴充。
      

      如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?-南華中天
      

      在大多數(shù)情況下,受這些法規(guī)保護的數(shù)據(jù)是在組織的基于云的基礎(chǔ)設(shè)施上存儲、處理或傳輸?shù)摹_@些云部署也在合規(guī)審計范圍內(nèi),必須滿足合規(guī)要求。
      

      通常,合規(guī)性要求將決定組織使用的云基礎(chǔ)設(shè)施的選擇,例如公共云或私有云。此外,公司必須確定并實施必要的安全控制措施來保護云端和本地的數(shù)據(jù)(加密、訪問控制等)。
      

      #8。部署集中身份管理
      

      擴展到云給組織的 IT 基礎(chǔ)架構(gòu)帶來了極大的復(fù)雜性。通常,公司采用多云基礎(chǔ)設(shè)施和來自不同供應(yīng)商的解決方案。企業(yè)還可以在不同的服務(wù)模式下部署云解決方案,例如 SaaS、PaaS 和 IaaS 服務(wù)。
      

      隨著這種額外的復(fù)雜性,需要在所有這些新服務(wù)中管理用戶的身份。集中身份管理對云安全至關(guān)重要,因為它允許公司確保正確配置和取消配置用戶帳戶,并根據(jù)需要更新權(quán)限。強制用戶對每項服務(wù)單獨進行身份驗證會降低可用性并增加過度權(quán)限被濫用的風(fēng)險。
      

      #9。保護基礎(chǔ)設(shè)施
      

      由于云服務(wù)提供商和云客戶之間的關(guān)系,云中的基礎(chǔ)設(shè)施安全性很復(fù)雜。正如云共享責(zé)任模型概述的那樣,云客戶根據(jù)所選的云服務(wù)模型(SaaS、PaaS、IaaS 等)對其云中的基礎(chǔ)架構(gòu)承擔(dān)不同程度的責(zé)任。
      

      也就是說,保護云中的基礎(chǔ)架構(gòu)對于保護構(gòu)建在其之上的服務(wù)至關(guān)重要。除了根據(jù)責(zé)任共擔(dān)模型管理其控制下的基礎(chǔ)設(shè)施級別外,公司還應(yīng)考慮保護網(wǎng)絡(luò)并選擇最適合其安全要求的云平臺。在某些情況下,由于能夠更好地控制對底層基礎(chǔ)設(shè)施的訪問,安全策略和監(jiān)管要求可能會強制使用私有云或混合云模型而不是公共云。
      

      如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?-南華中天
      

      #10。使用強大的網(wǎng)絡(luò)控制
      

      云基礎(chǔ)設(shè)施可直接從公共互聯(lián)網(wǎng)訪問,位于傳統(tǒng)網(wǎng)絡(luò)邊界之外。此外,基于云的服務(wù)通常會與其他云環(huán)境和本地系統(tǒng)進行通信。這使得公司更難限制對基于云的資源的訪問,并使強大的云網(wǎng)絡(luò)安全控制變得至關(guān)重要。
      

      應(yīng)根據(jù)各種云資源的用途、風(fēng)險級別和敏感性對云網(wǎng)絡(luò)進行分段。通過實施網(wǎng)絡(luò)分段,組織不僅能夠監(jiān)控、檢查和加強對南北向流量的安全控制,還可以對分段之間的東西向流量進行監(jiān)控、檢查和實施安全控制。這種更細(xì)粒度的可見性和安全實施對于零信任安全策略至關(guān)重要,并使公司能夠?qū)L(fēng)險和潛在入侵其網(wǎng)絡(luò)的行為區(qū)分開來。
      

      #11。保護工作負(fù)載
      

      公司越來越多地采用基于云的工作負(fù)載,以充分利用云的潛力和優(yōu)勢。無服務(wù)器和容器化應(yīng)用程序通常比傳統(tǒng)應(yīng)用程序更敏捷和可擴展,使它們更適合快速的 DevOps 開發(fā)周期。
      

      這些云工作負(fù)載具有獨特的安全需求,傳統(tǒng)的內(nèi)置云安全解決方案可能無法滿足這些需求。作為云安全戰(zhàn)略的一部分,公司必須部署應(yīng)用程序安全解決方案,以提供其云工作負(fù)載所需的精細(xì)可見性和安全性。
      

      #12。防止警覺疲勞
      

      大多數(shù)企業(yè)安全運營中心 (SOC)都被來自其安全解決方案陣列的警報淹沒。平均每個企業(yè)每天收到 10,000 個警報,這遠(yuǎn)遠(yuǎn)超過 SOC 團隊進行分類、調(diào)查和響應(yīng)的能力。因此,真正的威脅在噪音中消失了,其他重要的工作也沒有完成,因為 SOC 分析師將時間浪費在處理誤報檢測上。
      

      隨著遷移到云端,企業(yè)安全基礎(chǔ)設(shè)施可能會變得更加復(fù)雜,導(dǎo)致警報量進一步增加。確保公司能夠保持安全可見性并保護自己免受網(wǎng)絡(luò)威脅需要刻意努力來管理警報量。通過選擇使用人工智能和預(yù)防性控制來最大程度減少誤報警報的集成安全解決方案,組織可以確保警報量保持可管理,并且分析師的工作集中在可以為企業(yè)提供最大利益的地方。
      

      如何將云部署的網(wǎng)絡(luò)安全風(fēng)險降至最低?-南華中天
      

      #13。利用云智能、取證和威脅搜尋
      

      大多數(shù)云安全控制都是保護性和檢測性的,旨在幫助防止威脅或在威脅進入網(wǎng)絡(luò)后對其進行檢測。然而,這些控制措施提供的保護并不完善,還需要通過更主動的安全措施加以增強。
      

      響應(yīng)式和主動式云安全都需要訪問有關(guān)威脅的高質(zhì)量信息以及實時響應(yīng)這些威脅的能力。因此,威脅情報源和自動化是云安全策略的重要組成部分。自動威脅檢測和響應(yīng)系統(tǒng)可以獲取日志數(shù)據(jù)和威脅情報,并采取措施預(yù)防、補救或隔離對組織的潛在威脅。
      

      威脅情報和自動化還支持主動和人為驅(qū)動的安全工作,例如威脅搜尋和取證調(diào)查。自動收集和處理來自整個 IT 環(huán)境的數(shù)據(jù)的能力為威脅獵手和調(diào)查人員提供了有價值的背景信息,并支持更快速、可擴展和可持續(xù)的威脅檢測和響應(yīng)。