网络安全规则以保护企业的云工作负载。

随着企业将系统和数据逐步转移到云上,如何保障云的安全显得至关重要。在云计算不断发展的当下,云安全威胁也变得越来越复杂。如果没有完善的安全保障体系,任何一个细小威胁都可能对企业业务造成严重影响。本文将重点分享一些安全规则以保护企业的云工作负载。

7种云安全控制举措

明确要负责什么

所有云服务都不尽相同,要负的责任也有所不同。软件即服务(SaaS)供应商会确保他们的应用程序受到保护,数据被安全地传输和存储,而IaaS环境并非总是如此。

例如,企业应完全负责其AWS EC2 、AWS EBS和AWS VPC实例,包括配置操作系统、管理应用程序、保护数据等。相反,AWS维护S3的操作系统和应用程序,而企业负责管理数据、访问控制和身份识别策略。AWS提供了为S3数据加密的工具,但这取决于企业在进入和离开服务器时是否启用了保护功能。应与IaaS供应商仔细核实谁负责每一项云安全控制措施。

控制谁有权访问

企业应控制好谁可以使用他们的云服务。例如,根据Redlock云安全情报(CSI)部门2018年5月的研究,超过一半(51%)的企业意外地暴露了至少一项云存储服务。一般而言,只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。

另一个常见的错误是,允许从互联网直接进行安全Shell(SSH)连接,这意味着任何能找到服务器地址的人都可以绕过防火墙,直接访问数据。主要云供应商都会提供身份识别和访问控制工具,请使用它们,应知道谁在何时访问了哪些数据。在创建身份识别和访问控制策略时,把最高权限限制在最小范围内,只在需要时临时授予额外权限。

保护数据

还有一种常见的错误是数据没有经过加密便放在了云上。如果把敏感数据存储在云中而没有对服务器的访问进行适当控制,这样做是不负责任的,也是危险的。要尽可能控制好加密密钥,虽然可以让云服务供应商提供访问密钥,但保护数据的责任在于企业。加密是一种安全保障措施,即使安全配置失败,数据落入未授权方的手中,他们也不能使用数据。

保护证书

为每一个外部服务创建唯一的密钥,并遵循最小特权原则限制对其访问,确保密钥没有太多的访问权限。创建IAM角色来分配特殊特权,例如进行API调用。务必定期轮换密钥,以避免攻击者有时间截获被攻破的密钥,冒充特权用户渗透到云环境中。不要使用root用户账户,即使是要用于管理任务。使用root用户来创建具有指定权限的新用户。锁定root账户,仅用于具体的账户和服务管理任务。

保证环境安全

对于云环境防护,深层防御尤其重要,因为即使一项控制措施失败了,也会有其他安全措施保持应用程序、网络和数据的安全。MFA在用户名和密码的基础上提供了额外的保护层,使得攻击者很难攻入。应启用MFA,限制对管理控制台、仪表板和特权账户的访问。

深度监视

主要云供应商都提供某种级别的日志记录工具,因此一定要启用安全日志记录和监视功能,看看是否有未经授权的访问和其他问题。例如,亚马逊为审查AWS环境提供了CloudTrail,当启用后,CloudTrail会记录所有AWS API调用的历史,包括API调用者的身份、调用的时间、调用者的源IP地址、请求参数,以及AWS服务返回的响应数据,它还可以用于变更跟踪、资源管理、安全性分析和合规审查等。

采用前移方法保证安全

前移方法提倡在开发过程中尽早考虑安全因素,而不是在开发的最后阶段增加安全措施。McAfee的Flaherty说:“企业不仅应该监控IaaS平台上的东西,还应该在平台上线前检查所有进入平台的代码。采用前移方法,能够在潜在的错误配置发展为问题之前进行审核并解决问题。”

在数字化转型过程中,企业可以选择专业的云管理服务提供商,基于企业业务及系统数据特点,搭建全面的云中安全保障体系,以更好应对各类问题,实现业务高效运营。 富通云腾安全管理之道

作为新一代的全栈式云管理服务提供商,富通云腾一直以来高度重视信息系统安全防护工作,建立了一系列信息安全保障体系,组建了专业的信息安全团队对入侵防御、数据安全、信息安全等进行重点防范,为用户提供安全可靠的云管理服务。

目前,富通云腾顺利通过等保2.0要求下的信息系统安全等级保护三级测评,充分表明富通云腾的信息安全管理能力达到国内较高标准,同时也体现了富通云腾的安全防护能力以及对用户信息安全的高度重视。

针对混合与多云环境下的管理难题,富通云腾自主研发的多云管理平台CMP2020-V1.0平台通过IAM的功能来部署和明确整个企业组织中的用户配置、访问权限、身份验证、Spring Security安全认证等相关的过程为用户提供全面的安全保障,确保信息不泄露,不丢失。基于角色访问控制为用户提供多级权限服务,以树形结构维护企业组织关系。用户可通过设置细粒度的角色操作权限,轻松管理企业账户。

同时,平台使用HTTPS传输方式,为用户提供敏感数据加密传输,防止恶意SQL注入、XSS攻击,并设置系统黑名单,被列入到黑名单的用户(IP地址、IP包、邮件等)将不能访问此平台。采用双因子增加系统数据安全,满足等保三级的安全评测指标,排除系统的安全隐患,提升系统安全等级。

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器