2019年的雲端安全最佳實踐19大原則

雲端計算現已進入商業可用性的第二個十年，已經幾乎無處不在，大約95％的企業報告稱他們擁有雲端策略。雖然雲端提供商比以往更安全，但使用任何雲端服務仍存在風險。幸運的是，遵循這些雲端安全最佳實踐可以大大減輕它們：

保護您的雲端數據

1. 1.確定哪些數據最敏感。雖然全面應用最高級別的保護自然會過度，但未能保護敏感數據會使您的企業面臨知識產權損失或監管處罰的風險。因此，首要任務應該是通過數據發現和分類來理解要保護的內容，這通常由數據分類引擎執行。旨在提供全面的解決方案，以定位和保護網路，端點，數據庫和雲端中的敏感內容，同時為您的組織提供適當級別的靈活性。
2. 2.如何訪問和存儲這些數據？雖然敏感數據確實可以安全地存儲在雲中，但它肯定不是定局。按照邁克菲2019採用雲端和風險報告，在雲端中的所有文件的21％包含敏感數據的急劇從前年增加。雖然大部分數據都存在於完善的企業雲服務（如Box，Salesforce和Office365）中，但重要的是要意識到這些服務都不能保證100％的安全性。這就是為什麼檢查與雲環境中的數據相關聯的權限和訪問上下文並進行適當調整的重要性。在某些情況下，您可能需要刪除或隔離已存儲在雲端中的敏感數據。
3. 3.誰應該能夠分享它，以及如何分享？雲端中敏感數據的共享量同比增長了50％以上。無論您的威脅緩解策略有多強大，風險都太高而無法採取被動方法：在數據進入雲之前，應建立並實施訪問控制策略。正如需要編輯文檔的員工數量遠遠少於可能需要查看文檔的人數一樣，很可能不是每個需要能夠訪問某些數據的人都需要能夠共享定義組並設置權限，以便僅為需要共享的人啟用共享可以極大地限制外部共享的數據量。
4. 4.不要依賴雲服務加密。文件級別的全面加密應該是所有雲端安全工作的基礎。雖然雲服務中提供的加密可以保護您的數據免受外部各方的侵害，但它必然會讓雲服務提供商訪問您的加密密鑰。要完全控制訪問，您需要在將數據上傳到雲之前使用自己的密鑰部署嚴格的加密解決方案。

最大限度地減少內部雲安全威脅  

5. 5.將員工雲使用帶出陰影。 僅僅因為您制定了企業雲安全策略並不意味著您的員工沒有按照自己的條件使用雲。從Dropbox等雲存儲帳戶到在線文件轉換服務，大多數人在訪問雲之前都不會諮詢IT。要衡量員工雲使用的潛在風險，您應首先檢查您的Web代理，防火牆和SIEM日誌，以全面了解正在使用哪些雲服務，然後對員工/組織的價值進行評估。全部或部分部署在雲中時的風險。此外，請記住，影子使用不僅僅是指訪問未知或未授權服務的已知端點 - 您還需要一種策略來阻止數據從可信雲服務轉移到您不知道的非託管設備。由於雲服務可以從連接到互聯網的任何設備提供訪問，因此非託管端點（如個人移動設備）會在您的安全策略中造成漏洞。您可以通過將設備安全驗證作為下載文件的先決條件來限制下載到未授權設備。
6. 6.創建一個“安全”列表。雖然您的大多數員工都在利用雲服務進行上述工作，但其中一些員工會無意中發現並使用可疑的雲服務。在普通組織使用的1,935個雲服務中，有173個被列為高風險服務。1通過了解貴公司正在使用哪些服務，您將能夠設置策略1.）概述雲中允許的數據類型，2。）建立員工可以利用的“安全”雲應用程序列表，以及3.）解釋安全使用這些應用程序所需的雲安全最佳實踐，預防措施和工具。
7. 7.端點也發揮作用。大多數用戶通過Web瀏覽器訪問雲，因此部署強大的客戶端安全工具並確保瀏覽器是最新的並受到瀏覽器漏洞保護，這是雲安全的重要組成部分。要全面保護最終用戶設備，請使用高級端點安全性，例如防火牆解決方案，尤其是在使用IaaS或PaaS模型時。
8. 8.展望未來。新的雲應用程序頻繁上線，雲服務的風險迅速發展，使得手動雲安全策略難以創建並保持最新。雖然您無法預測將要訪問的每個雲服務，但您可以使用有關雲服務風險配置文件的信息自動更新Web訪問策略，以阻止訪問或顯示警告消息。通過與您的安全Web網關或防火牆集成閉環補救（基於服務範圍的風險評級或不同的雲服務屬性實施策略）來實現此目的。系統將自動更新和實施策略，而不會中斷現有環境。
9. 9.防範粗心和惡意用戶。如果組織每月平均發生14.8次內部威脅事件，而94.3％的組織平均每月至少經歷一次，那麼您是否會遇到這種威脅並不是問題。這是什麼時候的問題。這種威脅包括無意暴露 - 例如意外傳播包含敏感數據的文檔 - 以及真正的惡意行為，例如銷售人員在離開加入競爭對手之前下載完整的聯繫人列表。粗心的員工和第三方攻擊者都可能表現出暗示惡意使用雲數據的行為。利用機器學習和行為分析的解決方案可以監控異常並減輕內部和外部數據丟失。
10. 10.信任。但要驗證。使用新設備訪問雲中敏感數據的任何人都應該要求進行額外驗證。一個建議是自動要求對任何高風險雲訪問方案進行雙因素身份驗證。專業的雲安全解決方案可以為用戶提供實時額外身份因素進行身份驗證的要求，利用現有身份提供商和最終用戶已經熟悉的身份因素 。

與信譽良好的雲提供商建立強大的合作夥伴關係

11. 11.法規遵從仍然是關鍵。 無論將多少基本業務功能轉移到雲，企業都不能將合規責任外包出去。無論您是否需要遵守加州消費者隱私法案，PCI DSS，GDPR，HIPAA或其他監管政策，您都需要選擇一個雲架構平台，以滿足適用於您所在行業的任何監管標準。從那裡，您需要了解您的提供商將遵守哪些合規方面，哪些方面仍屬於您的職權範圍。雖然許多雲服務提供商已獲得無數行業和政府法規的認證，但您仍有責任在雲上構建合規的應用程序和服務，並保持合規性不斷發展。
12. 12.但品牌合規性也很重要。遷移到雲並不意味著犧牲您的品牌戰略。制定一個全面的計劃，通過雲服務管理身份和授權。符合SAML，OpenID或其他聯合標準的軟件服務使您可以將企業身份管理工具擴展到雲中。
13. 13.尋找值得信賴的供應商。致力於問責制，透明度和滿足既定標準的雲服務提供商通常會展示SAS 70 Type II或ISO 27001等認證。雲服務提供商應提供易於訪問的文檔和報告，例如審核結果和認證，並提供與評估過程。審核應獨立進行，並以現有標準為基礎。雲提供商有責任持續維護認證並通知客戶狀態的任何變化，但客戶有責任了解所使用的標準範圍 - 一些廣泛使用的標準不評估安全控制，以及一些審計公司和審核員比其他人更可靠。
14. 14.他們是如何保護你的？ 沒有雲服務提供商提供100％的安全性。在過去的幾年中，許多高調的CSP已成為駭客攻擊的目標，​​包括AWS，Azure，Google Drive，Apple iCloud，Dropbox等。檢查提供商的數據保護策略和多租戶架構（如果相關）非常重要 - 如果提供商自己的硬體或操作系統受到威脅，託管在其中的所有內容都將自動處於風險之中。因此，使用安全工具並檢查先前的審計以發現潛在的安全漏洞非常重要（如果提供商使用自己的第三方提供商，雲安全最佳實踐建議您也檢查他們的認證和審核。）從那裡，您將能夠確定必須解決哪些安全問題。例如，尋找能夠提供全面保護以及用戶彌合任何差距的能力的提供商對於保持強大的雲安全狀態至關重要。
15. 15.仔細調查雲提供商合同和SLA。雲服務合同是您唯一的服務保證，並且您的主要追索權應該出現問題 - 因此必須全面審查和理解您協議的所有條款和條件，包括任何附件，附表和附錄。例如，合同可以區分負責數據的公司和獲取數據所有權 的公司。（只有37.3％供應商指定的客戶數據由客戶擁有，其餘的要么不依法指定誰擁有數據，建立一個法律的灰色地帶，或者更嚴重，所有上傳的數據的要求所有權。1）該服務是否提供對安全事件和響應的可見性？是否願意為您的企業監控工具提供監控工具或掛鉤？它是否提供有關安全事件和響應的月度報告？如果您終止服務會對您的數據產生什麼影響？（請記住，只有13.3％的雲提供商會在帳戶終止時立即刪除用戶數據。其餘的會將數據保留長達一年，有些人指定他們有權無限期保留數據。）如果您發現合同的某些部分令人反感，您可以嘗試進行談判 - 但如果您被告知某些條款是不可協商的，則由您決定接受條款的風險是否對您的企業來說是可接受的。如果沒有，您需要找到管理風險的替代方法，
16. 16.如果出現問題怎麼辦？由於沒有兩個雲服務提供商提供相同的安全控制集 - 再次，沒有雲提供商提供100％的安全性 - 制定事件響應（IR）計劃至關重要。確保提供商包含您並認為您是創建此類計劃的合作夥伴。建立與事件有關的溝通路徑，角色和責任，並提前完成響應和交接。SLA應說明雲提供商在事件發生時將提供的數據的詳細信息，如何在事件期間處理數據以維持可用性，並保證在每個階段有效執行企業IR計劃所需的支持。雖然持續監測將提供早期檢測的最佳機會，但應至少每年進行一次全面測試，
17. 17.保護您的IaaS環境。使用AWS或Azure等IaaS環境時，您將對操作系統，應用程序和網絡流量的安全性負責。應將高級反惡意軟體技術應用於操作系統和虛擬網絡，以保護您的基礎架構。為單一用途工作負載部署應用程序白名單和內存利用防護，並為文件存儲和通用工作負載部署基於機器學習的保護。
18. 18.中和並從雲端中刪除惡意軟體。惡意軟體可以通過與雲存儲服務自動同步的共享文件夾感染雲工作負載，將惡意軟體從受感染的用戶設備傳播到另一個用戶的設備。使用雲安全解決方案程序掃描您存儲在雲中的文件，以避免惡意軟體，勒索軟體或數據竊取攻擊。如果在工作負載主機或雲應用程序中檢測到惡意軟體，則可以隔離或刪除惡意軟體，保護敏感數據免受攻擊，並防止勒索軟體損壞數據。
19. 19.定期審核您的IaaS配置。  如果配置錯誤，IaaS環境（如AWS或Azure）中的許多關鍵設置可能會產生可利用的漏洞。在任何給定時間，組織平均至少有14個配置錯誤的IaaS實例，導致每月平均有近2,300個錯誤配置事件。更糟糕的是，在使用的20個AWS S3存儲桶中，有超過1個被錯誤配置為可公開讀取。為避免此類數據丟失的可能性，您需要審核配置以進行身份和訪問管理，網路配置和加密。邁克菲提供免費的雲審計，幫助您入門。

 McAfee 2019雲採用和風險報告

 資料來源:https://securingtomorrow.mcafee.com/business/cloud-security/top-19-cloud-security-best-practices/