|
正確配置資源以減少云安全威脅
我們都知道���,亞馬遜S3數(shù)據(jù)泄露事件曾占據(jù)頭條新聞���,但導(dǎo)致該數(shù)據(jù)泄露的錯(cuò)誤配置安全控制并非亞馬遜獨(dú)有的問(wèn)題����。事實(shí)上��,錯(cuò)誤配置可能給所有公共云平臺(tái)帶來(lái)風(fēng)險(xiǎn)�����,這意味著企業(yè)應(yīng)該小心防范�。
其中最大的云安全威脅來(lái)自對(duì)云訪問(wèn)控制和權(quán)限的不正確設(shè)置或配置��。451 Research分析師Fernando Montenegro表示:“第一個(gè)問(wèn)題是沒(méi)有正確保護(hù)訪問(wèn)憑證��?���!崩纾貏e是對(duì)于管理員,通常傾向使用不太安全的身份驗(yàn)證方法��。與內(nèi)部數(shù)據(jù)中心相比����,在云環(huán)境中,缺乏多因素身份驗(yàn)證(MFA)會(huì)使風(fēng)險(xiǎn)加劇�。如果管理員在傳統(tǒng)環(huán)境中使用弱強(qiáng)度密碼,攻擊者需要進(jìn)入數(shù)據(jù)中心才能使用它����。但在云端,攻擊者可實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)�。
Montenegro稱:“在云中未能使用多因素身份驗(yàn)證的后果是,如果有人獲取你的root賬號(hào)����,那么可獲得無(wú)限訪問(wèn)。他們可創(chuàng)建資源和新賬戶����,這是非常嚴(yán)重的問(wèn)題”。
共享并不安全
為避免云安全威脅���,我們最好回到基礎(chǔ)層面�����。Gartner公司分析師Jay Heiser表示�����,例如���,企業(yè)應(yīng)該對(duì)文件共享特別謹(jǐn)慎���,這通常很容易被訪問(wèn)。他說(shuō)��,大多數(shù)組織使用大量的SaaS應(yīng)用程序�,并且,通常不知道哪些支持共享���,因?yàn)檫@時(shí)常是臨時(shí)決策�����。
這就是現(xiàn)在云訪問(wèn)安全代理(CASB,例如Skyhigh和Bitglass的代理)在企業(yè)中發(fā)揮重要作用的原因���。 Heiser說(shuō)�,CASB已經(jīng)變得很像防火墻,因?yàn)樗鼈儽灰暈榛A(chǔ)保護(hù)工具����。
他指出:“如果企業(yè)想要控制文件共享,CASB工具是最有效的方法��?�!?
企業(yè)容易忽略的另一個(gè)風(fēng)險(xiǎn)涉及共享應(yīng)用程序開(kāi)發(fā)代碼?�,F(xiàn)在常見(jiàn)做法是將代碼放在共享站點(diǎn)���,例如GitHub����,但有時(shí)這些代碼可能包含訪問(wèn)憑據(jù)或其他敏感信息�����。
Montenegro稱:“如果有人下載��,他們就可獲得你的秘密���。開(kāi)發(fā)人員可能會(huì)無(wú)意中摧毀你的基礎(chǔ)設(shè)施���?����!?
了解你的責(zé)任
為了最大限度地降低云安全威脅����,企業(yè)IT團(tuán)隊(duì)首先需要知道其供應(yīng)商的責(zé)任以及他們自己的責(zé)任���。換句話說(shuō)����,他們需要熟悉其提供商的共同責(zé)任模型�。
然而,企業(yè)的責(zé)任級(jí)別因云模型而異:SaaS�����、PaaS或IaaS�����。Enterprise Management Associates公司管理研究主管David Monahan表示����,每種不同模型都會(huì)給客戶帶來(lái)額外的配置和安全負(fù)擔(dān)。
想要了解有關(guān)SaaS����、PaaS與IaaS部署中用戶與提供商職責(zé)的更多信息,請(qǐng)查看此簡(jiǎn)短視頻����。
遵循提供商最佳做法
避免云安全威脅以及導(dǎo)致錯(cuò)誤配置的另一個(gè)方法是,遵循提供商的建議和最佳做法�����。
Montenegro稱:“對(duì)于亞馬遜數(shù)據(jù)泄露事故����,我們會(huì)談?wù)揂WS S3存儲(chǔ)桶的問(wèn)題,但其實(shí)這里也涉及人們不遵循提供商建議�。”
所有主要云提供商都提供安全部署其資源的指南和文檔�,但用戶并不總是遵循。例如�,AWS已經(jīng)推送最佳做法����,例如不要對(duì)項(xiàng)目使用root帳戶以及啟用雙因素身份驗(yàn)證��,但是當(dāng)企業(yè)優(yōu)先考慮速度而非安全性時(shí)����,他們通常會(huì)忽略這些建議。因此����,請(qǐng)務(wù)必徹底檢查云提供商的安全最佳實(shí)踐,并盡可能多地應(yīng)用它們�。
Heiser稱:“安全通常是能力問(wèn)題,如果企業(yè)不知道他們?cè)谧鍪裁?���,他們往往?huì)做錯(cuò)事?����!?
|
