网络安全规则以保护企业的云工作负载为目的 |
网络安全规则以保护企业的云工作负载为目的 随着企业将系统和数据逐步转移到云上,如何保障云的安全显得至关重要。在云计算不断发展的当下,云安全威胁也变得越来越复杂。如果没有完善的安全保障体系,任何一个细小威胁都可能对企业业务造成严重影响。本文将重点分享一些安全规则以保护企业的云工作负载。 7种云安全控制举措 明确要负责什么 所有云服务都不尽相同,要负的责任也有所不同。软件即服务(SaaS)供应商会确保他们的应用程序受到保护,数据被安全地传输和存储,而IaaS环境并非总是如此。 例如,企业应完全负责其AWS EC2 、AWS EBS和AWS VPC实例,包括配置操作系统、管理应用程序、保护数据等。相反,AWS维护S3的操作系统和应用程序,而企业负责管理数据、访问控制和身份识别策略。AWS提供了为S3数据加密的工具,但这取决于企业在进入和离开服务器时是否启用了保护功能。应与IaaS供应商仔细核实谁负责每一项云安全控制措施。 控制谁有权访问 企业应控制好谁可以使用他们的云服务。例如,根据Redlock云安全情报(CSI)部门2018年5月的研究,超过一半(51%)的企业意外地暴露了至少一项云存储服务。一般而言,只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。 另一个常见的错误是,允许从互联网直接进行安全Shell(SSH)连接,这意味着任何能找到服务器地址的人都可以绕过防火墙,直接访问数据。主要云供应商都会提供身份识别和访问控制工具,请使用它们,应知道谁在何时访问了哪些数据。在创建身份识别和访问控制策略时,把最高权限限制在最小范围内,只在需要时临时授予额外权限。 保护数据 还有一种常见的错误是数据没有经过加密便放在了云上。如果把敏感数据存储在云中而没有对服务器的访问进行适当控制,这样做是不负责任的,也是危险的。要尽可能控制好加密密钥,虽然可以让云服务供应商提供访问密钥,但保护数据的责任在于企业。加密是一种安全保障措施,即使安全配置失败,数据落入未授权方的手中,他们也不能使用数据。 保护证书 为每一个外部服务创建唯一的密钥,并遵循最小特权原则限制对其访问,确保密钥没有太多的访问权限。创建IAM角色来分配特殊特权,例如进行API调用。务必定期轮换密钥,以避免攻击者有时间截获被攻破的密钥,冒充特权用户渗透到云环境中。不要使用root用户账户,即使是要用于管理任务。使用root用户来创建具有指定权限的新用户。锁定root账户,仅用于具体的账户和服务管理任务。 保证环境安全 对于云环境防护,深层防御尤其重要,因为即使一项控制措施失败了,也会有其他安全措施保持应用程序、网络和数据的安全。MFA在用户名和密码的基础上提供了额外的保护层,使得攻击者很难攻入。应启用MFA,限制对管理控制台、仪表板和特权账户的访问。 深度监视 主要云供应商都提供某种级别的日志记录工具,因此一定要启用安全日志记录和监视功能,看看是否有未经授权的访问和其他问题。例如,亚马逊为审查AWS环境提供了CloudTrail,当启用后,CloudTrail会记录所有AWS API调用的历史,包括API调用者的身份、调用的时间、调用者的源IP地址、请求参数,以及AWS服务返回的响应数据,它还可以用于变更跟踪、资源管理、安全性分析和合规审查等。 采用前移方法保证安全 前移方法提倡在开发过程中尽早考虑安全因素,而不是在开发的最后阶段增加安全措施。McAfee的Flaherty说:“企业不仅应该监控IaaS平台上的东西,还应该在平台上线前检查所有进入平台的代码。采用前移方法,能够在潜在的错误配置发展为问题之前进行审核并解决问题。” 在数字化转型过程中,企业可以选择专业的云管理服务提供商,基于企业业务及系统数据特点,搭建全面的云中安全保障体系,以更好应对各类问题,实现业务高效运营。 富通云腾安全管理之道 针对混合与多云环境下的管理难题,富通云腾自主研发的多云管理平台CMP2020-V1.0平台通过IAM的功能来部署和明确整个企业组织中的用户配置、访问权限、身份验证、Spring Security安全认证等相关的过程为用户提供全面的安全保障,确保信息不泄露,不丢失。基于角色访问控制为用户提供多级权限服务,以树形结构维护企业组织关系。用户可通过设置细粒度的角色操作权限,轻松管理企业账户。 同时,平台使用HTTPS传输方式,为用户提供敏感数据加密传输,防止恶意SQL注入、XSS攻击,并设置系统黑名单,被列入到黑名单的用户(IP地址、IP包、邮件等)将不能访问此平台。采用双因子增加系统数据安全,满足等保三级的安全评测指标,排除系统的安全隐患,提升系统安全等级。 好用的香港云主机、香港云空间、香港服务器的相关问题,可以咨询挖主机网络wa57.com,安全稳定、速度快、易操作,专业技术7×24小时服务,7天无理由退换货,真正让你购买使用主机服务器无忧! 部分内容、图片来源于互联网,如有侵权请联系我们挖主机wa57.com删除! |