保護雲中敏感數據的3個最佳實踐

企業遵循三個最佳的安全實踐，可以保護雲計(jì)算(suàn)應用(yòng)程序和(hé)基礎設施中的客戶或專有數據的安全。 BetterCloud公司最近進行的一項調查發現(xiàn)，企業平均使用(yòng)80個第三方雲計(jì)算(suàn)應用(yòng)程序進行協作(zuò)、通信、開(kāi)發、管理(lǐ)合同、授權簽名，并以其他(tā)方式支持處理(lǐ)和(hé)存儲敏感數據的業務功能(néng)。這(zhè)些(xiē)類型的應用(yòng)程序稱爲SaaS。 企業還在PaaS和(hé)IaaS上(shàng)擴展應用(yòng)程序和(hé)業務。2020年，有76%的企業在AWS雲平台上(shàng)運行其應用(yòng)程序，63%的企業在Microsoft Azure雲平台上(shàng)運行應用(yòng)程序。 Capital One公司技術顧問和(hé)前任首席信息安全官(CISO)Michael Johnson表示，這(zhè)些(xiē)公共雲服務都是必需的且富有成效的，甚至比傳統的數據中心提供更安全的環境。但(dàn)是，它們也(yě)給正在處理(lǐ)和(hé)存儲在雲平台中的敏感數據帶來(lái)了(le)獨特的風(fēng)險，其中大(dà)多數風(fēng)險是由這(zhè)些(xiē)服務的設置和(hé)管理(lǐ)中的客戶錯誤引起的。 Johnson 以該公司在2019年發生的數據洩露事(shì)件爲例，此次事(shì)件洩露了(le)8000萬的個人記錄。在其中，網絡攻擊者利用(yòng)了(le)配置不當的第三方雲計(jì)算(suàn)環境。Johnson和(hé)他(tā)的團隊彌補了(le)這(zhè)一漏洞，并借助強大(dà)的響應計(jì)劃，與企業董事(shì)會(huì)和(hé)執行團隊的透明(míng)性以及與執法部門(mén)之間的合作(zuò)關系，在數據被利用(yòng)之前迅速幫助執法機構抓獲網絡攻擊者。 制定應對(duì)計(jì)劃以應對(duì)在雲平台中放(fàng)置敏感數據的風(fēng)險，這(zhè)應該是任何雲安全策略的一部分。要開(kāi)始制定有關公共雲使用(yòng)的數據保護政策，重要的是要了(le)解攻擊者如何竊取來(lái)自(zì)第三方雲服務的數據。 數據在雲中如何受到(dào)攻擊 根據雲安全聯盟(CSA)發布的2020年度威脅報(bào)告，第三方雲服務中的數據洩露主要是由于配置錯誤和(hé)變更控制不充分(例如，過多的權限、默認憑據、配置不正确的AWS S3存儲桶以及禁用(yòng)的雲安全控制)造成的。這(zhè)份報(bào)告指出，這(zhè)意味着缺乏雲計(jì)算(suàn)的安全策略或架構，是造成數據洩露的另一個常見原因，其次是身份和(hé)密鑰管理(lǐ)不足，其次是不安全的API、結構故障以及對(duì)雲計(jì)算(suàn)活動和(hé)安全控制的有限可見性。 雲安全聯盟(CSA)首席執行官Jim Reavis表示：“由于越來(lái)越多的企業員工(gōng)開(kāi)展遠程工(gōng)作(zuò)，SaaS在2021年已成爲我們關注的重點。公共雲采用(yòng)率出現(xiàn)了(le)驚人的增長，但(dàn)是很(hěn)多企業在匆忙中卻忘記了(le)對(duì)邊緣網絡的安全保護。例如，人們在多個雲服務中重複使用(yòng)其憑據，因此憑據填充攻擊正日益增多。” 根據安全服務商McAfee公司的一項調查，到(dào)2020年5月，思科WebEx的使用(yòng)量增加了(le)600%，Zoom增長了(le)350%，Microsoft Teams增長了(le)300%，Slack增長了(le)200%。Reavis指出，在企業最初支持遠程工(gōng)作(zuò)的過程中，有許多可能(néng)導緻數據洩漏的故障：IT團隊沒有保護雲中的存儲桶、實施安全的開(kāi)發人員實踐，或協調身份和(hé)訪問程序。有些(xiē)甚至是網絡攻擊者在存儲庫中發現(xiàn)的硬編碼應用(yòng)程序憑據。他(tā)補充說，“這(zhè)是非常基本的東西。” 企業遵循以下(xià)三個最佳實踐将顯著降低(dī)在雲中存儲或處理(lǐ)數據的風(fēng)險。 1.盤點雲服務的使用(yòng)情況 首席信息安全官IanPoynter建議(yì)，應對(duì)雲平台中數據威脅的最佳方法是控制雲應用(yòng)程序的使用(yòng)，并在涉及公共雲服務的任何新舉措的規劃階段執行風(fēng)險評估。 首席信息安全官(CISO)之間的共識是，用(yòng)戶的雲計(jì)算(suàn)實例并非總是得到(dào)授權，并且很(hěn)少針對(duì)公開(kāi)數據進行有效監控。Poynter說，“這(zhè)就是首席信息安全官(CISO)需要成爲執行團隊成員的原因，他(tā)們需要了(le)解正在發生的事(shì)情，并且還需要創建一個協作(zuò)環境，業務部門(mén)主管希望與他(tā)們共享新項目或産品，然後讓他(tā)們評估正在尋找的雲計(jì)算(suàn)産品以獲得支持。” 他(tā)表示，他(tā)曾向以前任職的一家公司的會(huì)計(jì)部門(mén)發出警告，告知(zhī)哪些(xiē)第三方雲應用(yòng)程序和(hé)平台的費用(yòng)報(bào)銷需要獲得批準。如果未經事(shì)先批準，在批準服務以外(wài)購買的業務單位或個人用(yòng)戶的報(bào)銷申請(qǐng)将被拒絕。 這(zhè)是強制執行雲計(jì)算(suàn)應用(yòng)程序白(bái)名單的人爲但(dàn)有效的方法。雲計(jì)算(suàn)應用(yòng)程序允許和(hé)拒絕列表也(yě)是通常部署在企業控制的端點上(shàng)或通過零信任技術(例如浏覽器隔離)來(lái)控制用(yòng)戶、企業和(hé)雲計(jì)算(suàn)應用(yòng)程序之間遠程會(huì)話(huà)的強大(dà)技術控制。 2.雲原生的安全性 Johnson表示，在企業已經實現(xiàn)标準化的成熟雲服務和(hé)應用(yòng)程序中使用(yòng)雲原生安全産品。例如，評估正在使用(yòng)的應用(yòng)程序的配置合規性的AWS Inspector，以及可以檢測惡意活動和(hé)未經授權的行爲的Amazon GuardDuty。他(tā)表示，企業需要對(duì)雲計(jì)算(suàn)提供商的聲譽進行盡職調查，并盡量采用(yòng)規模較大(dà)的雲計(jì)算(suàn)提供商的服務，因爲通常他(tā)們會(huì)在數據保護和(hé)可見性控制方面獲得更高(gāo)的評分。 服務模型之間的原生安全性有所不同。 IaaS和(hé)PaaS供應商爲購買者在其基礎設施或平台中升級的應用(yòng)程序提供安全性和(hé)配置工(gōng)具。這(zhè)些(xiē)是本地提供的，也(yě)可以通過第三方提供。對(duì)于SaaS應用(yòng)程序(例如DocuSign、Slack或Box)，安全性多數是原生的。例如，Microsoft 356爲Active Directory的Exchange、SharePoint和(hé)Azure實例(除其他(tā)安全産品)提供高(gāo)級審核。 通過Box企業雲的應用(yòng)，可以了(le)解第三方雲計(jì)算(suàn)提供商對(duì)敏感數據的處理(lǐ)過程。Box雲平台管理(lǐ)多個應用(yòng)程序，以支持工(gōng)作(zuò)流、數字合同、人力資源、Zoom會(huì)議(yì)、曆史數據存儲、人力資源加載和(hé)其他(tā)人力資源功能(néng)。用(yòng)戶可以通過Box Shuttle将Box雲平台連接到(dào)其他(tā)雲服務。 Box公司安全、隐私和(hé)法規遵從(cóng)産品副總裁Alok Ojha表示，随着越來(lái)越多的應用(yòng)程序在Box雲平台的應用(yòng)，面向用(yòng)戶的嵌入式安全和(hé)法規遵從(cóng)工(gōng)具集将成爲關鍵。Ojha引用(yòng)Content Cloud作(zuò)爲Box用(yòng)戶在不同工(gōng)作(zuò)流中實現(xiàn)一緻安全性和(hé)可視(shì)性的地方，以查看(kàn)應用(yòng)程序中正在處理(lǐ)哪些(xiē)文(wén)件和(hé)數據，以及誰在訪問數據以及出于什(shén)麽目的訪問。 另一個原生工(gōng)具Box Shield可配置爲查找和(hé)分類敏感數據，對(duì)分類數據實施适當控制，減少内部和(hé)惡意軟件威脅的風(fēng)險，了(le)解與數據相關的監管要求，并确保監管機構的審計(jì)跟蹤。他(tā)還建議(yì)重新關注身份和(hé)訪問管理(lǐ)(IAM)，特别是使用(yòng)多因素身份驗證，以供外(wài)部用(yòng)戶和(hé)合作(zuò)夥伴使用(yòng)，而不要使用(yòng)可重複使用(yòng)的密碼。 3.保護數據層的數據 數據保護服務商Titaniam公司創始人兼首席執行官Arti Raman警告說，不要過度依賴身份和(hé)訪問控制來(lái)防止數據洩漏，并表示還需要直接關注存儲在公共雲中的數據。但(dàn)是，從(cóng)端點到(dào)企業再到(dào)雲計(jì)算(suàn)的數據保護非常困難，并且必須具有足夠的靈活性以跨越這(zhè)些(xiē)邊界，以保護生命周期中的數據。 她(tā)說：“我們認爲，當數據被索引、搜索、聚合、查詢或以其他(tā)方式操作(zuò)時(shí)，加密和(hé)數據保護應該保持存在，其方法是保持數據以自(zì)适應保護格式使用(yòng)，而不限制任何功能(néng)。這(zhè)包括傳統加密技術以及新的可搜索技術，這(zhè)些(xiē)技術在其之上(shàng)使用(yòng)傳統加密以滿足法規遵從(cóng)性标準。” Box公司的Ojha補充說，數據終止策略也(yě)很(hěn)重要。企業應遵循數據安全的法規要求，最好(hǎo)自(zì)動删除不再需要在第三方雲平台或基礎設施中運行的數據。