三、为保证云安全应采取的几种基本预防
- 密码优先
如果我们讨论的是理想的情况的话,那么你的用户名和密码对于每一个服务或网站都应该是唯一的,而且要得到许可。理由很简单:如果用户名和密码都是同一组,那么当其中一个被盗了,其它的帐户也同样暴露了。
2.检查安全问题
在设置访问权限时,尽量避开那些瞥一眼就能看出答案的问题,例如,Facebook头像。最好的方法选择一个问题,而这个问题的答案却是通过另一个问题的答案。例如,如果你选择的问题是“小时候住在哪里”,答案最好是“黄色”之类的。
3.试用加密方法
无论这种方法是否可行,它都不失为一个好的想法。加密软件需要来自用户方面的努力,但它也有可能需要你去抢夺代码凭证,因此没有人能够轻易获得它。
4.管理密码
这里讲的是,你可能有大量的密码和用户名需要跟踪照管。所以为了管理这些密码,你需要有一个应用程序和软件在手边,它们将会帮助你做这些工作。其中一个不错的选择是LastPass。
5.双重认证
在允许用户访问网站之前可以会有两种使用模式。因此除了用户名和密码之外,唯一验证码也是必不可少的。这一验证码可能是以短信的形式发送到你的手机上,然后进行登录。通过这种方法,即使其它人得到了你的凭证,但他们得不到唯一验证码,这样的他们的登录就会遭到拒绝。
6.不要犹豫,立刻备份
当涉及到云中数据保护时,人们被告知在物理硬盘上进行数据备份时,这听起来可能有些奇怪,但这确实是需要你去做的事。这就是为什么需要一遍一遍反复思考;你应该直接在你的外部硬盘上备份数据,并随身携带。
7.完成即删除
为什么有都无限的数据存储选择时,我们还要找麻烦去做删除工作呢?原因在于,你永远不知道有多少数据会变成潜在的危险。如果来自于某家银行帐户的邮件或警告信息时间太长,已经失去了价值,那么就删除它。
- 注意登录的地点
有时我们从别人设备上登录的次数,要比从自己设备上多得多。当然,有时我们也会忘记他人的设备可能会保存下我们的信息,保存在浏览器中。
9.使用反病毒、反间谍软件
尽管是云数据,但使用这一方法的原因在于你第一次从系统中访问云。因此,如果你的系统存在风险,那么你的在线数据也将存在风险。一旦你忘记加密,那么键盘监听就会获得你的云厂商密码,最终你将失去所有。
10.时刻都要管住自己的嘴巴
永远都不要把你的云存储内容与别人共享。保持密码的秘密性是必须的。为了附加的保护功能,不要告诉别人你所有使用的厂商或服务是什么
四、企业可以采取以下五个技巧来改善云计算的安全性。
-
建立完全可见性
组织有机地开发、获取和采用必须与遗留系统集成的新工具,并与不同的供应商和合作伙伴建立新的关系。在本地服务器和多个外部云计算服务之间传播数据,这并不罕见。日益增加的复杂性使得难以保持全局视图。
在调查中,当570名网络安全人员和IT专业人员被问及尝试保护云计算工作负载时最头痛的问题时,43%的受访者表示是基础设施安全性的可见性,38%的受访者表示是合规性,35%的受访者表示设置一致的安全策略。如果没有完全映射并建立实时可见性,企业无法保护其云计算环境,无论它看起来如何。 -
培训员工
绝大多数数据泄露事件都能追溯到人为错误,无论是错误配置、访问控制不良、网络钓鱼攻击还是简单错误。这就是适当的安全意识培训如此重要的原因。为企业员工提供所需的信息和技能,以降低恶意软件或未经授权的访问风险,并确保及时报告潜在事件。
确保企业的员工具备正确配置他们正在使用的工具所需的技能,这只是其中的一部分。还需要灌输良好的安全意识,并制定非常明确的政策,规定谁负责以及发生潜在事件时的程序。完全防止错误是不可能的,但正确的反应可以创造一个与众不同的世界。 -
尽早包含安全性
对于任何试图保护云计算平台的人来说,部分问题在于他们通常会将安全性改造为在设计时很少考虑的系统。负责安全的人往往努力说服压力不足的团队改变他们的流程。部门之间的障碍可能导致怨恨和抵制。
企业引入安全性并消除障碍是向DevSecOps转变的一部分,DevSecOps允许从任何项目的开始设计安全性。这可能是一个雄心勃勃的目标,但在任何讨论中尽早包含安全性的基本原则是有效的,无论是采用新工具,开发软件,还是云计算架构的变更。 -
持续监控
创建云计算的快照,并精确映射数据在任何给定时刻的位置只是基础,企业还需要不断警惕以应对产生的问题。数据应始终加密,应严格控制访问,监控流量,并尽快识别和修复漏洞。
企业需要持续监控网络,并持续提供有关潜在威胁的新信息。确保标记可疑行为,以便可以发现恶意内部人员以及未经授权的访问。为任何数据修改或删除构建清晰的审计路径。企业发现问题的速度越快,解决问题的机会就越大。 -
定期测试
与流行的看法相反,将数据转移到云中并不会将责任转移到云计算提供商。如果发生数据丢失,企业仍将承担监管处罚、丧失用户信任,以及所有其他相关后果的责任。这就是为什么企业必须对合作伙伴进行尽职调查并确保他们完全理解合规的意义的原因。
唯一可以确保企业内部和外部防御工作正常的方法就是测试。应该规划和实施定期测试程序,其中包括从渗透测试到模拟网络钓鱼攻击的所有内容。创建反馈循环并激发新兴威胁是确保企业的安全系统快速发展的最佳方法,但不要忘记将测试与可操作的补救建议联系起来,使企业的团队能够进行必要的更改。此外,不要忘记文档的安全。
文章内容部分来源于网络:
文章内容部分来源于 51cto <<云环境中面临的传统和新兴威胁>>
文章内容部分来源于 51cto <<提高云计算安全性的5个技巧>>
Ielab 李强伟