关于云安全的三个鲜为人知的秘密

如今,许多首席信息安全官呼吁人们需要正视云计算的安全需求。然而,尽管大家都有着共同的关注点,但采取的方法却各不相同;有些人呼吁在服务器方面做好防护工作,而另一些人则希望把重点放在工作人员在文件的上传、下载、协作等方面的安全教育,这通常会产生一系列新的限制和监控政策。虽然这些方法通常都是围绕服务器展开的,但让用户云平台更加安全的新方法应该成为优化云安全的重中之重。

1.保护设备与保护访问的云服务一样重要

似乎没有人否认操作系统(OS)提供商在设备保护方面最有效这一事实,这些提供商能够在零日时间内处理几乎所有的违规行为。工作人员用来访问组织资源的移动设备数量不断增加,正在出现被盗、人为疏忽或不负责任等安全漏洞。例如,如果某个设备已经植入病毒,或者已被加载一些非法应用程序,则该设备所访问的所有云服务都可能受到损害。

人们可能认为加强用户教育就足以解决这个问题,而用户需要为自己的行为负责任。然而,即使是最负责任、最安全的用户也仍然是一个风险因素。而且,就算用户本身的设备是安全的,但它仍处于危险区域。用户可能会有将敏感数据下载到设备,使用安装有键盘记录器的外部计算机,并将应用程序转载到私人设备等不安全行为。

因此,任何这些行为都会使恶意人员更容易破解设备,并以一种可能无法识别的方式植入程序,并且不会被用户检测到——至少在为时已晚之前。植入、加载、禁用加密、密码清除、未修补的操作系统,这些是将为设备、代理,以及云应用带来的一些风险。组织如果希望具有强大的云保护功能,则需要了解设备安全状况,以及识别出风险的能力。

2.网络是最容易被忽视的安全风险

然而,保护设备和云端并不意味着连接它们的网络不会受到威胁。如今的工作场所更具灵活性,工作人员更有可能在公共场所远程工作。无线网络有多种形式:一些无线网络在安全风险方面易于识别和分类,另一些无线网络在灰色地带之间,人们对这些并不熟悉。用户并不总是对他们所连接的网络给予足够的关注。有时用户确实不了解危险,有时他们只专注于找到连接到网络的最快方式,以便能够继续工作。工作人员通常通过咖啡店、酒店房间、机场的公共网络直接连接到企业的云平台。陌生的网络连接使用户难以对黑客进行防范,从而会为企业的云平台和整个云安全链带来风险。网络似乎是安全链路中最薄弱的部分。

不幸的是,许多人认为拒绝任何公共网络访问是最终的解决方案,但这是一种现实的方法吗?使用私有设备的员工总是在寻找最简单、最方便的解决方案,甚至在经历过糟糕的用户体验之后,他们仍会找到绕过网络安全限制的方法继续工作。这也是一个误导性的事实,即所有公共网络都是有风险的,事实上并非所有的开放网络都是恶意的。当网络的每一端(设备和云端)连接时都有内置的防护措施,而这些安全措施在网络本身很少存在。

因此,监控网络行为,并快速彻底地分析可疑网络至关重要,以便在发生任何损害之前识别出恶意网络。保护云平台需要有保护网络的姿态,以确保获得所有用户持续的信任,这意味着从安全性和加密设置一直到IP网络的路由路径都需要进行保护。毕竟,如果设备连接到一个受到威胁的网络,那么这个网络可以用来窃取用户的凭证,盗取企业数据或者删除加密,那么采用这样的网络会有什么好处呢?

3.了解用户行为对于确保安全使用和协作至关重要

在讨论任何安全问题时,恶意行为者似乎是一个出发点,但企业面临的内部威胁应该是真正的安全优先事项。有些用户的意图并不具有恶意,但他们的一些无意的行为却是危险的。有些用户甚至不知道他们的行为可能对运营产生影响。用户配置文件可以分为三个部分:用户角色,用户行为和协作模式。

用户的角色是权限、访问权限、合理行为的重要方面。良好的安全访问策略将提供帮助。例如,虽然可以授予管理员广泛的权限,但是不应该让他们从非公司网络获得对AWS的访问权限。市场营销人员可能不允许访问财务的Dropbox目录。

用户行为应该被视为一个轨迹地图。从用户操作的通常位置,到他们通常活动的特定时间,以及他们访问的典型服务这些都是他们的活动轨迹。在用户虚拟地图上映射他们的数字足迹之后,他们的任何异常都应该警告系统,并按照预先分配的安全策略行事。不寻常的异常行为采用强烈的信号标识。例如,监控设备的地理环境可以显示用户正尝试从亚洲登录,而他的设备却位于纽约。或者,通常每个工作日下载2MB到3MB文件的用户突然尝试在凌晨3点下载3GB文件。

至于协作模式,任何能够与协作者共享的内容都应该被监控。这包括授予哪些权限,哪些用户处于活动状态,哪些用户可以访问哪些信息,并且可以根据需要共享这些信息。只有能够理解用户行为的系统才能将用户标记为可信,并警告用户执行可能存在风险的活动。

设备保护、网络安全、用户行为是安全的三个要素,每个要素都是确保云安全的一个组成部分。它们是包含服务器本身的安全链的一部分,但也同样重要。将这三个鲜为人知的因素与安全链的其他关键部分结合起来,将会创建更强大的云安全。而首席信息安全官员不必担心云端安全,因为他们采用了正确的云安全方法。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2017-12-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏互联网数据官iCDO

Domo 还是 Tableau,如何选择正确的商业智能解决方案?

编者注: 随着行业对营销和推广效果的重视,数据的作用越来越大。而营销渠道的多样化,也导致数据来源的数量和数据本身的体量都越来越大。如何挖掘,分析和展现各种数据就...

5687
来自专栏HaHack

我在平安的两年

2425
来自专栏Seebug漏洞平台

期待已久,ZoomEye 网络空间搜索引擎第四版强势发布!

ZoomEye | 钟馗之眼,网络空间搜索引擎。探索一切,纵观一切!进行全球的漏洞感知与预警! ZoomEye 于2013年7月1日正式上线!一直到2016年,...

5976
来自专栏安智客

等级保护2.0之移动互联安全要求、设计

为什么要对《信息安全技术 网络安全等级保护基本要求》系列标准进行修改呢?还不是因为移动互联网的快速发展,导致原有的标准不适应新的要求!从这个侧面来说,等级保护2...

2062
来自专栏BestSDK

想让API“货币化”,走对这6步很重要

API市场解决的通常不只是开发者门户及API管理的其他技术方面的问题,还包括为保证API达成初衷——促进API的消费和使用——而产生的企业和人两个方面的问题。 ...

3678
来自专栏开源项目

企业代码安全知多少?这些是你应该了解的…

企业代码安全问题 代码是企业的信息化核心资产,是开发团队智慧的结晶,如何安放才更可靠? 代码管理系统,自建?选择云平台?有哪些需要考量的因素? 希望这一篇,能...

2745
来自专栏余威的专栏

支付系统的洪峰应对之法

随着科技和社会的进步,移动支付已经成为大众支付的第一选择,支付越来越便捷,公司在近几年也突飞猛进,随之诞生了一下巨型业务,加上各种节日,活动日的造势,支付量常常...

1370
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(95)-ETO按订单设计

5、ETO按订单设计 在这种生产类型下,一种产品在很大程度上是按照某一特定客户的要求来设计的,所以说支持客户化的设计是该生产流程的重要功能和组成部分。因为绝大多...

2874
来自专栏互联网数据官iCDO

如何及为何要建立一个受欢迎的Facebook群组

译者:Amber 审校:Nic 本文长度为4781字,预估阅读时间8分钟。 摘要:本文通过解析作者自身建立网站并成功吸引众多Facebook自然访问流量的经验...

5697
来自专栏Java架构

高效程序员如何优雅落地需求总体介绍大数据系统的架构图第三代系统架构第四代系统架构

7928

扫码关注云+社区

领取腾讯云代金券