云安全问题(第2部分):从何处下手

上周,我们发布了两部分文章的第1部分,介绍公司可以采用低悬挂的最佳安全方法来改善他们的安全状况。由于安全不再仅仅是安全专家的领域,因此公司中的每个人不管身居何职、角色如何,都应该参与进来,一起维护安全。

这一系列文章的宗旨是为了给公司或者组织提供一个安全之旅的“起点”,通过识别可以实现的低悬挂方法来逐步提高安全性。在第1部分中,我们详细地讲解了推荐的四种安全工具和服务,在这篇文章中,我们将会给出下一组建议,这些建议可以让您在安全性方面更上一层楼。

所有企业应该实施的另外四项安全措施

5.安全培训

如果您的员工不明白如何使用或为什么使用这些安全协议,那么实施双重身份验证(2FA)和电子邮件加密等安全协议并不会有很好的效果。如果没有经过适当的培训,员工可能会有意或无意地避开您所采取的预防措施。

为了确保您的团队充分了解他们应该维护的各种安全实践的原因和方式,我们建议您组织一个团队范围内的安全培训课程,以了解到目前为止您所做的一切安排。尽量让这次培训课程充满乐趣、提高交互性和积极性,确保您和您的团队成员都参与到其中。

在第一次会议之后,要制定一个持续进行的、适合您的团队的培训计划(我们建议每个月或每个季度一次)。它可以是一个30分钟的便当午餐谈话邀请,或者是一个精心准备过的半天会议。您只要充分考虑到每个团队成员的时间安排,会议内容只讲解他们真正需要知道的、该做的,不需要讲授全部的繁文缛节。

网络钓鱼是安全培训中一个很好的开端话题,这也是目前常见的一种安全威胁。培训中您可以解释什么是网络钓鱼,网络钓鱼如何发起攻击,您已经部署、采用的安全工具(如2FA和加密软件)如何拦截网络攻击,以及在安全程序结束拦截任务之后,员工应该怎样采取措施来提高网络安全性。

6.强化配置管理

走进一个现代化的运营管理团队里,看不到像Puppet,Chef或Ansible这样的配置管理(CM)系统来驱动基础设备,这种情况是很少见的。正如我们在以前的文章中所阐述的那样,CM软件直接支持DevOps将基础架构视为代码的概念。虽然CM发挥着巨大的力量,但这也意味着它要承担更大的责任。

由于CM的本质是在基础架构上执行任意代码,因此需要采取措施加强系统安全性来保护敏感数据。您可以使用像chef-vault这样的工具,它使用公钥对敏感数据进行加密,或者使用文件完整性监视,这样可以查看未经授权的服务何时触及磁盘上的秘密。如果您已经按照第1部分中的建议实施了此操作,您可以再另行检查一次。

7.确保安全进入生产

实施持续交付和敏捷开发的团队通常会为开发人员提供访问权限,以便更快地发布更新功能和新产品。在一个信任但又需要验证身份的世界里,你需要采取某些安全措施,以确保漏洞不会疯狂出现,并且开发人员也应该采取相应的安全措施

要做到这一点,您应该监视诸如软件包安装和更新等事件,以确保只有您的CM系统管理着主机。跟踪、监视配置在您的系统上的代码是一件很重要的事情,这样能确保用户不在主机上手动安装软件包,引发未知的安全问题。

如果您有时间进行配置和管理,有一些类似OSSEC和auditd的开源软件,更好的是像Threat Stack(威胁堆栈)这样的工具可以为您处理配置和持续监控。无论哪种方式,关键是要在生产服务器上尽早地开展监控活动,因为这毫无疑问是您最关键的基础设施级别之一。

8.安全警报

一旦发现异常,你需要一个警报系统来通知你。无论是一个位于俄罗斯的IP地址在凌晨2点异常登录生产服务器,还是在生产环境中不知不觉地产生了一个漏洞,你不仅需要知道,还需要更快地知道。

Threat Stack(威胁堆栈)不仅会在检测到异常行为的时候通知您的团队,它还可帮助团队定制安全警报的严重程度,以便只有高度严重性警报才会在晚上发送给值班的开发人员,而严重性较低的警报则只需在工作时间内处理。

把安全组件连在一起

在这个由两部分组成的系列文章中,如果您一直关注我们推荐的安全实践方法,您现在可以开始了解安全性如何自我构建。在这一点上,您需要一种能通过一个单一的控制面板来跟踪您所有的安全措施和系统活动的方法,而不必登录到各种单独的工具,然后将信息拼凑在一起。

本文的版权归 mark_fuck 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏walterlv - 吕毅的博客

程序员与英语:即时聊天中的英语缩写 lol / lmao / idk

2018-07-21 07:00

16910
来自专栏花叔的专栏

解读,有微信关系链数据的小游戏开测了

先明确一点:小游戏是小程序的一个子集,它只是用了不同的技术框架,账号体系还是小程序体系,今天的文章是给不懂技术的同学看的,当然,懂技术不大了解流程的同学也可以看...

600140
来自专栏重庆的技术分享区

使用物联网网关将“物联网”连接到云

原文地址:https://internetofthingsagenda.techtarget.com/feature/Using-an-IoT-gateway-...

62760
来自专栏Seebug漏洞平台

期待已久,ZoomEye 网络空间搜索引擎第四版强势发布!

ZoomEye | 钟馗之眼,网络空间搜索引擎。探索一切,纵观一切!进行全球的漏洞感知与预警! ZoomEye 于2013年7月1日正式上线!一直到2016年,...

70560
来自专栏黑白安全

USRP从入门到追踪飞机飞行轨迹

USRP是数款流行的SDR硬件中功能和应用都相对成熟的一款产品,从WIFI协议、ZigBee协议、RFID协议、GSM通信系统、LTE 4G通信系统到飞机通信、...

33740
来自专栏云计算D1net

关于云安全的三个鲜为人知的秘密

如今,许多首席信息安全官呼吁人们需要正视云计算的安全需求。然而,尽管大家都有着共同的关注点,但采取的方法却各不相同;有些人呼吁在服务器方面做好防护工作,而另一些...

36970
来自专栏腾讯社交用户体验设计

Mac中国市场报告 - 腾讯ISUX

25240

Apache CloudStack社区分析

编者按:这篇文章的内容最初由Sebastien Goasguen发表在在Build a Cloud博客上。

25460
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(95)-ETO按订单设计

5、ETO按订单设计 在这种生产类型下,一种产品在很大程度上是按照某一特定客户的要求来设计的,所以说支持客户化的设计是该生产流程的重要功能和组成部分。因为绝大多...

31340
来自专栏数据库新发现

DBA2.0的时代 - DBA将向何处去?

最近接触和参与了很多关于DBA职业生涯发展的讨论,也有很多朋友问过我,DBA将向何处去? 思考了很多,在这里和大家分享一下关于DBA的我的看法。

15010

扫码关注云+社区

领取腾讯云代金券