云安全(第1部分):何处开始
不同公司在执行云安全的时间及方式上存在很大差异,有些会从第一天就开始,而大部分会一直拖到需要的时候。
当然,公司尽早地采取安全措施会带来很多好处,但也可能是困难的,尤其是对于没有专职安全人员的公司。
无论如何,您都应该提高云服务的安全性,而不是忙于故障分析。从易处着手是个不错的想法,那么...该从何开始呢?
云安全:何处开始
实际上,应该将全面周密的安全性作为终极目标,而非起点。
不需要一蹴而就,您可以从密码安全、加密等一些小而重要的目标开始,逐步提高公司安全性。越早做这些事情,就越容易在后续过程中提高安全性(也越不容易遇到应急响应之类的问题)。
本文是两篇系列文章中的第一篇,以下将一步步地介绍如何从零开始实现安全性。
所有公司都应采取的五大安全措施
1.双因素认证(2FA)
想一下您及员工每天登录云服务的次数,就会知道云信息窃取是真实存在的,尤其是在越来越多重要数据被存放在云服务器中的今天。如果不采用双因素身份验证等额外保护措施,攻击者可以轻而易举地获得邮件信息及系统密码,从而登入关键系统。
双因素认证要求在登录云服务前,使用两种方法或因素验证用户身份。这也就意味着,即使证书被泄露,黑客如果不能获得额外的验证信息(通常是手机操作或一次性验证码),也很难进行攻击。带有Yubico的DuoSecurity和免费的谷歌验证器是两个非常简单有效的2FA(Two-Factor Authentication,双因素认证)解决方案。(有关使用Duo实现2FA的更多信息,请参阅由Threat Stack的Tom McLaughlin 撰写的文章。)
2. SSL证书
SSL(Secure Sockets Layer,安全套接字层)支持网络服务器和浏览器之间的加密通信,是防止敏感信息(如信用卡账号、用户名、密码、邮件等)被盗或篡改的标准安全措施。如果您有网站或网络应用,请使用SSL。
SSL证书最重要就是其来源。SSL证书由能够验证请求证书的身份和合法性的可信机构--CA(Certificate Authorities,证书颁发机构)颁发。在这一点上,请务必使用CA颁发的证书,而非自签名证书。因为大多数网页浏览器都会保存一个可信CA的缓存列表,如果证书由其他人签名,浏览器可能会警告用户该网站不可信,从而防止与匿名用户间的虚假交易。您可以从Let's Encrypt方便地获取免费证书 ,甚至最近也可以直接从亚马逊网络服务获取证书,这使得成本不再是影响网站安全的主要因素。
3.使用PGP加密通信
现在用户登录和服务器与浏览器之间通信都已经安全了,接下来就应该加密邮件和聊天信息了。最好不要听信提供商吹嘘为用户提供了安全保障,也永远不要假设这些通信是受保护的。 “信任,但验证”就是一个很好的例子。
PGP(Pretty Good Privacy,高度保密)是一种对互联网间通信进行加解密的通用程序,使用数字签名和加密存储文件进行信息验证。PGP中,每位用户都持有公钥和私钥。用户使用公钥对发送消息进行加密,使用私钥对接收到的消息解密。
虽然其实现不是非常容易,但您只需使用GPG或GPG4Win等PGP工具进行设置即可。PGP对于有产品访问权的用户尤其重要,但我们建议最好将其推广到整个公司。使用PGP不仅可以保护公司内部的邮件通信,还可以将文件加密使其只能由特定人群访问。
4.文件完整性监视
文件完整性监控(File Integrity Monitoring,FIM)是当攻击者绕过上述任何保护措施时,用户能获得通知的最好方式。随着大量用户随时随处从不同的设备登录云服务器,越来越多的活动需要跟踪。FIM能够对其自动跟踪,并提示可疑活动,以防止用户在不知不觉中遭受攻击。
云服务中,文件完整性监控可以提醒用户三种类型事件:
- 新建或删除文件。
- 修改特定文件或目录中任意文件。
- 打开特定文件或目录中的任意文件。
如果触发以上事件,则都表明存在潜在威胁。
敬请关注……
请继续关注该主题的第二部分,接下来我们将对几个过程安全实践进行深入剖析,以确保安全性能尽早融入到您公司之中。