Gyakorlatilag minden vállalkozás valamilyen felhőhálózatot működtet, vagyis a felhőbiztonság létfontosságú. Itt található azoknak a témáknak a felsorolása, amelyeket a biztonság megőrzése érdekében irányítania kell.
Magas rendelkezésre állás – beleértve a fenyegetés színészeit is
A felhő egyik fő előnye a magas rendelkezésre állás a tárolt erőforrások számára. Bárhonnan elérhetők. És ez nagyszerű. De ez azt is jelenti, hogy a felhő-infrastruktúrája – óhatatlanul! – internet felé néz. Ez megkönnyíti minden fenyegető szereplő számára, hogy megpróbáljon csatlakozni a szervereihez és szolgáltatásaihoz, port-szkennelést, szótári támadásokat és felderítő tevékenységeket végezzen.
A felhőinfrastruktúra vonatkozásában meg kell oldani néhány biztonsági kérdést, mint a helyszíni, hagyományos infrastruktúra esetében. Némelyik különbözik, vagy további kihívásokkal jár. Az első lépés a felhőinfrastruktúrához kapcsolódó kockázatok azonosítása. Ellenintézkedéseket és egyéb válaszokat és tevékenységeket kell végrehajtania, amelyek csökkentik vagy csökkentik ezeket a kockázatokat. Győződjön meg róla, hogy valóban dokumentálja-e őket, és gyakorolja azokat minden érintett és jelenlévő érdekelt féllel. Ez alkotja átfogó felhőbiztonsági stratégiáját.
A felhőbiztonsági stratégia hiánya olyan, mintha figyelmen kívül hagynánk a földi hálózatok kiberbiztonságát. Valójában valószínűleg rosszabb a felhő internet-jellegű jellege miatt.
Az egyes kockázatok, amelyekkel szembesül, kissé eltérnek attól függően, hogy miként használja a felhőt, és a felhő kínálatának milyen keverékét használja: infrastruktúra-szolgáltatásként, platform-szolgáltatásként, szoftver-szolgáltatásként, Konténerek szolgáltatásként stb. A kockázatok kategorizálásának különböző módjai vannak. Összegyűjtöttük őket koherens, de általános kockázati csoportokba. Vannak olyanok, amelyek nem vonatkoznak a pontos felhasználási esetekre, de mielőtt eldobná, győződjön meg róla, hogy valóban ez a helyzet.
Téves konfiguráció és emberi hiba
A felügyeleten, a túlterhelésen vagy a jobbak nem ismerésén alapuló hibák továbbra is bővelkednek minden méretű szervezetben. Az elfelejtett elemek és a kihagyott beállítások minden héten kompromisszumokat okoznak a rendszerben. A masszív Az Equifax 2017. évi megsértése több mint 160 millió ember személyes adatait szivárogtatták ki egy elavult SSL-tanúsítvánnyal. Ha lett volna egy folyamat, amely a megújuló elemeket szabályozza, és egyértelmű útmutatás lenne arról, hogy ki a felelős a folyamatért, akkor valószínű, hogy a tanúsítványt megújították volna, és a megsértés soha nem következett volna be.
A nem kutatott konténereket szinte hetente találják meg a biztonsági kutatók olyan eszközök segítségével, mint pl Shodan, egy keresőmotor, amely eszközöket, portokat és szolgáltatásokat keres. Ezek a jogsértések és kitettségek némelyike azért merül fel, mert az emberek azt várják, hogy a dolgok alapértelmezés szerint biztonságosak legyenek, ami nem így van. Miután felpörgette a távoli szervert, ugyanolyan keményítési lépéseket és biztonsági fejlesztéseket kell végrehajtania, mint bármely más szervernek. A javítás is létfontosságú. A szerver védelmeinek integritásának fenntartása érdekében biztonsági és karbantartási javításokat kell időben alkalmazni.
Alkalmazások, különösen adattárak és adatbázisok, mint pl Rugalmas keresés, telepítés után is meg kell keményíteni. Az alapértelmezett fiókok hitelesítő adatait meg kell változtatni, és az API-kat a kínált legmagasabb szintű biztonsággal kell védeni.
Két- vagy többtényezős hitelesítést kell használni, ha elérhető. Kerülje az SMS alapú kétfaktoros hitelesítést, ez könnyen veszélybe kerül. A fel nem használt API-kat ki kell kapcsolni, ha nincs szükség rájuk, vagy ki kell adni a kiadatlan – és a privát – API kulcsokkal, hogy megakadályozzák azok használatát. Webalkalmazások tűzfalai védelmet nyújt olyan fenyegetésekkel szemben, mint az SQL injekciós támadások és a webhelyek közötti parancsfájlok.
A változás-ellenőrzés hiánya
A konfigurációs hibákhoz kapcsolódnak a működő rendszer módosításakor vagy frissítésekor bevezetett sebezhetőségek. ellenőrzött és kiszámítható módon kell elvégezni. Ez azt jelenti, hogy meg kell tervezni és meg kell egyezni a változtatásokkal, felül kell vizsgálni a kódot, alkalmazni kell a módosításokat egy homokozós rendszerre, tesztelni és bevezetni az élő rendszerre. Ez tökéletesen megfelel az automatizálásnak – mindaddig, amíg a fejlesztés a telepítési csővezetékig megfelelően robusztus, és valóban alaposan teszteli azt, amit gondol.
Egyéb változások, amelyekről tudnia kell, a fenyegetettségben vannak. Nem lehet ellenőrizni, hogy milyen új biztonsági réseket fedeztek fel és adtak hozzá azokhoz a kiaknázások listájához, amelyeket a szereplők használhatnak. Annak érdekében, hogy ellenőrizze a felhő infrastruktúráját, hogy minden jelenleg ismert a sebezhetőségekkel foglalkozunk.
Gyakori és alapos behatolásvizsgálatokat kell futtatni a felhő infrastruktúrájával szemben. A biztonsági rések felkutatása és kijavítása alapvető eleme a felhőalapú befektetések biztonságának megőrzésében. A behatolásvizsgálatok elfelejtett nyitott portokat, gyenge vagy nem védett API-kat, elavult protokollkötegeket, gyakori hibás konfigurációkat, az összes biztonsági rést kereshetnek. Gyakori biztonsági rések és expozíciók adatbázis, és így tovább. Automatizálhatók és beállíthatók riasztásra, ha cselekvésre alkalmas elemet fedeztek fel.
Számla eltérítés
A fiókeltérítés annak a rendszernek a megsértésének a neve, amelynek segítségével hozzáférhet egy jogosult személy e-mail fiókjához, bejelentkezési adataihoz, vagy bármely más információhoz, amely a számítógépes rendszeren vagy szolgáltatáson keresztül történő hitelesítéshez szükséges. A fenyegetés szereplője ekkor szabadon megváltoztathatja a fiók jelszavát, és rosszindulatú és illegális tevékenységet folytathat. Ha megsértették egy rendszergazda fiókját, létrehozhatnak egy új fiókot maguknak, majd bejelentkezhetnek, látszólag érintetlenül hagyva az adminisztrátor fiókját.
Az adathalász támadások vagy a szótári támadások a hitelesítő adatok megszerzésének általános eszközei. A szótári szavak és a permutációk, amelyek a közös szám- és betűhelyettesítést használják, a szótári támadások más adatsértésekből származó jelszavak adatbázisát is felhasználják. Ha a számlatulajdonosok bármelyikét más rendszerek korábbi megsértése érte, és újból használja a feltört jelszót a rendszerein, akkor biztonsági rést hoztak létre a rendszerén. A jelszavakat soha nem szabad újra felhasználni más rendszereken.
Ebben segít a két- és többtényezős hitelesítés, valamint a sikertelen hozzáférési kísérleteket kereső naplók automatikus vizsgálata. De mindenképpen ellenőrizze a tárhelyszolgáltató házirendjét és eljárásait. Feltételezed, hogy az iparág legjobb gyakorlatait követik, de 2019-ben kiderült, hogy a Google ezt követte a G Suite jelszavainak egyszerű szöveges tárolása– 14 évig.
Csökkentett láthatóság
A ködben való vezetés hálátlan feladat. És hasonló kilátást jelent a rendszer adminisztrálása az alacsony szintű, részletes információk nélkül, amelyeket a biztonsági szakemberek használnak a hálózat biztonságának figyelemmel kísérésére és ellenőrzésére. Nem fogsz olyan jó munkát végezni, mintha látnád, amire szükséged van.
A legtöbb felhőszerver általában több csatlakozási módot támogat, például a Távoli asztali protokollt, a Biztonságos héjat és a beépített webportálokat, hogy csak néhányat említsünk. Mindezek megtámadhatók. Ha támadások történnek, tudnia kell. Egyes tárhelyszolgáltatók jobb naplózást vagy átláthatóbb hozzáférést biztosítanak a naplókhoz, de ezt kérnie kell. Alapértelmezés szerint nem csinálják.
A naplókhoz való hozzáférés csak az első lépés. Elemezned kell őket, és gyanús viselkedést vagy szokatlan eseményeket kell keresned. A naplók összesítése több különböző rendszerből és azok áttekintése egyetlen idővonalon áttekinthetőbb lehet, mint az egyes naplók külön-külön átgázolása. A reális elérés egyetlen módja olyan automatizált eszközök használata, amelyek megmagyarázhatatlan vagy gyanús eseményeket keresnek. A jobb eszközök egybeesnek és megtalálják az olyan eseménymintákat, amelyek támadások következményei lehetnek, és amelyek minden bizonnyal további vizsgálatot indokolnak.
Az adatvédelmi előírások be nem tartása
A meg nem felelés a rendszer téves konfigurálásának adatvédelmi és adatvédelmi egyenértékűsége. A személyes adatok törvényes gyűjtésének, feldolgozásának és továbbításának biztosítása érdekében a törvény által előírt irányelvek és eljárások be nem tartása más típusú sebezhetőség, de mégis sebezhetőség.
Könnyű csapdába esni is. Az adatvédelem nyilvánvalóan jó dolog, és jó dolog az a jogszabály is, amely előírja a szervezetek számára, hogy az emberek adatait védjék és védjék. Magának a jogszabálynak a nyomon követése azonban nagyon nehéz szakember segítsége vagy megfelelő készségekkel és tapasztalattal rendelkező házi erőforrások nélkül.
Folyamatosan új jogszabályokat hoznak, és a meglévő jogszabályokat módosítják. Amikor az Egyesült Királyság elhagyta a Európai Gazdasági Unió (EEU) 2020. január 31-én az egyesült államokbeli vállalatok kíváncsi helyzetbe kerültek. Be kell tartaniuk az Egyesült Királyság-specifikus változatát Általános adatvédelmi rendelet az Egyesült Királyság második fejezete tartalmazza Adatvédelmi törvény, 2018—Az Egyesült Királyság állampolgáraival kapcsolatos minden adatuk. Ha a birtokában lévő személyes adatok bármelyike máshol lakóhellyel rendelkezik Európában, akkor a EU GDPR játékba kerül.
A GDPR pedig minden szervezetre vonatkozik, függetlenül attól, hogy hol található. Ha összegyűjti, feldolgozza vagy tárolja az Egyesült Királyság vagy az európai állampolgárok személyes adatait, akkor a GDPR-ek egyike vonatkozik Önre – ezzel nemcsak az Egyesült Királyság és az EU szervezeteinek kell foglalkozniuk. Ugyanez a modell vonatkozik a Kaliforniai fogyasztói adatvédelmi törvény (CCPA). Védi a kaliforniai lakosokat, tekintet nélkül az adatfeldolgozás helyére. Tehát nem csak a kaliforniai szervezeteknek kell ezzel foglalkozniuk. Nem az Ön tartózkodási helye számít. Ez a helye személy, akinek az adatait feldolgozza az számít.
Kalifornia nem egyedül foglalkozik az adatvédelem jogszabályokkal történő kezelésével. Nevada és Maine jogszabályok is érvényben vannak, és New York, Maryland, Massachusetts, Hawaii és Észak-Dakota végrehajtja saját adatvédelmi törvényeit.
Ez kiegészül a vertikálisan összpontosító szövetségi jogszabályok, például a Egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), a Gyermekek online adatvédelmi szabálya (COPPA) és a Gramm-Leach-Bliley törvény (GLBA), ha ezek bármelyike vonatkozik a tevékenységeire.
Ha a felhőalapú infrastruktúráján keresztül gyűjti az információkat egy portálon vagy webhelyen keresztül, vagy adatokat tárol egy hosztolt szerveren, akkor a törvények ezen tömegének egy része vonatkozik rád. A be nem tartás jelentős pénzügyi szankciókat vonhat maga után adatvédelmi jogsértések esetén, emellett a jó hírnév sérelme és a csoportos keresetek lehetősége.
Készen van, ez egy teljes munkaidős munka
A biztonság soha véget nem érő kihívás, és a felhőalapú számítástechnika meghozza saját, egyedi aggályait. A tárhely vagy a szolgáltató gondos megválasztása kritikus tényező. Ügyeljen arra, hogy alapos átvilágítást végezzen, mielőtt hivatalosan kapcsolatba lépne velük.
- Maguk komolyan gondolják a biztonságot? Mi a múltbeli eredményük?
- Felajánlanak útmutatást és támogatást, vagy eladják neked a szolgáltatásukat, és rád hagyják?
- Milyen biztonsági eszközöket és intézkedéseket nyújtanak szolgáltatásaik részeként?
- Milyen naplók állnak rendelkezésére?
Amikor felhőalapú számítást tartanak, valaki általában ezt a jól ismert hangfalat kínálja: „A felhő csak valaki más számítógépét jelenti.” Mint minden hangfal, ez is durva túlegyszerűsítés. De még mindig van benne némi igazság. És ez kijózanító gondolat.
