IT 安全社群因其共享資訊和解決方案的特性而備受認可。如果企業正在遷移到雲端,或者傾向於提高應用程式的安全性,可以很好地利用這一點。
每一次大規模網路攻擊和每一次鮮為人知的宕機的背後,IT 安全專業人員、應用程式開發人員、供應商和 IT 服務供應鏈中的其他人都在彼此達成更緊密地合作,以開發更強大的雲防禦。現有的漏洞和新出現的威脅正在被識別,並推出修復方案,開發和共享最佳實踐。
最近尤其如此,因為許多企業已經增加或轉移了 IT 資源以適應遠端工作的員工。許多企業在匆忙做出這些更改的過程中,發現他們可能已經削弱了 IT 安全態勢,讓自己面臨新的漏洞,或者暴露了現有的漏洞。
雖然雲安全最佳實踐沒有明確清單,但在企業的開發團隊、基礎設施和流程方面,有幾個要考慮的事項,以增強企業的IT安全性。
1、從 DevOps 轉向 DevSecOps
實施 DevSecOps — 開發安全操作。簡而言之,它是關於內建安全性,而不是圍繞應用程式和資料外圍的安全性,應用程式和基礎設施安全是整個應用程式生命週期的組成部分。
例如,當企業進行持續測試時,包括安全測試。不斷檢查應用程式是否正確使用了應用程式內建的 IAM 服務、加密和其他安全流程。確保它們都正常工作。
在雲中暫存和部署應用程式後,在整個持續運營階段保持安全重點。檢查應用程式、資料儲存和平臺內的 IAM 和加密操作,以確保所有保護措施都處於活動狀態並正常執行。
2、涵蓋應用安全基礎知識
確保瞭解這些基本的應用程式安全概念:授權、審計/日誌記錄、機密性和完整性。授權控制經過身份驗證的使用者有權訪問的資源,例如檔案和資料庫。
可以訪問整個資源、部分資源或不訪問。審計和日誌記錄可確保記錄使用者的操作,從而可以識別可能發出違規訊號的使用模式,以便採取防禦措施。它們對於合規性或其他法律目的也至關重要。
機密性是確保資料保持私密性並確保未經授權的使用者或監視網路流量的竊聽者無法檢視的過程。每當資料在系統內靜止或移動時,可以使用加密來強制執行機密性。
完整性是指確保資料在其生命週期內的準確性和一致性(有效性)的措施。推薦的做法包括輸入驗證以防止輸入無效資料、錯誤檢測/資料驗證以識別資料傳輸中的錯誤,以及訪問控制、加密和資料丟失預防等安全措施。
3、實施漏洞掃描
將漏洞掃描整合到 CI/CD 流程中。確保在交付管道的每個主要階段(從編寫到部署到生產中)檢查程式碼是否存在漏洞。確保負責不同管道階段的各方擁有檢測程式碼問題的必要工具和培訓。
通常建議使用靜態應用程式安全測試 (SAST) 來檢測專有程式碼中的漏洞,而首選 SCA 工具來檢測和跟蹤組織程式碼庫中的所有開源元件。
4、利用執行時保護
跨 CI/CD 管道整合執行時保護,以保護應用程式在開始執行時免受威脅。至少,監控應用程式是否存在可能表示違規的異常行為。制定一個流程來識別變數或配置設定,可能會在執行時產生安全漏洞。
5、考慮具體和一般問題
使用防止特定型別攻擊的安全措施。例如,配置良好的內容安全策略 (CSP) 標頭可以防禦 XSS 攻擊和其他繞過同源策略的嘗試。強制使用強密碼有助於保護敏感資料並防止未經授權的訪問導致的資料洩露。在操作層面,使用 DDoS 緩解服務來幫助抵禦 DDoS 攻擊。
6、利用容器/服務管理安全特性
確保使用編排工具和服務網格提供的安全功能。這些工具充當容器與外部世界之間高度可擴充套件的絕緣層,可以處理身份驗證、授權和加密等任務。它們專為從頭開始的自動化而設計。
確定是否需要啟用或配置它們。例如,Kubernetes 的基於角色的訪問配置 (role-based access configuration,RBAC) 應該是 DevSecOps 的關鍵元素,但預設情況下不啟用。
7、備份恢復策略
將資料保護、備份和恢復作為雲安全計劃的一部分。培養具有內建安全性的安全環境和應用程式並不意味著網路攻擊者無法找到減緩操作或破壞資料的方法。
適當的資料保護、備份和恢復策略有助於確保如果企業的雲安全無法阻止攻擊,其最重要的資料和應用程式仍然可以訪問和使用。
8、採用合規標準
如果企業正在考慮從 CSP 採購雲服務,請選擇那些經認證符合 PCI DSS 要求或定期接受 HIPAA 合規性稽核的服務 ─ 即使該企業不在需要遵守這些標準的行業。符合 PCI 和 HIPAA 的雲環境採用的基礎架構和流程使其能夠滿足非常嚴格的安全要求。這將轉化為更安全的雲環境。
如果企業受監管要求的約束,請確保其符合要求。許多法規、政府規定和行業標準都需要滿足嚴格的資料安全和隱私技術要求。如果您的企業合規,則很有可能擁有大量防禦措施來減輕網路攻擊。請記住,需求會發生變化,因此合規性不是一次性的。
9、保持防守
最新的防火牆、廣告攔截器、瀏覽器中的指令碼攔截器和電子郵件安全產品可以阻止已知的惡意發件人並去除已知的惡意附件檔案型別。使用白名單來防止軟體下載。隔離“沙盒”技術可以防止勒索軟體的下載和執行免受網路釣魚連結、網路偷渡和水坑攻擊。
如果企業團隊不具備監控和更新防禦的專業知識,則需考慮使用託管服務提供商來承擔安全責任。此外,也要考慮選擇 CSP 或第三方 IT 安全供應商託管安全服務。企業將能夠更好地覆蓋所有端點和潛在漏洞。
好處:託管安全性通常意味著無需前期資本支出或內部安全專業知識即可訪問最新和最強大的安全技術。由於服務提供商負責對企業的 IT 安全進行監控和管理,因此企業自身的 IT 人員和資源可以騰出用於其他工作。
10、永遠不要放鬆警惕
接受世界上沒有 100% 安全的雲環境這一現實。當企業假設其雲環境難以滲透時,很容易對雲安全最佳實踐、定期審計、員工安全意識培訓和其他元素鬆懈。
新的網路威脅不斷出現,其他威脅也在不斷演變。今天的保護措施可能對之後演變出的新的威脅不起作用。與掌握最新威脅的 CSP 或託管安全公司合作至關重要。但同樣重要的是,企業的 IT 員工也要跟上安全前沿的發展步伐。
關注一些由值得信賴的安全專家或雲公司撰寫的專業文章、參加 IT 安全網路研討會、利用供應商和技術合作夥伴提供的資訊都是可行的途徑。
瞭解詳情:開源融合雲_雲聯壹雲
