雲計(jì)算(suàn)端點安全優秀做法

端點安全策略在任何企業IT環境中都至關重要。然而，對(duì)于具有雲部署的企業而言，這(zhè)些(xiē)策略可能(néng)特别複雜(zá)。 例如，管理(lǐ)員必須考慮不同雲計(jì)算(suàn)模型(例如私有雲、公共雲、混合雲和(hé)多雲)中端點安全的細微差别。更重要的是，由于遠程工(gōng)作(zuò)的增加，連接到(dào)雲資源的端點設備的數量顯着增加。作(zuò)爲其IT保護策略的一部分，安全團隊必須考慮大(dà)量且廣泛分布的最終用(yòng)戶設備。 幸運的是，行業最佳實踐和(hé)工(gōng)具在不斷發展，可幫助企業解決雲中的端點安全問題。 雲計(jì)算(suàn)如何改變端點保護 從(cóng)安全角度來(lái)看(kàn)，端點設備一直令人擔憂，因爲計(jì)算(suàn)機病毒是通過軟盤傳播。 防病毒軟件是第一種端點保護。安全專家發現(xiàn)他(tā)們可以通過本地防病毒軟件保護網絡外(wài)圍的端點。随着時(shí)間的推移，這(zhè)演變成更現(xiàn)代的端點保護平台 (EPP)，在每台PC上(shàng)都支持防病毒、防火牆和(hé)加密功能(néng)。 IT供應商随後開(kāi)發出更複雜(zá)的端點檢測和(hé)響應 (EDR) 平台，例如Sophos Intercept X、SentinelOne Endpoint Protection Platform和(hé)CrowdSec。這(zhè)些(xiē)平台通過行爲分析、異常檢測和(hé)簡化更新的工(gōng)具擴展了(le)EPP。 借助這(zhè)些(xiē)端點保護工(gōng)具，IT管理(lǐ)員可以正确管理(lǐ)安全邊界。即使員工(gōng)在家中連接到(dào)IT資源，他(tā)們通常也(yě)會(huì)通過安全虛拟專用(yòng)網在托管的公司筆(bǐ)記本電腦(nǎo)上(shàng)進行連接。 雲計(jì)算(suàn)在兩個關鍵方面改變了(le)端點保護市場。首先，它爲新的端點保護産品提供了(le)一個平台。其次，它将安全邊界從(cóng)企業邊界擴展到(dào)連接到(dào)雲的所有設備。 傳統上(shàng)，安全團隊将精力集中在其環境的外(wài)圍上(shàng)，并嚴格規範從(cóng)外(wài)部各方到(dào)内部資源的流量；通常内部端點的安全和(hé)強化實踐的優先級較低(dī)。 獨立安全和(hé)隐私合規評估機構Schellman & Co.公司經理(lǐ)Bryan Harper說：“考慮到(dào)公共雲計(jì)算(suàn)的性質，這(zhè)種模式已經被徹底颠覆。” Harper說，對(duì)于公共雲，管理(lǐ)員應該在假設所有端點設備都可以被外(wài)部方訪問的情況下(xià)處理(lǐ)端點安全。 考慮雲服務如何潛在地增加攻擊向量也(yě)很(hěn)重要。Pluralsight公司和(hé)技術培訓服務提供商DevelopIntelligence的網絡安全講師Terumi Laskowsky表示，随着雲成爲企業基礎設施的延伸，越來(lái)越多的端點設備可以提供更多途徑訪問企業資源。 雲端點保護策略 應對(duì)這(zhè)些(xiē)挑戰并确保雲中端點安全的第一步是盤點設備。Harper稱：“如果你(nǐ)不知(zhī)道(dào)你(nǐ)擁有什(shén)麽，就不可能(néng)保護這(zhè)些(xiē)端點。” 雲端點保護策略應識别連接到(dào)公司資源的所有端點。 PC、智能(néng)手機和(hé)平闆電腦(nǎo)通常在這(zhè)一組中，它們必須通過端點安全公司策略進行控制。 此外(wài)，考慮物聯網設備，例如安全攝像頭和(hé)聯網打印機，因爲這(zhè)些(xiē)也(yě)可能(néng)帶來(lái)風(fēng)險。清楚了(le)解哪些(xiē)團隊負責某些(xiē)設備的安全。例如，設施團隊可能(néng)負責相機，而網絡團隊負責打印機。Laskowsky說，如果沒有這(zhè)些(xiē)信息，團隊可能(néng)會(huì)忽略端點保護策略中的某些(xiē)設備，因爲他(tā)們假設不同的部門(mén)負責。企業應爲所有端點設備實施整體且一緻的安全方法。 爲了(le)幫助實現(xiàn)端點保護，企業可以執行以下(xià)操作(zuò)：部署加密，并通過使用(yòng)強密碼和(hé)多因素身份驗證加強訪問控制。 使用(yòng)虛拟專用(yòng)網作(zuò)爲另一層保護。 使用(yòng)針對(duì)特定端點類型的行業最佳做法來(lái)強化端點。 持續掃描端點，并确保系統可分析和(hé)響應異常行爲。 定期執行修複。Laskowsky說，管理(lǐ)員可以從(cóng)兩個角度解決雲中的端點安全問題。首先，他(tā)們可以保護端點設備本身免受攻擊。其次，在設備成爲攻擊者的情況下(xià)，他(tā)們可以保護公司資源免受設備攻擊。當流氓員工(gōng)或惡意行爲者破壞機器時(shí)，後者可能(néng)發生。企業必須部署策略以保護設備和(hé)這(zhè)些(xiē)設備通過雲或虛拟專用(yòng)網訪問的企業資源。 Deloitte Risk & Financial Advisory公司的負責人和(hé)網絡雲負責人Vikram Kunchala表示，IT團隊應該制定安全策略和(hé)标準，以解決不同類型設備最常見的用(yòng)例。考慮訪問雲資源的新端點的各種工(gōng)作(zuò)流和(hé)交互模式。 公共雲、私有雲和(hé)混合雲的安全差異 每個雲基礎架構模型都有自(zì)己的安全邊界。Laskowsky認爲私有雲是最安全，因爲它是單租戶。隻有一家企業使用(yòng)該基礎設施。相比之下(xià)，多家公司共享公共雲基礎設施，使黑客更容易識别和(hé)瞄準與其連接的任何薄弱端點。 由于私有雲和(hé)公共雲資源之間的複雜(zá)連接，混合雲模型可能(néng)風(fēng)險最大(dà)。Laskowsky說，同樣的問題适用(yòng)于多雲部署，企業使用(yòng)和(hé)連接來(lái)自(zì)多個提供商的雲服務。在這(zhè)些(xiē)情況下(xià)，組織必須保護連接不同類型雲基礎設施的端點。 保護雲端點的工(gōng)具和(hé)服務 現(xiàn)在有各種類型的工(gōng)具可保護連接到(dào)雲資源的端點。Laskowsky說，首先，應該使用(yòng)數據丢失防護工(gōng)具，例如Broadcom Symantec DLP、Forcepoint DLP和(hé)Digital Guardian DLP，來(lái)保護雲資源和(hé)EDR工(gōng)具來(lái)保護連接的端點。 企業可以在内部部署和(hé)管理(lǐ)這(zhè)些(xiē)工(gōng)具。有些(xiē)企業使用(yòng)安全即服務模型，其中雲服務供應商提供安全監控和(hé)響應。這(zhè)些(xiē)産品的示例包括Oracle Cloud Access Security Broker、Okta Identity as a Service和(hé)Qualys Cyber??Security Asset Management。但(dàn)是，Laskowsky說，最終負責端點保護的是企業，而不是其雲提供商。 Deloitte的Kunchala建議(yì)企業考慮統一端點管理(lǐ)工(gōng)具，這(zhè)些(xiē)工(gōng)具已經演變爲取代傳統端點管理(lǐ)工(gōng)具。 雲工(gōng)作(zuò)負載保護工(gōng)具(例如 Trend Micro Deep Security和(hé)VMware Carbon Black App Control)也(yě)已出現(xiàn)，以保護在雲中運行的虛拟端點。此外(wài)，托管EDR 服務(包括 Deepwatch和(hé)Broadcom Symantec産品)可以爲在端點上(shàng)檢測到(dào)的事(shì)件提供24/7響應能(néng)力。 作(zuò)者：鄒铮 編譯來(lái)源：TechTarget中國