云基础设施安全:7个保护敏感数据的最佳实践
导语:云端安全防护进行时!
您的组织可能会利用云计算的实际优势:灵活性、快速部署、成本效益、可扩展性和存储容量。但是,您是否投入了足够的精力来确保云基础设施的网络安全?
您应该这样做,因为数据泄露、知识产权盗窃和商业秘密泄露在云中仍然可能发生。复杂云环境中的网络安全风险可能会使您难以保护数据并遵守许多标准、法律和法规的合规要求。
在本文中,我们分析了云的主要弱点,并提供了7种云基础设施安全最佳实践,以确保组织中的关键系统和数据的安全。
云计算中的基础设施安全性
云安全由不同的控制、过程和技术组成,用于保护组织的关键系统和数据免受来自云环境的网络安全威胁和风险。
为了更好地理解云环境的弱点,让我们来看看它的主要安全问题:
攻击面大。明确定义公司云环境的边界可能极具挑战性。系统和数据可能从多个角度受到攻击,包括远程员工的个人设备、未经授权的第三方云应用程序和服务以及公共网络。云数据在静止和传输过程中都可能受到攻击;
缺乏可见性。一些云提供商拥有对云IT基础设施的完全控制,而不会将基础设施暴露给客户。使用云计算平台的组织可能难以识别其云资产,以采取适当措施有效地保护其数据。此外,在云中跟踪员工的活动可能并不容易。
环境的复杂性。由于特定的需求,某些组织倾向于复杂的多云和混合环境。这就产生了选择正确的网络安全工具的问题,这些工具既可以在云中运行,也可以在本地运行。混合环境的实现和维护极具挑战性,需要一个全面的网络安全方法。
尽管存在这些问题,大多数云服务提供商都擅长保护您的数据免受外部网络攻击。然而,还有一个方面是云提供商无法在其云安全基础设施中完全覆盖的,即人为因素。即使网络攻击是来自外部的,您的员工通常也是有意/无意推动其成功的“帮凶”。
云基础设施中的5大安全威胁
为了保护云基础设施中的敏感数据,请考虑以下主要网络安全威胁:
帐户妥协
为了访问敏感数据,网络攻击者可以接管员工、特权用户或有权访问您组织的云环境的第三方的帐户。攻击者可以使用受损帐户访问系统和文件,诱骗其他用户泄露敏感数据,或劫持电子邮件帐户以执行进一步的恶意操作。
由于暴力攻击、凭据填充、密码喷射或帐户所有者的密码操作不当,帐户都可能会遭到破坏。根据《2022年云安全报告》显示,云账户接管占所有云安全事件的15%。
社会工程
网络攻击者还可能诱骗员工提供关键系统和数据的访问权限。社会工程技术有很多,其中网络钓鱼是最常用的。它包括引诱受害者通过电子邮件泄露敏感信息。
攻击者可能会代表一个看似值得信赖的来源,要求受害者提供有价值的数据或采取某些行动,比如更改密码。一旦被欺骗的员工按照链接输入他们的凭据,他们的账户就会被泄露。钓鱼电子邮件还可能包含恶意链接或感染病毒的文件,以控制员工的计算机并泄露敏感数据。
影子IT
您组织中的员工在安装和使用未经网络安全团队授权的云应用程序和服务时,可能并不知道“影子IT”的含义。未经批准的软件会带来网络安全风险和挑战,包括缺乏对未经授权的应用程序的IT控制、未修补的漏洞的可能性以及IT合规性问题。
此外,受到损害和滥用的云服务可能在您的云基础设施中拥有广泛的访问权限。然后,网络犯罪分子可以使用这些权限删除或窃取您的敏感数据。
无意的内部活动
在网络安全意识较低的组织中,员工可能会在不知不觉中助力数据泄露、账户泄露和漏洞利用。粗心的工作人员和访问您的云基础设施的第三方可能会犯错误,存在不良的密码习惯,通过未经授权的云应用程序共享信息,或未能遵循其他安全预防措施。
忽视职责的系统管理员尤为危险,因为根据《2022年云安全报告》显示,云错误配置占所有云安全事件的23%。
恶意内部活动
内部威胁在云中和在本地一样常见。事实上,根据最新的《2022年数据泄露调查报告》显示,内部威胁占安全事件的22%左右。
一个恶意的内部人员可能存在不同的动机。他们可能是从事工业间谍活动的外部特工,谋取个人利益的恶意员工或第三方,或者是心怀不满的员工寻求对公司进行报复。
组织中的恶意内部人员可能导致数据丢失、系统破损、安装恶意软件并窃取知识产权。
内部人员的根本问题在于,他们的恶意活动很难与基本的日常活动区分开来,因此很难预测和检测与内部人员相关的事件。此外,恶意的内部人员通常可以访问关键系统和数据。
云安全最佳实践
云安全结合了不同的网络安全策略、流程和解决方案。在下述7条云数据安全最佳实践中,我们总结了保护云计算环境的最有效方法:
1. 云安全访问
尽管大多数云提供商都有自己的方法来保护客户的基础设施,但您仍然要负责保护组织的云用户帐户和对敏感数据的访问。为了降低帐户泄露和凭证盗窃的风险,可以考虑在组织中加强密码管理。
您可以从向网络安全程序添加密码策略开始。教育员工保持网络安全习惯,包括不同账户使用不同且复杂的密码,以及定期轮换密码。为了真正提高帐户和密码安全性,您可以部署集中式密码管理解决方案。
2. 管理用户访问权限
为了确保员工能够有效地履行职责,一些组织为他们提供对系统和数据的广泛访问权。这些用户的账户对网络攻击者来说是一座金矿,因为入侵这些账户可以更轻松地访问关键的云基础设施并升级权限。
为了避免这种情况,组织可以定期重新评估和撤销用户特权。考虑遵循最小特权原则,该原则规定用户只能访问执行其工作所需的数据。在这种情况下,泄露用户的云账户只会让网络犯罪分子获得有限的敏感数据。
此外,组织还可以通过明确的入职和离职程序(包括添加和删除帐户及其特权)来控制访问权限。
3. 提供员工监控的可见性
为了提高组织的云基础设施的透明度和安全性,您可以使用专用解决方案来监视人员的活动。通过观察员工在工作时间的活动,您将能够检测到云帐户泄露或内部威胁的早期迹象。
假设您的网络安全专家注意到一个用户从一个不寻常的IP地址或在非工作时间登录到您的云基础设施。在这种情况下,他们将能够及时对这种异常活动做出反应,因为这表明了入侵的可能性。
类似地,如果一名员工使用禁止的云服务或对敏感数据采取异常的行为,监控可以帮助您迅速发现这种行为,并为您提供一些时间来分析情况。
您还应考虑监控任何外部第三方(如业务合作伙伴、供应商)的活动,因为它们可能成为您组织中的另一个网络安全风险来源。
4. 监控特权用户
关键的私有云安全最佳实践之一是跟踪云基础设施中的特权用户。通常情况下,系统管理员和高层管理人员比普通用户拥有更多的敏感数据访问权限。因此,特权用户可能会对云环境造成更大的损害,无论是恶意的还是无意的。
在部署云基础设施时,检查是否存在任何默认服务帐户是至关重要的,因为它们通常是有特权的。一旦这些账户被攻破,攻击者就可以访问云网络和关键资源。
为了降低网络安全事件的风险并提高问责制,您可以为云基础设施中的所有特权用户(包括系统管理员和关键管理人员)建立不间断的活动监控。
5. 教育员工防范网络钓鱼
监视用户活动并不是最小化组织内人为因素影响的唯一方法。为了更好地保护您的云基础设施,您可以提高员工的网络安全意识,特别强调网络钓鱼。
即使是最复杂的反钓鱼系统也不能保证所需的保护水平。最近一项针对1800封发送给一家金融公司员工的钓鱼邮件的研究显示,有50封邮件绕过了电子邮件过滤服务。14名用户打开了恶意邮件,从而启动了恶意软件。尽管13次安装尝试被拒绝,但有一人成功安装了恶意软件。实际上,即使是一起事故也足以感染和破坏整个系统。
您可以培训员工了解网络钓鱼和社会工程的迹象,以避免泄露敏感信息。定期的网络安全培训和研讨会是最好的措施,因为网络钓鱼攻击在方法和数量上都在不断发展。
钓鱼培训项目最大的错误是缺乏模拟现实生活的训练。模拟应该像一次真实的网络钓鱼攻击,员工应该不知道即将到来的测试。然后,您可以跟踪模拟结果并确定哪些员工需要进一步培训。
6. 确保满足IT合规性要求
遵守标准、法律和法规的网络安全旨在保护消费者数据,并为组织更好地保护敏感数据提供一般性指导。如果在云基础设施中没有正确的安全控制和工具来实现IT合规性,在数据泄露的情况下,您的组织可能会面临数百万美元的罚款。
一般来说,著名的云计算提供商会与最知名的法规遵从性要求保持一致。然而,使用这些云服务的组织仍然必须确保他们自己的数据流程和安全性是合规的。由于在不断变化的云环境中缺乏可见性,遵从性审计过程并不容易。
为了满足IT遵从性需求,您必须首先定义您的行业需要遵从哪些标准,以及您的组织必须满足哪些标准。例如,每个使用SWIFT服务的金融机构都必须遵守SWIFT客户安全计划(CSP)要求。类似地,任何在云中存储客户数据的组织都必须遵守SOC 2合规性要求。为了方便地确定您的组织必须满足的要求,可以考虑雇用一名数据保护官(DPO),他将为您提供网络安全和IT合规方面的专业知识。
7. 高效响应安全事件
如果不能快速检测、控制和消除网络安全威胁,数据泄露造成的损失可能会增加。威胁在云环境中存在的时间越长,攻击者可以窃取或删除的数据就越多。
相反地,对网络安全事件的快速响应可以限制损害的程度。考虑制定一个事件响应计划,以确保您的网络安全团队能够在紧急情况下有效地采取行动。该计划必须为不同的场景概述严格的角色和程序。
结语
云计算的特殊性导致了某些网络安全问题。在复杂的云环境中,广泛的攻击面和缺乏可见性增加了云帐户泄露、成功的网络钓鱼攻击和内部活动的可能性。
使用上述云网络安全最佳实践作为清单,保护您的云基础设施免受潜在的网络安全事件的影响,并保护您组织的敏感数据。高效的云基础设施安全性包括保护对边界的访问、限制访问权限以及监视常规用户和特权用户的活动。为了降低网络安全风险,您还可以提高员工对网络钓鱼攻击的防范意识,并为可能发生的安全事件制定响应计划。
相关文章:
云基础设施安全:7个保护敏感数据的最佳实践
导语:云端安全防护进行时! 您的组织可能会利用云计算的实际优势:灵活性、快速部署、成本效益、可扩展性和存储容量。但是,您是否投入了足够的精力来确保云基础设施的网络安全? 您应该这样做,因为数据泄露、…...
centos7安装nginx
1.配置环境 1).gcc yum install -y gcc2).安装第三方库 pcre-devel yum install -y pcre pcre-devel3).安装第三方库 zlib yum install -y zlib zlib-devel2.下载安装包并解压 nginx官网下载:http://nginx.org/en/download.html 或者 使用wget命令进行下载 wg…...
PyQt5 基础篇(一)-- 安装与环境配置
1 PyQt5 图形界面开发工具 Qt 库是跨平台的 C 库的集合,是最强大的 GUI 库之一,可以实现高级 API 来访问桌面和移动系统的各种服务。PyQt5 是一套 Python 绑定 Digia QT5 应用的框架。PyQt5 实现了一个 Python模块集,有 620 个类,…...
Java—JDK8新特性—函数式接口【内含思维导图】
目录 3.函数式接口 思维导图 3.1 什么是函数式接口 3.2 functionalinterface注解 源码分析 3.3 Lambda表达式和函数式接口关系 3.4 使用函数式接口 3.5 内置函数式接口 四大核的函数式接口区别 3.5.1 Supplier 函数式接口源码分析 3.5.2 Supplier 函数式接口使用 3.…...
【MySQL】外键约束和外键策略
一、什么是外键约束? 外键约束(FOREIGN KEY,缩写FK)是用来实现数据库表的参照完整性的。外键约束可以使两张表紧密的结合起来,特别是针对修改或者删除的级联操作时,会保证数据的完整性。 外键是指表…...
3. SQL底层执行原理详解
一条SQL在MySQL中是如何执行的 1. MySQL的内部组件结构1.1 Server层1.2 Store层 2. 连接器3. 分析器4. 优化器5. 执行器6. bin-log归档 本文是按照自己的理解进行笔记总结,如有不正确的地方,还望大佬多多指点纠正,勿喷。 1. MySQL的内部组件结…...
Bus动态刷新
Bus动态刷新全局广播配置实现 启动 EurekaMain7001ConfigcenterMain3344ConfigclientMain3355ConfigclicntMain3366 运维工程师 修改Gitee上配置文件内容,增加版本号发送POST请求curl -X POST "http://localhost:3344/actuator/bus-refresh" —次发送…...
逆波兰式的写法
一、什么是波兰式,逆波兰式和中缀表达式 6 *(37) -2 将运算数放在数值中间的运算式叫做中缀表达式 - * 6 3 7 2 将运算数放在数值前间的运算式叫做前缀表达式 6 3 7 * 2 - 将运算数放在数值后间的运算式叫做后缀表达式 二、生成逆波兰表达式 6 *(37) -2 生成…...
Linux系统日志介绍
Linux系统日志都是放在“/var/log”目录下面,各个日志文件的功能: /var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在va…...
第三十二章 React路由组件的简单使用
1、NavLink的使用 一个特殊版本的 Link,当它与当前 URL 匹配时,为其渲染元素添加样式属性 <NavLink className"list-group-item" to"/home">Home</NavLink> <NavLink className"list-group-item" to&quo…...
“裸奔”时代下,我们该如何保护网络隐私?
当我们在互联网上进行各种活动时,我们的个人信息和数据可能会被攻击者窃取或盗用。为了保护我们的隐私和数据安全,以下是一些实用的技巧和工具,可以帮助您应对网络攻击、数据泄露和隐私侵犯的问题: 使用强密码:使用独特…...
c#笔记-方法
方法 方法定义 方法可以将一组复杂的代码进行打包。 声明方法的语法是返回类型 方法名 括号 方法体。 void Hello1() {for (int i 0; i < 10; i){Console.WriteLine("Hello");} }调用方法 方法的主要特征就是他的括号。 调用方法的语法是方法名括号。 He…...
054、牛客网算法面试必刷TOP101--堆/栈/队列(230509)
文章目录 前言堆/栈/队列1、BM42 用两个栈实现队列2、BM43 包含min函数的栈3、BM44 有效括号序列4、BM45 滑动窗口的最大值5、BM46 最小的K个数6、BM47 寻找第K大7、BM48 数据流中的中位数8、BM49 表达式求值 其它1、se基础 前言 提示:这里可以添加本文要记录的大概…...
怎么让chatGTP写论文-chatGTP写论文工具
chatGTP如何写论文 ChatGPT是一个使用深度学习技术训练的自然语言处理模型,可以用于生成自然语言文本,例如对话、摘要、文章等。作为一个人工智能技术,ChatGPT可以帮助你处理一些文字内容,但并不能代替人类的创造性思考和判断。以…...
springboot 断点上传、续传、秒传实现
文章目录 前言一、实现思路二、数据库表对象二、业务入参对象三、本地上传实现三、minio上传实现总结 前言 springboot 断点上传、续传、秒传实现。 保存方式提供本地上传(单机)和minio上传(可集群) 本文主要是后端实现方案&…...
2023河南省赛vp题解
目录 A题: B题 C题 D题 E题 F题 G题 H题 I题 J题 K题 L题 A题: 1.思路:考虑暴力枚举和双hash,可以在O(n)做完。 2.代码实现: #include<bits/stdc.h> #define sz(x) (int) x.size() #define rep(i,z,…...
港科夜闻|香港科大与香港资管通有限公司签署校企合作备忘录,成立校企合作基金促科研成果落地...
关注并星标 每周阅读港科夜闻 建立新视野 开启新思维 1、香港科大与香港资管通有限公司签署校企合作备忘录,成立校企合作基金促科研成果落地。“港科资管通领航基金”28日在香港成立,将致力于推动高校科研成果转化,助力香港国际创科中心建设。…...
Neo4j 笔记
启动命令 neo4j console Cypher句法由四个不同的部分组成, 每一部分都有一个特殊的规则: start——查找图形中的起始节点。 match——匹配图形模式, 可以定位感兴趣数据的子图形。 where——基于某些标准过滤数据。 return——返回感兴趣的…...
数据库基础应用——概念模型
1、实体(Entity) 客观存在并可相互区别的事物称为实体。实体可以是人、物、对象、概念、事物本身、事物之间的联系。(例如一名员工、一个部门、一辆汽车等等。) 2、属性(Attributre) 实体所具有的每个特性称为属性。(例如:员工由员…...
【学姐面试宝典】前端基础篇Ⅴ——JS深浅拷贝、箭头函数、事件监听等
前言 博主主页👉🏻蜡笔雏田学代码 专栏链接👉🏻【前端面试专栏】 今天继续学习前端面试题相关的知识! 感兴趣的小伙伴一起来看看吧~🤞 文章目录 什么是事件监听事件委托以及冒泡原理介绍一下 promise&#…...
最新研究,GPT-4暴露了缺点!无法完全理解语言歧义!
夕小瑶科技说 原创作者 |智商掉了一地、Python自然语言推理(Natural Language Inference,NLI)是自然语言处理中一项重要任务,其目标是根据给定的前提和假设,来判断假设是否可以从前提中推断出来。然而,由于…...
商业数据挖掘-第一章-数据探索式分析-1
数据探索最基本的步骤之一是获取对数据的基本描述,通过获取对数据的基本描述从而获得对数据的基本感觉。下面的一些方法用于帮助我们认识数据。 我们使用波士顿房价预测的数据集进行实验 DataFrame.describe():查看数据的基本分布,具体是对每列数据进行统计,统计值包含频…...
MybatisPlus是否防止SQL注入?
问 如果我希望使用mybatisplus同时也进行防SQL注入操作,应该怎么处理? 答 如果你想在使用 MyBatis-Plus 进行数据库操作的同时也进行防 SQL 注入处理,可以采用以下两种方式: 使用 #{} 占位符:在 QueryWrapper 或 Up…...
5月第1周榜单丨飞瓜数据B站UP主排行榜(哔哩哔哩平台)发布!
飞瓜轻数发布2023年5月1日-5月7日飞瓜数据UP主排行榜(B站平台),通过充电数、涨粉数、成长指数三个维度来体现UP主账号成长的情况,为用户提供B站号综合价值的数据参考,根据UP主成长情况用户能够快速找到运营能力强的B站…...
数据的插入删除和更新
在之前我们就已经学过了数据的插入,在这里再进行一点内容的补充: 在insert语句中,value子句中参数的顺序与表中各个列的顺序是一一对应的。 mysql> insert into first_table(second_column, first_column) values(aaa, 1); Query OK, 1 r…...
C# byte[] 与 int 类型互转
本文讲述在C#中,怎样使用 BitConverter 类将字节数组转换为 int 然后又转换回字节数组的过程。 为什么需要这样呢?这是因为,比如说,在从网络读取字节之后,可能需要将字节转换为内置数据类型。 除了示例中的 ToInt32(Byte[], Int32) 方法之外…...
MySQL---多表联合查询(上)(多表关系、外键约束、学生成绩多表关系、交叉连接查询)
1. 多表关系 MySQL多表之间的关系可以概括为: 一对一: 比如:一个学生只有一张身份证;一张身份证只能对应一学生。 实现原则:在任一表中添加唯一外键,指向另一方主键,确保一对一关系。 一般一对…...
【iOS】—— RunLoop线程常驻和线程保活
文章目录 没有线程常驻会怎么样? 线程常驻线程保活 没有线程常驻会怎么样? 我们一般写一个子线程,子线程执行完分配的任务后就会自动销毁,比如下面这个情况: 我们先重写一下NSThread里面的dealloc方法,打印…...
Springcloud--docker快速入门
认识docker docker相关操作 1.初识Docker 1.1.什么是Docker 微服务虽然具备各种各样的优势,但服务的拆分通用给部署带来了很大的麻烦。 分布式系统中,依赖的组件非常多,不同组件之间部署时往往会产生一些冲突。在数百上千台服务中重复部署…...
基于AT89C51单片机的电子计数器设计与仿真
点击链接获取Keil源码与Project Backups仿真图: https://download.csdn.net/download/qq_64505944/87770826 源码获取 主要内容: 设计一个电子计时器,数码管初始显示值为“00”,每隔1s电子秒表加1;秒计数到60时清0&a…...