云安全(第1部分):从何开始

在何以以及何时部署安全措施这件事上,不同的公司的方案各式各样,形形色色。有的未雨绸缪提早准备,而有的会等到其成为首要需求的时候才会开始。

诚然,尽早开始部署安全保障的公司有很多优势,但这会是一项艰巨的任务,对于没有专业安全人员存在的组织尤其如此。

在当今世界,无论何时何地,都有很多提高安全性的方法。然而,与其在复杂的分析策略中“灭亡”,白白损耗力量,倒不如量力而行,在你所熟悉的领域中寻求“爆发”。那么,我们该从何开始呢?

云安全:从哪里开始

就现实而言,组织的普遍安全应当是终极目标,而起点。

你不需要在短时间内完成这个宏大的目标,而是从确立一些细微而重要的小目标开始,比如密码安全和加密算法。这些目标可以逐步地提高公司的安全性,越早实施就越容易在之后添加更多的安全性措施(并且有关于事件响应形式的麻烦会更少)。

接下来是一个由两部分组成的系列文章的第一部分。以下是从头开始进行安全性实施的分步指南。

企业应首先实施的五项安全措施

1.双因素认证(Two-Factor Authentication,2FA)

考虑一下您和您的员工每天登录的云服务数量。云证书窃取的威胁是真实存在的,特别是现在越来越多的关键数据被存储在云服务中。如果没有额外的保护措施来阻止,攻击者可以用低于想象的努力获得电子邮件和生产级密码,并进入关键系统。这层保护便是双因素认证。

双因素认证需要两种渠道或因素在登录到云服务之前验证身份。这意味着,即使证书泄露,在没有额外的验证层(通常是通过移动设备或一次性验证码)的情况下,坏人依旧无法完成任务。具有Yubico密钥的DuoSecurity,以及免费的谷歌身份验证器是两个非常简单而有效的2FA解决方案。(有关使用Duo实现2FA的更多信息,请参阅由Threat Stack的Tom McLaughlin撰写的由三部分组成的系列文章。)

2. SSL证书

SSL(Secure Sockets Layer,安全套接字层)支持Web服务器和浏览器之间的通信加密。这是防止敏感信息(例如信用卡号码、用户名、密码、电子邮件等)被盗或被篡改的标准安全措施。如果您拥有网站或网络应用,则需要SSL。

SSL证书最重要的它的来源。SSL证书是由证书颁发机构(CA,Certificate Authority)颁发的。证书颁发机构(CA)是可信的组织,用于验证请求证书的实体的身份和合法性。请注意,务必从CA获取证书而不是选择自签名证书。因为大多数浏览器都会保存一个可信CA的缓存列表,如此一来如果证书是由可信CA以外的其他人签名,浏览器会警告用户该网站不可信,从而完全隔绝潜在的网络安全威胁。免费易用的Let's Encrypt证书的兴起(最近还直接接入了亚马逊的网络服务),意味着成本不再是你网站安全的不利因素了。

3.使用PGP加密通信

经过前两个步骤,您的登录和服务器到浏览器的通信已经是安全的了。现在我们要做的是加密您的电子邮件和即时通讯信息。为了对安全工作进行最好的实践,无论你的服务供应商如何吹嘘他们为用户采取的安全措施,都当这些不存在。听说过 “信任它,但也要验证它”(Trust, but Verify)吗?这篇文章给了很好的例子和说明。

PGP(Pretty Good Privacy) 能够通过互联网对通信进行加密和解密,并使用数字签名和加密的存储文件对消息进行身份验证。在使用PGP的过程中,每个用户都会有公钥和私钥:使用公钥对发送给他人的消息进行加密;而当收到消息时,使用私钥对其进行解密。

虽然不是很容易,但您只需使用GPG工具GPG4Win等PGP工具进行设置。PGP对于拥有生产访问权的用户来说尤其重要,但作为一种最佳实践,我们还是建议将其推广到整个公司。您不仅可以使用PGP保护您公司的内部电子邮件通信,还可以通过它对文件进行加密,使其专供特定的人员访问。

4.文件完整性监视

文件完整性监视(File Integrity Monitoring,FIM)确保了在攻击者突破了以上所有防护措施时会为您所知。随机数量的用户会在不同时间、不同地点、从不同的设备登录到云服务,在这个过程中存在着许多可以追踪的信息。FIM可自动监控这些活动,并报告可疑情况,以确保您不会有任何遗漏。

在云中,文件完整性监控可以报告三种事件:

  1. 在目录中有文件被添加或删除。
  2. 特定的文件,或特定路径中的文件被修改。
  3. 特定文件或目录中的任何文件被打开。

以上这些事件的触发往往意味着潜在威胁的存在。

敬请关注

在第二部分中,我们将深入地进行一些过程安全实践。这些实践应尽早被集成在您的组织当中,以确保安全措施的无缝植入。敬请期待。

本文的版权归 极大似然 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Google全系列产品不再信任赛门铁克某款根证书

Google宣布在接下来的几周,Google会在Chrome、Android和其他Google产品中将把赛门铁克颁发的“Class 3 Public Prima...

19970
来自专栏企业短信平台

短信验证码收不到的原因,处理方法

在现今的互联网生活中,我们会经常用到短信验证码。例如在用户注册、账户登陆、修改密码、资金支付等场景通过短信验证码进行账户身份安全核验。如果遇到不能收到验证码短信...

3.8K60
来自专栏Debian社区

Debian瞻前 微软顾后:安全改进是否会产生负面影响

在许多互联网领域,尤其是Web PKI和SSL/TLS行业中,我们大多生活在过去的决定中。脆皮密码、差强人意的协议设计以及不怎么标准的软件始终牵绊着前进的步伐。...

8620
来自专栏区块链

数字证书的存储和安全性

数字证书的产生、分发和存储 首先,让我们来回顾一下数字证书产生和分发的简要过程。一个网上用户怎样才能得到一张数字证书呢? ? CA将证书分发给用户的途径有多种。...

307100
来自专栏沈唁志

HTTPS全面普及的时代来临,SSL证书刻不容缓

23020
来自专栏安智客

数字证书的存储和安全性

数字证书的产生、分发和存储 首先,让我们来回顾一下数字证书产生和分发的简要过程。一个网上用户怎样才能得到一张数字证书呢? ? CA将证书分发给用户的途径有多种...

320100
来自专栏FreeBuf

“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

最近安全研究人员发现一种新型SSL/TLS漏洞。预计在十年内,数以百万计的苹果、安卓用户访问HTTPS网站时将可能遭受中间人进而被窃取账号和密码,即使这些网站使...

26270
来自专栏程序员互动联盟

【计算机基本概念】硬盘

硬盘是电脑主要的存储媒介之一,由一个或者多个铝制或者玻璃制的碟片组成。碟片外覆盖有铁磁性材料。 硬盘有固态硬盘(SSD 盘,新式硬盘)、机械硬盘(HDD 传统...

27860
来自专栏圆方圆学院精选

【戴嘉乐】(上篇)运用Re-Encryption技术对你的IPFS网络数据进行多重保护

从HTTP逐渐过渡到HTTPS的过程可以看出,网络中的明文传输始终具有不安全感,据我所知,从2015年开始,大部分互联网巨头公司都强制要求各产品线切换使用HTT...

11710
来自专栏罗成的专栏

HTTPS 协议深度解析,为什么小程序开发者需要关注

小程序要求必须通过 HTTPS 完成与服务端通信,若开发者选择自行搭建 HTTPS 服务,那需要自行 SSL 证书申请、部署,完成 https 服务搭建,效率低...

3.1K00

扫码关注云+社区

领取腾讯云代金券