在數(shù)據(jù)安全和隱私方面，您是否在努力跟上疫情的發(fā)展?你不是一個(gè)人。就在一年多以前，Covid-19讓全球無(wú)數(shù)的企業(yè)陷入了瘋狂的爭(zhēng)奪之中，他們?cè)噲D實(shí)施混合解決方案，以保持正常運(yùn)營(yíng)的某些表象。我們終于在Covid-19隧道的盡頭看到了曙光，但隨著支持遠(yuǎn)程工作成為許多公司的必要條件，人們的工作方式似乎發(fā)生了永久性的變化。雖然許多人認(rèn)為工作/生活的靈活性和不必每天出差上班的時(shí)間效率是一種幸事，但這種轉(zhuǎn)變并非一目了然。

云促進(jìn)的混合工作模型的問(wèn)題是，它們需要主動(dòng)和周到的實(shí)現(xiàn)。理解云中的安全特性是如何工作并正確實(shí)現(xiàn)它們是非常重要的。人們不能簡(jiǎn)單地把數(shù)據(jù)放到公共云存儲(chǔ)中，然后走向山丘。如果沒(méi)有適當(dāng)?shù)陌踩胧┖惋L(fēng)險(xiǎn)評(píng)估，更不用說(shuō)定期的基礎(chǔ)設(shè)施維護(hù)，網(wǎng)絡(luò)威脅會(huì)對(duì)公司和客戶的數(shù)據(jù)、員工憑據(jù)和隱私造成真正的風(fēng)險(xiǎn)。

不管您的團(tuán)隊(duì)是在現(xiàn)場(chǎng)工作還是遠(yuǎn)程工作，也不管您主要處理內(nèi)部數(shù)據(jù)還是客戶數(shù)據(jù)，安全考慮都是一樣的。這些考慮因素中的關(guān)鍵是公共云的基本責(zé)任劃分，云提供商負(fù)責(zé)云的安全，客戶負(fù)責(zé)云的安全。

不要錯(cuò)誤地認(rèn)為你的云提供商有責(zé)任確保你的數(shù)據(jù)是安全的。云提供商的安全責(zé)任最終是確保其數(shù)據(jù)中心不受未經(jīng)授權(quán)的訪問(wèn)，服務(wù)器、存儲(chǔ)、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)硬件不受入侵，并且他們提供的任何托管服務(wù)都得到修補(bǔ)和維護(hù)。除此之外，作為云客戶，您有責(zé)任確保正確使用他們提供的工具來(lái)保證數(shù)據(jù)和應(yīng)用程序的安全。

讓我們來(lái)研究一些典型企業(yè)應(yīng)該考慮的優(yōu)秀云安全措施。

身份和訪問(wèn)管理工具

如果您想保護(hù)您的數(shù)據(jù)，同時(shí)讓您的員工可以訪問(wèn)它，請(qǐng)嘗試一種孤立的方法。在該模型中，身份和訪問(wèn)管理(IAM)用戶權(quán)限和整體組織帳戶結(jié)構(gòu)是基于作業(yè)功能進(jìn)行管理的。這種劃分利用了最小特權(quán)原則，用戶只能訪問(wèn)執(zhí)行其工作所需的資源和操作，僅此而已。這樣，如果一個(gè)壞的參與者滲透到您的基礎(chǔ)設(shè)施或憑據(jù)被破壞，威脅將被控制在一個(gè)有限的范圍內(nèi)。

加密和防火墻

盡可能地加密傳輸中和靜止的數(shù)據(jù)將為您的數(shù)據(jù)提供額外的安全層。您可以通過(guò)TLS/SSL加密通信和服務(wù)器端加密來(lái)實(shí)現(xiàn)這一點(diǎn)，服務(wù)器端加密由云本地工具(如AWS中的密鑰管理服務(wù))提供支持，或者通過(guò)實(shí)現(xiàn)客戶端加密來(lái)實(shí)現(xiàn)。

確保使用防火墻和網(wǎng)絡(luò)ACL功能來(lái)控制網(wǎng)絡(luò)和虛擬專用網(wǎng)絡(luò)連接中的通信，以幫助遠(yuǎn)程員工安全地訪問(wèn)公司的資源，無(wú)論是在家中還是在公共WiFi上。

配置管理

使用云配置管理工具來(lái)維護(hù)和監(jiān)視配置的狀態(tài)，通知更改，并幫助將狀態(tài)恢復(fù)到應(yīng)該的狀態(tài)。

密碼策略

確保您具有健壯的密碼策略，這些策略要求復(fù)雜的密碼在特定時(shí)間段后過(guò)期，并且不能重復(fù)使用。需要多因素身份驗(yàn)證(MFA)，這樣電子郵件地址和泄露的密碼就不足以訪問(wèn)云中的員工帳戶。

私有云和混合云

假設(shè)您的數(shù)據(jù)過(guò)于敏感，無(wú)法存儲(chǔ)在外部，例如財(cái)務(wù)或健康記錄。在這種情況下，您可以將其保存在本地“私有云”基礎(chǔ)設(shè)施中，并在該數(shù)據(jù)存儲(chǔ)和您使用的其他云服務(wù)之間啟用加密通信。這種架構(gòu)通常被稱為“混合云”

威脅檢測(cè)、監(jiān)視和警報(bào)

投資于威脅檢測(cè)解決方案是個(gè)好主意。假設(shè)有人試圖滲透你的數(shù)字防御系統(tǒng)，例如，試圖暴力破解密碼或使用你已經(jīng)更改的舊密碼。在這種情況下，您希望盡早發(fā)現(xiàn)并應(yīng)對(duì)威脅。AWSGuardDuty是一項(xiàng)服務(wù)，它通過(guò)持續(xù)監(jiān)控您的環(huán)境中是否存在異?；顒?dòng)和對(duì)您的帳戶的威脅來(lái)提供這方面的幫助。

日志聚合與分析

為了協(xié)助審核和分析事件，必須將應(yīng)用程序、網(wǎng)絡(luò)和服務(wù)器日志存儲(chǔ)在組織中任何人都不能篡改的中心位置，并使用SumoLogic之類的工具來(lái)分析數(shù)據(jù)。

定期修補(bǔ)和維護(hù)

當(dāng)然，及時(shí)更新補(bǔ)丁以最大限度地降低服務(wù)器軟件受到新威脅的風(fēng)險(xiǎn)是一項(xiàng)必不可少的云安全措施。配置自動(dòng)漏洞掃描也是如此。與您的IT提供商或內(nèi)部技術(shù)人員合作，定期執(zhí)行全面的安全和系統(tǒng)范圍的審核，這對(duì)于識(shí)別任何過(guò)時(shí)的進(jìn)程、泄露的密碼和其他安全風(fēng)險(xiǎn)非常方便。

冰山一角

我們只是粗略地了解了保持云基礎(chǔ)設(shè)施安全所需的內(nèi)容，但這些技巧是一個(gè)很好的開(kāi)始。您可以在支持網(wǎng)站上找到所有主要云提供商(如MicrosoftAzure、Google云平臺(tái)和AmazonWeb服務(wù))的安全白皮書和其他資源。讓組織中的關(guān)鍵人員清楚地了解您對(duì)云環(huán)境安全的責(zé)任從何處開(kāi)始和結(jié)束。您將通過(guò)全面、面向未來(lái)和主動(dòng)的云安全方法正面面對(duì)這些風(fēng)險(xiǎn)。你會(huì)享受心靈的寧?kù)o，你的員工和客戶也會(huì)如此。