专栏首页云安全(第1部分):从何开始

云安全(第1部分):从何开始

在何以以及何时部署安全措施这件事上,不同的公司的方案各式各样,形形色色。有的未雨绸缪提早准备,而有的会等到其成为首要需求的时候才会开始。

诚然,尽早开始部署安全保障的公司有很多优势,但这会是一项艰巨的任务,对于没有专业安全人员存在的组织尤其如此。

在当今世界,无论何时何地,都有很多提高安全性的方法。然而,与其在复杂的分析策略中“灭亡”,白白损耗力量,倒不如量力而行,在你所熟悉的领域中寻求“爆发”。那么,我们该从何开始呢?

云安全:从哪里开始

就现实而言,组织的普遍安全应当是终极目标,而起点。

你不需要在短时间内完成这个宏大的目标,而是从确立一些细微而重要的小目标开始,比如密码安全和加密算法。这些目标可以逐步地提高公司的安全性,越早实施就越容易在之后添加更多的安全性措施(并且有关于事件响应形式的麻烦会更少)。

接下来是一个由两部分组成的系列文章的第一部分。以下是从头开始进行安全性实施的分步指南。

企业应首先实施的五项安全措施

1.双因素认证(Two-Factor Authentication,2FA)

考虑一下您和您的员工每天登录的云服务数量。云证书窃取的威胁是真实存在的,特别是现在越来越多的关键数据被存储在云服务中。如果没有额外的保护措施来阻止,攻击者可以用低于想象的努力获得电子邮件和生产级密码,并进入关键系统。这层保护便是双因素认证。

双因素认证需要两种渠道或因素在登录到云服务之前验证身份。这意味着,即使证书泄露,在没有额外的验证层(通常是通过移动设备或一次性验证码)的情况下,坏人依旧无法完成任务。具有Yubico密钥的DuoSecurity,以及免费的谷歌身份验证器是两个非常简单而有效的2FA解决方案。(有关使用Duo实现2FA的更多信息,请参阅由Threat Stack的Tom McLaughlin撰写的由三部分组成的系列文章。)

2. SSL证书

SSL(Secure Sockets Layer,安全套接字层)支持Web服务器和浏览器之间的通信加密。这是防止敏感信息(例如信用卡号码、用户名、密码、电子邮件等)被盗或被篡改的标准安全措施。如果您拥有网站或网络应用,则需要SSL。

SSL证书最重要的它的来源。SSL证书是由证书颁发机构(CA,Certificate Authority)颁发的。证书颁发机构(CA)是可信的组织,用于验证请求证书的实体的身份和合法性。请注意,务必从CA获取证书而不是选择自签名证书。因为大多数浏览器都会保存一个可信CA的缓存列表,如此一来如果证书是由可信CA以外的其他人签名,浏览器会警告用户该网站不可信,从而完全隔绝潜在的网络安全威胁。免费易用的Let's Encrypt证书的兴起(最近还直接接入了亚马逊的网络服务),意味着成本不再是你网站安全的不利因素了。

3.使用PGP加密通信

经过前两个步骤,您的登录和服务器到浏览器的通信已经是安全的了。现在我们要做的是加密您的电子邮件和即时通讯信息。为了对安全工作进行最好的实践,无论你的服务供应商如何吹嘘他们为用户采取的安全措施,都当这些不存在。听说过 “信任它,但也要验证它”(Trust, but Verify)吗?这篇文章给了很好的例子和说明。

PGP(Pretty Good Privacy) 能够通过互联网对通信进行加密和解密,并使用数字签名和加密的存储文件对消息进行身份验证。在使用PGP的过程中,每个用户都会有公钥和私钥:使用公钥对发送给他人的消息进行加密;而当收到消息时,使用私钥对其进行解密。

虽然不是很容易,但您只需使用GPG工具GPG4Win等PGP工具进行设置。PGP对于拥有生产访问权的用户来说尤其重要,但作为一种最佳实践,我们还是建议将其推广到整个公司。您不仅可以使用PGP保护您公司的内部电子邮件通信,还可以通过它对文件进行加密,使其专供特定的人员访问。

4.文件完整性监视

文件完整性监视(File Integrity Monitoring,FIM)确保了在攻击者突破了以上所有防护措施时会为您所知。随机数量的用户会在不同时间、不同地点、从不同的设备登录到云服务,在这个过程中存在着许多可以追踪的信息。FIM可自动监控这些活动,并报告可疑情况,以确保您不会有任何遗漏。

在云中,文件完整性监控可以报告三种事件:

  1. 在目录中有文件被添加或删除。
  2. 特定的文件,或特定路径中的文件被修改。
  3. 特定文件或目录中的任何文件被打开。

以上这些事件的触发往往意味着潜在威胁的存在。

敬请关注

在第二部分中,我们将深入地进行一些过程安全实践。这些实践应尽早被集成在您的组织当中,以确保安全措施的无缝植入。敬请期待。

本文的版权归 极大似然 所有,如需转载请联系作者。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 云安全(第1部分):何处开始

    不同公司在执行云安全的时间及方式上存在很大差异,有些会从第一天就开始,而大部分会一直拖到需要的时候。

    Techeek
  • 云的安全问题(第2部分):从哪里开始

    上周,我们发布了帮助公司改善安全状况的最佳实践系列的第1节。安全不再仅仅是安全专家的领域,公司中的每个人,不论其角色如何,都应该秉承践行安全最佳实践的观念。

    Techeek
  • 云安全问题(第2部分):从何处下手

    上周,我们发布了两部分文章的第1部分,介绍公司可以采用低悬挂的最佳安全方法来改善他们的安全状况。由于安全不再仅仅是安全专家的领域,因此公司中的每个人不管身居何职...

    mark_fuck
  • 从零开始学web安全(1)

    本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 一直对web安全很感兴趣,却一直只是略懂一点。决定从现在开始学起web安全...

    IMWeb前端团队
  • 从零开始学web安全(1)

    一直对web安全很感兴趣,却一直只是略懂一点。决定从现在开始学起web安全的知识,更新起web安全系列的文章。文章内容为作者自己边学边写的,不对之处多谢各位大大...

    IMWeb前端团队
  • 《DevOps实践指南》第二部分 从何处开始

    LinkedIn的“反转行动”(Operation InVersion)是一个有趣的案例,它证明了为什么要把偿还技术债务作为日常工作的一部分。2011年,Lin...

    yeedomliu
  • 从头开始创建自己的Vue.js-第1部分(简介)

    是“魔法”,因为他们做的很好,因为它看起来是魔法。但事实并非如此。事实上,重建类 Vue 功能并不是那么困难,我想在本系列中向您证明这一点,在本系列中,我们将逐...

    公众号---人生代码
  • CNCF Cloud Native Survey 2021:第1部分现在开始了!

    The Cloud Native Survey 2021[1] is now open!

    CNCF
  • 大规模DevOps安全性 | 第1部分:安全策略即代码

    第4部分:安全作为头等公民(Security as First-Class Citizen)

    网络安全观
  • 《从零开始学架构》笔记——第四部分:架构实战

    “不识庐山真面目,只缘身在此山中”,跳出技术的范畴,用业务发展的角度去审视技术,答案就会非常清晰。

    Noneplus
  • 如何确保工业以太网安全—从硬件开始

    目前,其他任何行业都没有像工业那样有明显的转向数字化需求。随着生产环境的不断变化,公司内部跨越部门沟通的日益增加,无论是人还是机器,公司所有参与方之间都会进行频...

    SDNLAB
  • 《从零开始学架构》笔记——第一部分:概念和基础

    2000名程序员历时一年,花费原子弹1/4的投入,生产100w行代码。最终以失败告终。

    Noneplus
  • Python从零开始第三章数据处理与分析①python中的dplyr(1)

    我经常使用R的dplyr软件包进行探索性数据分析和数据处理。 dplyr除了提供一组可用于解决最常见数据操作问题的一致函数外,dplyr还允许用户使用管道函数编...

    用户1359560
  • 《从零开始学架构》笔记——第三部分:可扩展架构模式

    ESB功能强大,支持HTTP,RPC,JMS等多种协议和转换格式,但同时带来了大量资源消耗。

    Noneplus
  • 从零开始搭建Java开发环境第二篇:如何在windows10里安装MySQL

    [外链图片转存失败(img-oesO8K09-1566652568838)(data:image/gif;base64,R0lGODlhAQABAPABAP//...

    黄小斜学Java
  • 大数据安全第4期:了解大数据安全标准体系应当先从这里开始

    大数据安全风险伴随大数据应用而生。随着互联网、大数据应用的爆发,数据丢失和个人信息泄漏事件频发,地下数据交易黑灰产造成数据滥用和网络诈骗,并引发恶性社会事件,甚...

    安恒信息
  • 【零一】从0开始,教你如何做数据分析#中阶#第九篇

    大家好,我是零一。这一篇给大家介绍探索关系。 我的公众微信号是start_data,欢迎大家关注。 探索关系是非常好玩的一件事情。先给大家讲个故事。据说很久很久...

    CDA数据分析师
  • 【云架构】云安全和隐私:法律合规与风险管理指南,第2部分

    在这个由两部分组成的系列文章中,法律专家Robert McHale是“数据安全和身份盗窃:影响您的业务的新隐私法规”的作者,它提供了与云计算相关的法律安全和隐私...

    首席架构师智库
  • 网站开发合同,第1部分:如何避免重大灾难 (tech law)

    签订网站开发合同时,你越了解,就越有可能避免可能导致网站无法按时启动或无法正常工作的合同灾难。

    木樾233

扫码关注云+社区

领取腾讯云代金券