信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了五份聯(lián)合網(wǎng)絡(luò)安全公告，其中包含保護云環(huán)境的最佳方法。

近年來，云服務(wù)在企業(yè)中變得越來越受歡迎，因為它們提供托管服務(wù)器、存儲和應(yīng)用程序，而無需管理自己的基礎(chǔ)設(shè)施。

云服務(wù)已經(jīng)變得非常普遍，以至于許多企業(yè)應(yīng)用程序開發(fā)人員都提供他們管理的本地版本和云托管版本，從而減輕了企業(yè)管理員的負擔。

近期，NSA和CISA發(fā)布的五份關(guān)于如何使用最佳方法保護云服務(wù)的聯(lián)合文件，重點關(guān)注身份和訪問管理解決方案、密鑰管理解決方案、云中數(shù)據(jù)加密、云存儲管理以及降低托管服務(wù)提供商的風險。

使用安全的云身份和訪問管理實踐

“此網(wǎng)絡(luò)安全信息表(CSI)的目的是解釋云身份管理的一些常見威脅，并推薦企業(yè)在云中操作時應(yīng)采用的最佳實踐方法來減輕這些威脅。”

此CSI包括身份和訪問管理的提示，包括配置MFA、憑據(jù)存儲和權(quán)限分區(qū)，以便多人需要提升權(quán)限或執(zhí)行敏感操作。

使用安全云密鑰管理方法

“此CSI概述了基于這些因素的關(guān)鍵管理選項，并推薦了使用它們時要考慮的最佳方案。對于云KMS的任何使用，理解和記錄共享安全責任至關(guān)重要。”

此CSI討論如何安全地配置密鑰管理解決方案(KMS)。

在云環(huán)境中實施網(wǎng)絡(luò)分段和加密

“這份網(wǎng)絡(luò)安全信息表(CSI)提出了在云環(huán)境中實施這些原則的建議，這可能與本地(on-prem)網(wǎng)絡(luò)不同。雖然本地網(wǎng)絡(luò)需要專門的設(shè)備來啟用ZT，但云技術(shù)本身就提供了在不同程度上實施這些建議所必需的基礎(chǔ)設(shè)施和服務(wù)。此CSI重點關(guān)注使用云環(huán)境中常見功能的最佳實踐。”

此CSI提供了有關(guān)對傳輸中的數(shù)據(jù)進行加密，以及如何最好地對云服務(wù)進行分段的提示，除非必要，否則它們無法相互通信。

保護云中的數(shù)據(jù)

“此網(wǎng)絡(luò)安全信息表的目的是概述云存儲是什么以及正確保護和審核云存儲系統(tǒng)的常見做法。”

此CSI提供了有關(guān)加密靜態(tài)數(shù)據(jù)、保護數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問以及創(chuàng)建備份和恢復(fù)計劃的指南。

降低云環(huán)境中托管服務(wù)提供商的風險

“這份網(wǎng)絡(luò)安全信息表概述了選擇和使用MSP服務(wù)時需要考慮的五個重要方面。”

托管服務(wù)提供商(MSP)通常對客戶網(wǎng)絡(luò)具有高級別訪問權(quán)限，這使其成為了對威脅分子極具吸引力的目標。

此CSI提供了有關(guān)保護MSP使用的公司帳戶、審計其活動以及談判協(xié)議時應(yīng)考慮的事項的提示。

因為云服務(wù)往往存儲有價值的數(shù)據(jù)并可用于轉(zhuǎn)向內(nèi)部網(wǎng)絡(luò)，因此常常成為威脅分子的攻擊目標。