Улучшение методов обеспечения безопасности в эпоху облачных вычислений

Облачные вычисления процветают, и в последние годы значительно выросло использование облачных сервисов. Почти все малые, средние и корпоративные организации имеют ту или иную форму инициативы по цифровому преобразованию или стратегии облачных вычислений. Безопасность является основным компонентом отрасли, а защита конфиденциальных данных и конфиденциальной информации является главным приоритетом.

Поставщики облачных услуг используют защищенные по своей сути платформы, разработанные с нуля для защиты бизнес-активов и контроля доступа логичным, но безопасным методом. К счастью, при выборе выделенного облачного партнера предприятия могут выбрать прямое подключение к существующей платформе «безопасность как услуга», которая уже разработана, чтобы превзойти лучшие отраслевые практики и которая может облегчить технические сложности и огромные затраты, связанные с в доме, DIY подход.

Защита облака является общей ответственностью между поставщиком, потребителем и всеми соответствующими третьими сторонами. Нет никаких сомнений в том, что принятие решений по безопасности жизненно важно в облачную эпоху, все облачные платформы должны старательно использовать услуги облачной инфраструктуры. По-прежнему существует очень реальная вероятность того, что ничего не подозревающий системный администратор неправильно настроил облачный сервер, потенциально оставив дверь открытой для всей системы.

Облачный анализ

Крайне важно, чтобы все компьютерные системы, как облачные, так и системы, переходящие к облачному провайдеру, были полностью защищены благодаря тщательной проверке. Этот процесс предназначен для понимания того, как происходит обмен конфиденциальными данными и доступ к ним. Точное знание того, какие данные у вас есть, как вы обрабатываете и преобразуете данные, а также где эти данные хранятся или передаются, является обязательным компонентом проверки безопасности.

Анализ — это сложная и трудоемкая деятельность, но очень важно определить конфиденциальные или регулируемые данные и принять соответствующие меры для их защиты. У многих провайдеров есть инструменты на основе агентов, которые могут напрямую отправлять данные конфигурации и настройки системы для проверки. Настройка этого автоматизированного процесса занимает несколько минут, но с его помощью можно создать схему существующей среды.

Собранная информация помогает проводить аудит существующей или предлагаемой облачной платформы и является отличным инструментом для выявления и предотвращения неправильной настройки сервера. Он также может обнаружить любое вредоносное или неожиданное поведение в сети. Примеры включают пользователей, совместно использующих учетные данные, системные службы, работающие под учетной записью пользователя Active Directory, слабые политики паролей или слабые права доступа к файлам и папкам.

Цель состоит в том, чтобы решить проблемы перед миграцией в облако. Именно на этом раннем этапе уже должно проходить обучение сотрудников. Обмен информацией и предложение обучения по будущим устремлениям облачной стратегии — отличное начало. Обучение выбранному партнеру, пользователю и компьютерному этикету, а также предоставление сведений о передовых методах обеспечения безопасности, помогающих предотвратить вредоносные программы, вирусы и программа-вымогатель.

Защита облачных сервисов

Чтобы создать безопасную облачную платформу организации, необходимо проделать большую работу. Как только производственные рабочие нагрузки и системы начинают работать в облаке, необходимо пересмотреть архитектуру безопасности, чтобы убедиться, что она соответствует назначению. Большинство средств защиты аппаратного уровня, таких как шифрование, сегментация сети и брандмауэры, уже будут установлены, а процессы будут точно настроены провайдером.

Необходимо создать и проверить несколько политик безопасности. Они охватывают важные аспекты, касающиеся управления данными. почти безграничная емкость облачного хранилища является огромным призывом к бизнесу. Однако большое значение имеют тип хранилища и средства контроля. Политики в отношении того, какие данные хранятся и в каком месте? Разрешены ли конфиденциальные данные за границей или они должны оставаться на берегу по соображениям соответствия?

Сегменты хранилища должны иметь элементы управления аудитом, касающиеся создания и удаления данных. Необходимо проверить элементы управления доступом, чтобы убедиться, что авторизованные пользователи имеют правильные разрешения на управление файлами. Введены средства контроля для отслеживания периода хранения и удаления данных, некоторые предприятия предпочитают хранить данные до семи лет, по истечении этого периода организация обязана удалить данные. Облачное хранилище может автоматизировать подавляющее большинство этой головной боли.

Целостность данных жизненно важна в облачную эпоху. Настоятельно рекомендуется, чтобы все данные в облаке были зашифрованы, предпочтительно с использованием ваших собственных ключей шифрования. Должны быть приняты меры для предотвращения перемещения данных на внешние устройства, например, создание дампа данных на USB-накопителе. Многие пакеты безопасности предлагают эту функциональность «из коробки».

Еще одна важная практика безопасности — постоянный мониторинг уязвимостей безопасности во всей среде. Это важная задача, для выполнения которой может потребоваться команда специалистов по безопасности. Платформы безопасности используются для сканирования внешних общедоступных IP-адресов из общедоступного Интернета, а также специалисты по безопасности сканируют внутренние сети и системы на наличие уязвимостей.

Эта активность создает большое количество действий, необходимых для устранения уязвимости. Типичные примеры включают слабые места, обнаруженные в операционной системе и приложениях, слабые шифры безопасности, используемые на веб-сайтах, и используемые слабые пароли или пароли по умолчанию. Также выполняется сканирование обширной базы данных известных уязвимостей. Сообщается о каждой уязвимости, включая серьезность и вероятный риск использования.

Многофакторная аутентификация (MFA) — ожидаемый стандарт для защиты доступа к облачным службам. Самый распространенный способ получить доступ — предоставить имя пользователя, персональный PIN-код и защищенный код с устройства, обычно с мобильного телефона. Эти средства защиты обычно находятся на сетевом уровне, например, запуск VPN-туннеля к цели. облачный VPSно может использоваться в качестве дополнительного уровня безопасности для веб-сайтов и важных рабочих серверов.

Многие организации идут еще дальше и проксируют весь сетевой трафик через службу проверки, которая проверяет пакеты, когда они входят или выходят из сети. Этот подход улучшает возможности ведения журналов и отслеживания, но также очень просто заносить в черный список неавторизованные адреса.

Служба безопасности

После того, как компьютерные системы организации были встроены в облако, возникает множество требований к повседневной операционной деятельности. Эти процессы предназначены для улучшения передовых методов обеспечения безопасности в облачную эпоху. Постоянное обновление и изменение политик доступа к облаку помогает компаниям ужесточить доступ, гарантируя, что доступ к системе будет только у утвержденных пользователей.

Управление информацией о безопасности требует, чтобы технические процедуры были актуальными, а для облачной платформы были доступны документированные рабочие процедуры. Это служит нескольким целям. Это помогает в передаче знаний и обучении сотрудников, а также предоставляет организации возможности обеспечения непрерывности бизнеса. В соответствии с передовой практикой безопасности в случае сбоя системы должны быть доступны процедуры перезапуска системы и восстановления данных.

Документация должна четко определять, как организация обрабатывает и обрабатывает информацию, определяет политику резервного копирования, включает требования к расписанию (время начала/окончания задач) и включает инструкции по обработке ошибок или других исключительных ситуаций, а также порядок обработки и обработки конфиденциальной информации. надежно утилизировать.

Практика безопасности SecOps охватывает процесс управления изменениями. Это включает регистрацию существенных изменений, планирование и тестирование изменений, включая оценку воздействия. Все изменения должны быть одобрены комиссией, в которую входят сотрудники службы безопасности, и все соответствующие лица информируются.

Другие известные методы обеспечения безопасности включают планирование управления мощностью и разделение средств разработки, тестирования и производства. Внедрение средств защиты от вредоносных программ и обеспечение наличия средств защиты от вирусов. Резервное копирование системы и данных выполняется, а информация хранится в соответствии с местным законодательством (GDPR или CCPA).

Крайне желательны подробные журналы и аудит сервисов. Записи можно собирать и поддерживать на платформе SIEM. Это включает в себя соответствующие уровни ведения журналов, включенные на веб-серверах, серверах приложений и продуктах баз данных. Другие области включают мониторинг привилегированного доступа, попыток несанкционированного доступа, системных предупреждений и любых изменений, внесенных в настройки безопасности системы.