云计算时代如何保护自己的数据

随着越来越多的组织采用云计算,内部部署数据中心的时代将会逐渐终结。从小规模企业到规模最大的跨国公司,无论在哪里,都可以看到云计算应用程序。云计算服务的使用量每年都会持续增长,截至2016年,每个组织平均使用1427个云服务。

虽然这一强劲的增长前景看好,但也带来了一系列新的网络安全威胁。通常每个企业每个月都会遭受到23个云安全威胁的影响,这使得云计算看起来像是一项有风险的责任。此外,敏感信息占上传到云端的数据的18%。但是,通过适当的安全配置和工具,即使是最隐秘的数据,也可以在云中轻松实现。为了正确理解云计算的安全性,人们了解大型漏洞背后的主要罪魁祸首至关重要。

影子IT:云计算的未知风险

对于云安全来说,最大的威胁之一是影子IT(Shadow IT),这是在未经组织IT部门了解或同意的情况下员工使用未经授权的云服务。由于以下几个原因,影子IT对云安全构成很大风险:

首先,企业员工在决定是否使用云服务时通常不会审查应用程序的安全性。另一方面,IT专家在批准公司范围使用之前,需要经过广泛的审查过程,权衡应用程序的安全风险和云计算功能。

其次,IT部门只知道组织中使用的影子云应用程序的10%。剩下的90%超出了IT部门的职责范围。

如何保护组织的受制裁和影子云服务

(1)可见性

可见性是克服影子IT固有风险的基础。这是由于影子IT根据定义提出了未知级别的威胁,因为企业没有意识到员工正在使用的全部云服务。更高的可见性使IT部门能够开始量化风险,并制定降低风险的策略。

可见性的一个要素包括监控风险云服务的使用,对其URL或IP进行编目,并根据安全风险评估等级批准或阻止它们。为应用程序提供安全风险评级,将需要对应用程序的安全功能进行彻底调查,例如对数据进行静态加密,还是在本地提供多因素身份验证(MFA)等。

(2)威胁检测

每天,全球各组织可以从他们的云计算应用中产生数十亿个事件。从下载/上传文档到尝试登录服务的任何事情都会生成一个事件。

表示威胁的事件很容易丢失或被忽略。通过数据科学、机器学习以及用户和实体行为分析(UEBA),组织可以筛选可能会显示出异常活动的事件,并标记出只是那些实际威胁的事件。

想象一下,用户反复尝试登录Salesforce失败。经过多次失败尝试后,检测到帐户可能发生异常。但是,如果用户将Caps Lock键放开,该怎么办? IT专业人员如何将其视为正常行为并忽略它?

再进一步,威胁防护软件如何准确地将其归类为正常行为并忽略它,使IT安全专业人员不必调查这些日常活动的警报?虽然网络攻击者可能能够窃取员工的凭证,但攻击者无法模仿员工的行为模式。事实证明,人们导航和使用应用程序的方式是独特的,这是一种数字身体语言。

这种模式几乎不可能由网络犯罪分子复制。回到Salesforce用户登录,在验证了几次失败尝试后,如果用户的行为与先前的行为一致,可以查明用户是正确的还是冒充的。

使用数据科学和机器学习来观察和分析行为模式并不是一项新技术。信用卡提供商使用数据科学和分析来识别欺诈信用卡收费。虽然尽可能地进行尝试,信用卡的盗窃者很难完全模仿正常交易的细节,而随着时间的推移,建立和完善的算法已经变得非常精通于检测,即使是最无害的交易。

(3)保护数据本身——加密和标记

数据安全的两个重要元素是加密和标记,它们用于保护敏感信息的相同目的,但操作方式稍有不同。加密通过使用加密密钥将数据转换为密码文本来工作。在加密数据后,再次使信息可以被理解的唯一方法是输入适当的解密密钥。

令牌化以不同的方式保护数据。本质上,为纯文本生成一个随机标记,然后将其存储在数据库中。标记化的最大好处是它存储了本地的实际数据,并且只有标记值被上传到云端。但是,如果令牌到文本映射数据库被攻击,其敏感信息仍然可能被暴露。令牌化通常用于结构化数据。

(4)云安全的合规性

数据安全有许多法规和规定,如PCI-DSS,HIPAA-HITECH和EU-GDPR。但是,重要的是要记住,将数据存储在云中与将数据存储在本地数据库中不同。为了遵守内部/外部政策,应从以下步骤开始:

•识别上传到云端的信息类型(健康信息、个人身份信息、支付卡信息等)。

•限制敏感数据的第三方控制。

•避免将机密信息上传到云端。

•在每个云计算应用程序中应用统一的DLP策略,以确保所有数据的安全。

•清点现有政策并将其适应云计算环境。

(5)其他云安全工具

这些最佳实践是保护云中数据的重要第一步,但以下工具可以增加更多安全性。

•SIEM:安全信息和事件管理(SIEM)是大型企业的重要工具。该工具可以查看入站事件,并实时标记潜在的安全威胁。

•用户访问控制:最小权限原则规定,员工只能访问他们需要的工作。单点登录(SSO)和访问管理(IDM)可以通过管理用户登录、访问以及角色和权限来确保这一点。

•云计算防火墙:云计算防火墙更适合较低级别的威胁,但它们为从云端定位网络的威胁提供了重要的屏障,反之亦然。

•云访问安全代理:作为客户与云应用程序之间的控制点,云访问安全代理(CASB)提供云中用户活动和威胁检测的可视性,以保护数据免受各种攻击。

•云数据加密:通过将信息转换为密码文本,即使所有其他安全层被破坏,黑客也无法使用敏感数据,而无需解密密钥。

一个试图从数据库转移到云端的组织最初可能会被影子IT和内部威胁带来的风险抛出。幸运的是,通过有效的最佳实践和各种云计算安全工具,企业现在可以安心地将数据存储在云中。

(来源:企业网D1Net)

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2018-06-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

解决软件即服务的合规性问题

现如今,企业用户对于SaaS的使用正在迅猛增长,而这一趋势似乎将超过企业购买软件许可证,使用内部部署的形式。而这无疑就为企业的IT经理们带来了两大关于监管合规性...

3085
来自专栏喔家ArchiSelf

IoT之智能照明

大多数照明控制系统仍然基于遗留的连接模型,这些模型是该领域专有的。 与物联网技术的深入整合是下一个主要的颠覆性转变,这将导致真正的智能照明与建筑连接管理的基础设...

1794
来自专栏vue学习

读《学习之道》— 组块构建与避免能力错觉

要熟练的掌握数学和科学知识,就要创造一些概念组块——这是通过意义将分散的信息碎片组合起来的过程。把要处理的信息构成组块,可以使大脑更高效地运转。只要把一个想法或...

1244
来自专栏飞总聊IT

上周上市的大数据公司MongoDB的前生今世

声明:本文仅代表个人观点,和本人公司无关。 1 本文由本人在极客时间的专栏系列文章(4篇)总结而成。感谢极客邦允许我发表在公众号上。文章写得不够详细,分析也不够...

5127
来自专栏微信小程序开发

你是如何看待小程序分享功能调整?

2094
来自专栏BestSDK

云服务最重要的“看门狗”——IaaS

从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增...

31010
来自专栏FreeBuf

反编译分析吃鸡辅助器外挂:无外挂功能,疑诈骗钱财

腾讯移动安全实验室APP威胁情报项目组发现一个吃鸡辅助器的欺诈样本,用户需支付一定金额开启外挂功能,但该样本本身并没有外挂功能。因涉及诈骗用户钱财,建议关注。...

2067

制造商的物联网之旅:概念,生产及超越

许多关于物联网的文章都侧重于收集数据见解,但很少有人能够解释物联网发展之旅本身。如果公司了解最佳应用以及如何辨别潜在的障碍,那么探索硬件物联化方式并开始生成数据...

2324
来自专栏安恒信息

BlackHat 第二天:移动安全技术大有可为

今天关注的依然是移动安全方面的议题。其中的热点,很多现场演示都让我们对物联网信息社会的网络安全充满担忧。同时,我们也从专家的发言中看到,安恒信息目前的...

3276
来自专栏云计算D1net

云迁移对于安全性来说是否过快?

2017年2月,专注于企业级沟通工具的Slack公司发现了一个漏洞,这个漏洞有可能导致Slack公司每天四百万活跃用户的数据泄露。而在当月,专注于安全的内容分发...

34410

扫码关注云+社区

领取腾讯云代金券