云端数据可视化管理的五项最佳实践

迁移到云端可以帮助企业加快IT交付、提高业务敏捷性,但是可能也会带来敞开的安全漏洞,让公司暴露在网络攻击面前。这意味着在云端运作的企业组织现在必须解答这些问题:“什么云服务器遭到了攻击,我如何才能知道?”

遗憾的是,答案并不容易获得。像防火墙和入侵检测系统这些传统的安全工具在企业组织内部使用时效果很好,可是面对云环境时,它们没有多大帮助。虚拟基础设施具有的弹性和动态性使得安全团队很难看到云端发生的情况。而要是没有这种可见性,它们不可能执行一致的政策、发现漏洞,并迅速应对异常行为。

想得到云服务提供商的帮助?那只能为你解决一部分问题。云服务提供商通常不保护虚拟机管理程序层之上的任何系统,所以做好安全主要是你的责任。假设你想在云端启用一台Windows 2000服务器或红帽Linux。为那些实例确保安全是你的工作,而不是云服务提供商的工作。

这就是所谓的“分担责任”模式,所有云服务提供商无不在大声吆喝这种模式。亚马逊网络服务是这么说的:“虽然AWS管理云安全,但做好云安全是客户的责任。客户仍然控制着选择实施什么好的安全机制,保护自己的内容、平台、应用程序、系统和网络,这跟他们保护现场数据中心中的应用程序没什么两样。”

似乎够直截了当。但是许多消费者仍然感到困惑。他们认为,因为亚马逊拥有保护直至虚拟机管理程序这一层的种种出色工具,因而自己完全安全。可是他们没有认识到,做好他们选择启用的云实例的安全性永远是自己的责任。无论你在公有云运作还是在传统数据中心运作,仍需要继续实现一些关键的控制目标,包括数据保护和威胁管理。

云安全薄弱酿成的后果可能很严重。我记得一家名为Code Spaces的公司在黑客全面访问其托管在云端的网络后,被迫关门歇业。黑客索要赎金,而Code Space拒绝支付。然后,黑客删除了Code Spaces的所有重要数据,实际上搞垮了这家公司。

这就是你在云端保护自己所面临的困境:你对看不见的东西自然无法确保其安全。因而,获得实时可见性至关重要,对希望充分利用云基础设施许多不同优点的企业组织来说更是如此。而随着企业组织使用更多的云:公有云、私有云或混合云,并与内部数据中心(不会很快就会消失)结合起来,情况就只变得更加复杂。

那么,你如何才能获得云端可见性,并确保自己安全呢?不妨先明白这一点:做好安全是你的责任,然后坚持遵守这五个最佳实践。

1. 持续可见性。随时知道你的基础设施、应用程序、数据和用户方面出现的情况。由于现代虚拟基础设施具有自动化、弹性、按需的性质,获得这种可见性可能是个挑战。但是如果随时知道自己有什么及其运行情况,就能减小受攻击面,并降低风险。

2. 风险管理。这意味着为你的可见性添加具体环境。一旦你获得了可见性和透明性,就能成功地消除已知存在于网络里面的明显的安全漏洞,比如过期的工作站和移动设备。

3. 强有力的访问控制。实际上,薄弱的访问控制导致了最近的许多重大安全事件,包括臭名昭著的Ashley Madison黑客事件。Ashley Madison首席执行官本人表示,内部人员实施了这起黑客行为,很可能是第三方的合同工,他被授予了过高的访问权限。所以,确保你落实了合适的访问管理和权限监控机制。还要确保在不断监控用户活动,保证根本没有违反公司政策。

4. 数据保护。这是另一项必要工作。这意味着要既要保护静态数据,又要保护传输中数据,还要部署数据丢失防护(DLP)之类的技术,确保万一受到危及,你的数据无法被发送到网络外面。

5. 威胁管理。你必须接受这一事实:哪怕再严格的安全做法也无法始终防范得了所有安全事件。安全事件会发生。所以准备好果真发生后,缓解风险。要落实相应的流程和技术,让你能够迅速应对,并且化解安全事件,以免势态失控。在安全事件发生之前制定好行动方案,然后一旦发现了安全事件,就严格遵守。

如果你无法随时迅速准确地看到你整个基础设施上发生的情况,很可能不知道何时遭到了攻击或危及,因而等你有所反应时已为时太晚。等到网络已被大火夷为平地,才拿着水管去灭火无事无补。你需要持续的可见性,并且辅以全面的安全功能。这些是改善安全状况的必要步骤,在面对具有动态性和弹性的现代云计算环境时更是如此。

本文分享自微信公众号 - 云计算D1net(D1Net02)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-09-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

法国政府搞的一个软件项目,坑出新境界

【编者按】:很多软件项目开发时间大大超出了规划的时间,投入大量资金和人力,都没有实在的结果。如果你讨厌你的编程工作,请认真阅读这篇 2008 年的文章吧。法国科...

16530
来自专栏云计算D1net

选择云存储 不重视这八个问题就会吃亏

将存储移动到云上会有一些很诱人的好处,但前提是,你能够避免云存储中的一些常见的问题。以下是几个最应受到重视的云存储问题,如果你想将非常重要的数据转移到云存储中,...

36980
来自专栏机器人网

深度报道:小型装配机器人渐行渐近(上)

电子产品正在萎缩,产品更加定制化且生命周期越来越短。劳动力不足,用人成本上升。那么,制造商对此能做些什么呢? 快来看看柔性自动化。机器人正变得更便宜、更小、更精...

38290
来自专栏黑白安全

我的渗透测试之道

我做渗透测试也有一段时间了,服务了很多企事业单位,由于我所在的单位性质的关系,也接触到了很多其他公司接触不到的项目,从中也积累了很多的经验。

19320
来自专栏云计算D1net

云计算提供商在2017年需做好应对网络攻击的准备

在对于全球主要安全供应商在2017年可能发生的事件的年度预测中,主要云计算服务提供商将在2017年遭遇更多的网络攻击,其中包括勒索软件可能进入基于云计算的数据中...

27640
来自专栏FreeBuf

大数据安全保护思考

大数据安全保护思考 随着大数据时代的来临,企业数据开始激增,各种数据在云端、移动设备、关系型数据库、大数据库平台、pc端、采集器端等多个位置分散。对数据安全来说...

30990
来自专栏云计算D1net

FreeForce会成为Salesforce的颠覆者吗?

为什么我们要把SaaS产品按代划分呢?我们把SaaS接过ASP的接力棒后称为一代产品,当时的SaaS是互联网时代下的产品,以Salesforce为代表的厂...

38970
来自专栏FreeBuf

有关事件响应(IR)自动化和协同的几点反思

有关事件响应(IR)自动化和协同的几点反思 IR(incident response),顾名思义,事件响应,旨在对一些潜在的危机,如数据外泄、DoS或DDoS攻...

21270
来自专栏速成应用小程序开发平台

喜茶如何打造一款效率至上的小程序 三个月累积百万用户?

估计十有八九的人都会回答“排队”。在喜茶门店门口,这是最常见的情况:十几、二十岁的年轻人,他们刷着手机、玩着自拍,通常排一两个,甚至是三四个小时的队等待一杯他们...

23730
来自专栏新智元

谷歌被爆强制追踪用户位置信息,以此获利高达954亿美元!

正如hCaptcha的创始人Eli-shaoul Khedouri所说:“大多数人都没有意识到,每次他们登录网站进行验证,点击那些小汽车的时候,他们正在帮助谷歌...

11320

扫码关注云+社区

领取腾讯云代金券