@贝壳儿
2年前 提问
1个回答

企业要改善云安全需要遵循哪些规则

delay
2年前

企业要改善云安全需要遵循以下规则:

  • 不要忽视开发人员的凭证:作为每天扫描数以百万计的公共和私人代码存储库的企业,再怎么强调健全的凭证策略的重要性也不为过。企业应该确保其开发人员至少只使用短期凭证,并最终投入所需的时间来完成一个完整的设置,其中包括管理(如保险库)和检测。

  • 始终查看默认配置:云计算提供商预先配置了通用的访问控制策略。这些策略很方便,但经常会发生变化,因为正在引入新服务,它们不一定符合企业的需求。企业可以通过选择退出不必要或未使用的服务来减少网络攻击面。

  • 列出可公开访问的存储:很多人在新闻中了解到一些云存储被开放并公开访问的消息。无论企业为对象和数据选择哪种存储方法,需要检查是否只有预期的组件可以公开访问。

  • 定期审核访问控制:云安全与企业的身份和访问管理策略一样强大。基于身份的安全系统逐渐占据主导地位,形成了所谓的“零信任”策略的基础。但就像其他事情一样,这些政策将被修改。实施最小特权原则是一个积极的过程,涉及微调对服务、系统和网络的访问。企业应该定期安排人工检查和自动检查并严格执行。

  • 利用网络结构:同样的规则也适用于网络企业应该利用云计算提供商的控制来构建更好的、细粒度的策略来仔细划分流量。

  • 预防性记录和监控:如果没有强大的监控和日志记录,就无法实现良好的安全性。基于风险的日志记录策略是必须的,但最重要的是,企业应该确保警报不仅已启用且正常工作,而且是可操作的,而不是在安全事件发生后查看的内容。在理想情况下,企业应该能够通过API或其他机制在其日志系统上聚合云日志。

  • 丰富资产清单:使用供应商的API来减轻库存管理的艰巨任务固然不错,但是通过有关所有权、用例和敏感性的额外信息来丰富这一点会更好。企业需要在策略中考虑它。

  • 防止域名劫持:云服务和DNS条目之间经常存在传递信任。企业需要定期检查其DNS和云配置,以防止出现接管情况。

  • 灾难恢复计划不是可选的:云计算环境不会自动解决灾难恢复(DR)问题。企业考虑什么级别的投资适合其云计算环境中的灾难性事件,并且设计一个灾难恢复(DR程序以从外部帐户、提供商或语言环境中恢复。

  • 限制人工配置:利用云原生安全工具和控制意味着自动化。需要记住,漏洞源于错误配置,而错误配置就是一种错误。需要完成的人工工作越多,错误潜入的漏洞就越多。企业需要推动其团队实现更多自动化,尽可能使用安全即代码并逐步强制执行不变性(不再可能人工配置)。