云安全策略的五点建议
云安全策略的五点建议
2021-04-08
云安全策略的五点建议
尽管如此,仍有很多机构在考虑“云优先”战略的相关规定,包括美国联邦政府。对于寻求云安全指导的读者,我们将向您介绍本次研讨会专家给出的五条建议,即如何在与AWS或任何类似服务提供商合作之前将安全风险降至最低。
1、慢慢来,不要急。充分利用免费列表、风险评估方法和相关可用信息,充分了解云计算的安全性。马萨诸塞州伯灵顿软件即服务安全提供商Veracode的联合创始人兼首席技术官克里斯·威索帕尔(Chris Wysopal)建议,企业应该从云安全联盟开始。“云计算是一种新的基础设施,企业必须知道如何安全地使用它。”他说。“企业不能像所有传统安全技术一样使用云计算,所以他们必须就如何正确使用云计算进行大量的自我教育。”
2.定制你的合同。通过提前考虑如何制定服务协议,我们可以提前做好计划。例如,您的云服务提供商将如何应对分布式拒绝服务(DDoS)攻击?很多时候,这个问题被忽略了。马萨诸塞州韦克菲尔德市艾司隆营销公司的首席信息安全官克里斯·雷(Chris Ray)说:“确保你的合同中规定了你公司的具体需求。”
3.将企业的工作日志集中在一个地方。专家指出,让多个网络主机相互交互的企业将所有工作日志收集在一个中心位置是最佳实践方案。"最重要的第一条规则是始终确保对数据信息的控制."马萨诸塞州沃尔瑟姆的终端和服务器安全提供商Bit9的首席安全官尼克·莱维(Nick Levay)表示。
4.保护主机。花更多的时间关注企业主机的安全措施,而不是网络,因为“企业不太可能尽可能多地控制网络。”Wysopal说。他建议使用基于主机的入侵检测系统,如威胁堆栈或绊网,“作为了解主机级别发生了什么的一种方法。”
5.求服务验证。"总是通过寻找第三方来保证你的服务提供商."Wysopal说。一种方法是问有没有SOC 3(服务组织控制)报表或者SOC 2报表。本文件的报告来自重视企业的安全性、可用性、完整性、处理流程和内部保密性或隐私控制的第三方审计师。SOC 3和SOC 2的报告涵盖的内容相同,但SOC 2的报告更详细。
为什么要相信AWS
当Wysopal谈到AWS时,他说:“AWS可以让企业感觉像自己的内部数据中心一样安全。”他对这一评论会受到质疑并不感到惊讶。所以他提出了为什么信任云服务提供商的问题,他开始从企业中的人的因素说起这个问题。
“我们与AWS的安全团队建立了良好的关系,我对他们非常有信心。”他说。谈到AWS,Wysopal强调其安全运营中心和网络运营中心的安全性,它有一个集中监控安全问题和网络性能的中心。这种措施包括“访问任何基础设施”,任何人访问信息都需要在任何时候得到严格授权,任何时候都有人保留日志记录。但许多主机服务提供商没有,他说。
Wysopal建议,坚定的核心云怀疑论者知道AWS的联邦风险和授权管理计划(FEDRRAMP)。兼容FedRAMP的云服务提供商,比如AWS,必须首先满足联邦政府制定的保障措施标准,才能负责托管政府数据。
“这种费用比较贵。”Wysopal说,“但是您仍然可以享受灵活基础设施的好处。”
分布式拒绝服务攻击呈上升趋势
如果你看到DDoS攻击呈上升趋势,使带宽或其他系统资源不可用,你不是一个人在战斗。DDoS攻击增加的部分原因是你的企业中相关工具包的增加,使得DDoS攻击更加容易。加州圣克拉拉网络控制提供商Infoblox的首席基础设施官刘说。“如果你还有足够的比特币,你可以在网上完全匿名地订购一个大型DDoS攻击一个网站。”
正是由于僵尸网络基础设施的健壮性(和增长性),病毒或垃圾邮件是由毫无防备的计算机发送的,太多递归域名服务器和太多脆弱的网络时间协议服务器同步打开,很容易聚集大量流量。他说。
下一代防火墙
当Bit9的Levay提到Palo Alto Networks时,他说该公司也是下一代防火墙厂商。“关于新一代防火墙有很多定义,其中一个就是大应用。”他说。在过去,网络流量的可视化几乎不存在。"全部是端口80和端口443 . "莱瓦说,它指的是默认的HTTP和HTTPS端口。
另一方面,帕洛阿尔托认为,“不同的网络应用程序可以被视为不同位置的独立应用程序。”所以可以区分,比如从脸书流量到网银网站流量。
"帕洛阿尔托的分析甚至比这更深入."他说,他们专门识别脸书的浏览、聊天或图片上传流量。因此,他的公司可以有效地阻止员工在工作时将他们最新的假期照片上传到社交网络上,他说。
未来的多因素认证
Gmail可以为其数千万用户提供双因素认证。"这可以很容易地扩大和大规模采用. "Wysopal说。但这还不够。
据Levay说,那些大企业不这么认为。“高端认证基于他们所掌握的知识,他们已经知道用户如何访问它。”他说。这可能意味着掌握个人识别码、网站密码和设备的IP地址。“这个很有效,但是不容易做到。”莱维说。
而且可能不实用。“每个公司都有风险承受能力。”他补充说,他的公司不会进行多因素身份验证。“我的企业价值观是每个员工都能快速完成工作,因此相关认证必须在他们接受的范围内进行。”

展开