Poprawa praktyk bezpieczeństwa w erze chmury (03.29.24)

Przetwarzanie w chmurze kwitnie, a wykorzystanie usług opartych na chmurze znacznie wzrosło w ostatnich latach. Prawie wszystkie małe, średnie i korporacyjne organizacje mają w trakcie realizacji jakąś formę inicjatywy transformacji cyfrowej lub strategii przetwarzania w chmurze. . Bezpieczeństwo jest głównym elementem branży, a ochrona poufnych danych i poufnych informacji jest najwyższym priorytetem.

Dostawcy usług w chmurze działają z wewnętrznie bezpiecznymi platformami, które są zaprojektowane od podstaw w celu ochrony aktywów biznesowych i kontroli dostęp w logiczny, ale bezpieczny sposób. Na szczęście, wybierając dedykowanego partnera w chmurze, firmy mogą zdecydować się na bezpośrednie podłączenie do istniejącej platformy bezpieczeństwa jako usługi, która została już zaprojektowana tak, aby przewyższać najlepsze praktyki branżowe i która może złagodzić złożoność techniczną i ogromne koszty wewnętrzne, podejście do majsterkowania.

Zabezpieczenie chmury to wspólna odpowiedzialność dostawcy, konsumenta i wszystkich odpowiednich stron trzecich. Nie ma wątpliwości, że podejmowanie decyzji dotyczących bezpieczeństwa ma kluczowe znaczenie w erze chmury, wszystkie platformy oparte na chmurze muszą sumiennie korzystać z usług infrastruktury chmury. Nadal istnieje bardzo realna szansa, że ​​niczego niepodejrzewający administrator systemu mógł źle skonfigurować serwer w chmurze, potencjalnie pozostawiając drzwi szeroko otwarte dla całego systemu.

Analiza w chmurze

Ważne jest, aby wszystkie systemy komputerowe, zarówno w chmurze, natywny lub systemy przechodzące do dostawcy chmury, pełne bezpieczeństwo dzięki przeglądowi staranności. . Ten proces ma na celu zrozumienie, w jaki sposób poufne dane są udostępniane i dostępne. Dokładna wiedza o tym, jakie dane posiadasz, jak je przetwarzasz i przekształcasz oraz gdzie te dane są przechowywane lub przesyłane, jest wymaganym komponentem przeglądu bezpieczeństwa.

Analiza jest trudną i czasochłonną czynnością, ale bardzo ważne jest zidentyfikowanie danych wrażliwych lub regulowanych i podjęcie odpowiednich działań w celu ich ochrony. Wielu dostawców dysponuje narzędziami opartymi na agentach, które mogą wysyłać dane konfiguracyjne i konfiguracyjne systemu bezpośrednio do przeglądu. Konfiguracja tego zautomatyzowanego procesu zajmuje kilka minut, ale może pomóc w stworzeniu schematu istniejącego środowiska.

Zebrane informacje pomagają w kontroli istniejącej lub proponowanej platformy w chmurze i są doskonałym narzędziem do identyfikacji i zapobiegania serwerowi błędna konfiguracja. Może również wykryć wszelkie złośliwe lub nieoczekiwane zachowanie występujące w sieci. Przykłady obejmują użytkowników udostępniających dane uwierzytelniające, usługi systemowe działające na koncie użytkownika Active Directory, zasady dotyczące słabych haseł lub słabe uprawnienia do plików i folderów.

Celem jest naprawienie problemów przed migracją do chmury. To właśnie na tym wczesnym etapie szkolenie pracowników powinno już być w toku. Udostępnianie informacji i oferowanie szkoleń na temat przyszłych aspiracji strategii chmury to świetny początek. Szkolenie na temat wybranego partnera, użytkownika i etykiety na komputerze oraz szczegółowe informacje na temat najlepszych praktyk w zakresie bezpieczeństwa, które pomogą zapobiegać złośliwemu oprogramowaniu, wirusom i oprogramowaniu ransomware.

Ochrona usług w chmurze

Musi być dużo pracy, aby bezpiecznie zaprojektować platforma chmurowa organizacji. Gdy obciążenia produkcyjne i systemy zaczną działać w chmurze, należy ponownie sprawdzić architekturę zabezpieczeń, aby upewnić się, że jest odpowiednia do celu. Większość zabezpieczeń warstwy sprzętowej, takich jak szyfrowanie, segmentacja sieci i zapory, będzie już na miejscu, a procesy zostaną precyzyjnie dostrojone przez dostawcę.

Należy utworzyć i zweryfikować kilka zasad bezpieczeństwa. Obejmują one ważne aspekty dotyczące kontroli danych. Niemal nieograniczona pojemność chmury jest ogromnym zainteresowaniem dla firm. Ogromne znaczenie ma jednak rodzaj przechowywania i stosowane kontrole. Zasady dotyczące tego, jakie dane są przechowywane i w jakiej lokalizacji? Czy dane wrażliwe są dozwolone za granicą, czy muszą pozostać na lądzie ze względu na zgodność?

Zasobniki na dane muszą mieć kontrolę audytu dotyczącą tworzenia i usuwania danych. Należy sprawdzić kontrolę dostępu, aby upewnić się, że autoryzowani użytkownicy mają odpowiednie uprawnienia do manipulowania plikami. Wprowadzane są kontrole w celu monitorowania okresu przechowywania i usuwania danych, niektóre firmy decydują się na przechowywanie danych przez okres do siedmiu lat, po tym okresie organizacja jest zobowiązana do usunięcia danych. Przechowywanie w chmurze może zautomatyzować większość tego bólu głowy.

Integralność danych ma kluczowe znaczenie w erze chmury. Zdecydowanie zaleca się, aby wszystkie dane w chmurze były szyfrowane, najlepiej przy użyciu własnych kluczy szyfrowania. Należy wprowadzić środki zapobiegające przenoszeniu danych na urządzenia zewnętrzne, takie jak zrzut danych na pendrive USB. Wiele pakietów bezpieczeństwa oferuje tę funkcjonalność od razu po zainstalowaniu.

Kolejną ważną praktyką bezpieczeństwa jest ciągłe monitorowanie pod kątem luk w zabezpieczeniach w całym środowisku. Jest to kluczowe zadanie, które może wymagać wykonania przez zespół specjalistów ds. bezpieczeństwa. Platformy bezpieczeństwa służą do skanowania zewnętrznych publicznych adresów IP z publicznego Internetu, a także specjaliści SecOp skanują wewnętrzne sieci i systemy pod kątem słabości.

Działanie to powoduje powstanie dużej liczby działań wymaganych do naprawienia luki. Typowe przykłady obejmują słabości znalezione w systemie operacyjnym i aplikacjach, słabe szyfry bezpieczeństwa używane w witrynach internetowych oraz używane słabe lub domyślne hasła. Skanowania są również przeprowadzane w oparciu o obszerną bazę danych znanych luk w zabezpieczeniach. Zgłaszana jest każda luka w zabezpieczeniach, która obejmuje powagę i prawdopodobne ryzyko związane z exploitem.

Uwierzytelnianie wieloskładnikowe (MFA) jest oczekiwanym standardem zabezpieczania dostępu do usług w chmurze. Najpopularniejszą metodą uzyskania dostępu jest podanie nazwy użytkownika, osobistego kodu PIN i zabezpieczonego kodu z urządzenia, zwykle telefonu komórkowego. Te zabezpieczenia zwykle znajdują się w warstwie sieciowej, takiej jak uruchamianie tunelu VPN do docelowego serwera VPS w chmurze, ale mogą być używane jako dodatkowa warstwa zabezpieczeń witryn internetowych i wrażliwych serwerów produkcyjnych.

Wiele organizacji idzie o krok dalej i udostępnia cały ruch sieciowy za pośrednictwem usługi przesiewowej, która sprawdza pakiety wchodzące lub wychodzące z sieci. Takie podejście poprawia możliwości rejestrowania i śledzenia, ale bardzo łatwo jest również umieścić na czarnej liście nieautoryzowane adresy.

SecOps

Po osadzeniu systemów komputerowych organizacji w chmurze istnieje wiele codziennych wymagań dotyczących działalności operacyjnej . Procesy te mają na celu poprawę najlepszych praktyk bezpieczeństwa w erze chmury. Ciągłe aktualizowanie i zmienianie zasad dostępu do chmury pomaga firmom utrudnić dostęp, pomagając zagwarantować zatwierdzonym użytkownikom dostęp tylko do systemu.

Zarządzanie informacjami o zabezpieczeniach wymaga, aby procedury techniczne były aktualne, a udokumentowane procedury operacyjne są dostępne dla platformy chmurowej. Służy to kilku celom. Pomaga w transferze wiedzy i szkoleniu pracowników, a także zapewnia organizacji możliwości zapewnienia ciągłości działania. Najlepsze praktyki w zakresie bezpieczeństwa wskazują, że procedury ponownego uruchomienia systemu i odzyskiwania danych są dostępne w przypadku awarii systemu.

Dokumentacja musi wyraźnie określać, w jaki sposób organizacja przetwarza i obsługuje informacje, określa zasady tworzenia kopii zapasowych, uwzględnia wymagania dotyczące harmonogramu (start /czas zakończenia zadań) i zawierać instrukcje dotyczące obsługi błędów lub innych wyjątkowych warunków, a także sposobu przetwarzania i bezpiecznego usuwania informacji poufnych.

Praktyka bezpieczeństwa SecOps obejmuje proces zarządzania zmianami. Obejmuje to rejestrowanie znaczących zmian, planowanie i testowanie zmian, w tym oceny wpływu. Wszystkie zmiany muszą zostać zatwierdzone przez panel, który obejmuje funkcjonariuszy ds. bezpieczeństwa, a wszystkie odpowiednie osoby są na bieżąco informowane.

Inne ważne praktyki bezpieczeństwa obejmują planowanie zarządzania wydajnością oraz oddzielenie obiektów rozwojowych, testowych i produkcyjnych. Wdrażanie kontroli przed złośliwym oprogramowaniem i zapewnianie kontroli antywirusowych. Kopie zapasowe systemu i kopie zapasowe danych są wykonywane, a informacje są utrzymywane zgodnie z lokalnymi przepisami (RODO lub CCPA).

Szczegółowe rejestrowanie i audyt usług są bardzo pożądane. Zapisy mogą być gromadzone i utrzymywane na platformie SIEM. Obejmuje to włączenie odpowiednich poziomów rejestrowania na serwerach WWW, serwerach aplikacji i produktach bazodanowych. Inne obszary obejmują monitorowanie uprzywilejowanego dostępu, nieautoryzowanych prób dostępu, alertów systemowych i wszelkich zmian wprowadzonych w ustawieniach zabezpieczeń systemu.


Wideo YouTube.: Poprawa praktyk bezpieczeństwa w erze chmury

03, 2024