1�、創(chuàng)建依賴關(guān)系圖
依賴關(guān)系圖可以映射出多個組件相互依賴關(guān)系。它有點像數(shù)字網(wǎng)絡(luò)的家譜��。由于依賴關(guān)系圖包括數(shù)字網(wǎng)絡(luò)的每個組件及其與其他組件的關(guān)系��,因此可以輕松地在多個階段查看依賴關(guān)系以識別意外的不安全性����。
除了特定組件中的直接依賴關(guān)系之外,依賴關(guān)系也可以是傳遞的�����,即使一個依賴關(guān)系不影響自身但影響您的另一個依賴關(guān)系,那么企業(yè)仍然依賴它�。最好消除不必要的依賴,因為它可以減少安全攻擊的表面規(guī)模����。創(chuàng)建依賴關(guān)系圖有助于理解和指定各個階段的依賴關(guān)系。隨后���,可以制定減輕這些依賴關(guān)系的步驟����。
2�����、上傳云端前的數(shù)據(jù)加密
保護數(shù)據(jù)的最簡單方法之一是在將數(shù)據(jù)上傳到云之前對其進行加密�����。任何入侵者都必須先解密數(shù)據(jù)�,然后才能訪問敏感信息。數(shù)據(jù)加密十分簡單�,因為企業(yè)只需下載加密軟件并在上傳文件之前為自己的文件創(chuàng)建加密密鑰。
當(dāng)公司將他們的數(shù)據(jù)上傳到云上時,如果加密這些數(shù)據(jù)的密鑰有一點點漏洞���,攻擊者就可以利用它來訪問公司的整個數(shù)據(jù)庫��。因此��,在加密數(shù)據(jù)時���,必須確保只有少數(shù)受信任的員工可以完全控制加密密鑰,并且沒有第三方提供商可以訪問它��。
3���、運行安全評估
運行安全評估有助于企業(yè)測試其整體安全狀況并識別開發(fā)環(huán)境中的漏洞。這可以通過運行安全審計來評估系統(tǒng)配置�、軟件和用戶實踐的安全性來完成。它通過衡量現(xiàn)有安全實踐來幫助識別安全漏洞并應(yīng)對威脅����。它還有助于公司遵守外部監(jiān)管政策。
4��、在云端記錄資產(chǎn)
通過云計算網(wǎng)絡(luò)運作的企業(yè)需要記錄其上傳到云端的資產(chǎn)��。他們還應(yīng)該了解這些資產(chǎn)當(dāng)前的安全性。由于企業(yè)大規(guī)模上傳數(shù)據(jù)�����,他們需要注意哪些需要記錄�����,哪些不需要記錄����。需要記錄的一些重要資源是:
在云資源上運行的數(shù)據(jù)庫和應(yīng)用程序
用戶訪問關(guān)鍵信息和帳戶權(quán)限
連接到云帳戶的公共 IP 地址
密鑰及其特性
資產(chǎn)和資源之間的聯(lián)系,以識別易受攻擊的路徑
5��、建立備份和恢復(fù)計劃
有一個常見的誤解是�,數(shù)據(jù)存儲在云中就可以自動恢復(fù),但這不是真的�����。存儲的數(shù)據(jù)隨時可能被破壞���。除此之外�,錯誤的軟件更新和bug也可能導(dǎo)致數(shù)據(jù)丟失���。大多數(shù)公司在本地���、云端或云災(zāi)難恢復(fù) (DR) 中備份他們的數(shù)據(jù)——這是一種存儲和保留數(shù)據(jù)副本的備份策略�����。明智的做法是使用云作為備份存儲庫而不是數(shù)據(jù)中心�,大多數(shù)云都有內(nèi)置的經(jīng)濟高效�、可靠、強大的數(shù)據(jù)恢復(fù)解決方案�����。
此外����,現(xiàn)在提供“備份即服務(wù)”的供應(yīng)商已經(jīng)出現(xiàn)。備份即服務(wù)有助于在云中安全備份企業(yè)的數(shù)據(jù)�,并且無需每天管理數(shù)據(jù)保護����。
6、反復(fù)測試
云安全實踐并不僅僅停留在設(shè)置云基礎(chǔ)設(shè)施上��。需要進行多輪有力的測試來衡量這個基礎(chǔ)設(shè)施的有效性和安全性。在各種基于云的測試中��,最重要的兩種是回歸測試和滲透測試�。
端到端回歸測試有助于確定軟件升級是否對設(shè)備平臺池中的軟件現(xiàn)有功能產(chǎn)生負(fù)面影響。另一方面����,滲透測試是一種模擬網(wǎng)絡(luò)攻擊,有助于發(fā)現(xiàn)計算機網(wǎng)絡(luò)中可利用的不安全因素����。
測試的另一個重要方面是跟蹤新出現(xiàn)的威脅。這可以通過MITRE ATT&CK 框架來完成��,該框架是一個免費的���、全球可訪問的框架�����,可提供最新的網(wǎng)絡(luò)威脅信息�����。通過這個框架���,企業(yè)可以評估他們的安全措施并加強他們的網(wǎng)絡(luò)安全戰(zhàn)略���。
該框架的評估標(biāo)準(zhǔn)因每個組織而異,因為它是根據(jù)其網(wǎng)絡(luò)安全戰(zhàn)略制定的�。該框架的最佳特性是,除了指示威脅外���,它還可以幫助公司做出有根據(jù)的猜測�,以檢測和跟蹤攻擊者的行為��。
7���、進行持續(xù)監(jiān)控
保持對云環(huán)境的持續(xù)監(jiān)控對于最大限度地減少安全漏洞非常重要��,因為它有助于快速檢測合規(guī)性問題�����、進行配置更改和其他數(shù)據(jù)更改�。這種檢測是實時完成的�,因此為企業(yè)提供了關(guān)鍵信息��,使其能夠在攻擊造成更大損害之前遏制攻擊。實施持續(xù)營銷時要牢記以下幾點:
保留最新的云資產(chǎn)和資源清單�����。由于云計算網(wǎng)絡(luò)擁有大量資源����,因此很難對它們進行監(jiān)視。公司需要確保他們擁有所有資源的清單��,并且在整個云資產(chǎn)中存在關(guān)于查詢和其他信息的留存記錄����。
遵守最佳安全實踐以避免數(shù)據(jù)泄露,這可以幫助企業(yè)提前降低相關(guān)風(fēng)險�����。
8���、鎖定 CI/CD 管道
在制定云數(shù)據(jù)安全策略時���,重點關(guān)注的領(lǐng)域是 CI/CD 管道。主要有兩個原因:首先����,CI/CD 管道是一個廣泛的系統(tǒng)�����,涉及從代碼到云的多個步驟�����。其次��,CI/CD 管道是所有應(yīng)用程序的啟動點���。
一個好的CI/CD 安全解決方案應(yīng)該對 CI/CD 管道的每個步驟都有端到端的可見性。并且需要具有分析 DevOps 管道的每個組件并確保它們端到端安全的方法和能力�����。
該方案還要幫助執(zhí)行最小權(quán)限原則��,允許員工訪問執(zhí)行手頭任務(wù)所必需的資源��。該安全解決方案可以識別和消除來自開源和第三方插件的威脅��。
隨著業(yè)務(wù)的數(shù)字化,向完整的云計算系統(tǒng)的轉(zhuǎn)變是不可避免的�����。由于如今攻擊企業(yè)的唯一方法是通過他們的虛擬系統(tǒng)�,因此保護云數(shù)據(jù)和供應(yīng)鏈?zhǔn)钱?dāng)務(wù)之急��。了解和使用文中提到的八個基本步驟是減少軟件供應(yīng)鏈?zhǔn)艿焦舻闹匾绞健?/p>
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
