保护云中敏感数据的3个最佳实践

云服务是必需的和富有成效的，甚至比传统数据中心提供更安全的环境。但是，它们还对正在处理和存储在云平台中的敏感数据存在独特的风险，其中大多数是由客户在这些服务的设置和管理中的错误造成的。制定响应计划以解决将敏感数据放入云平台的风险应是任何云安全策略的一部分。要开始开发用于公共云使用的数据保护策略，了解攻击者如何从第三方云服务中窃取数据非常重要。缺乏云计算安全策略或架构是数据泄露的另一个常见原因，其次是身份和关键管理不充分，其次是不安全的 ABI、结构故障以及对云计算活动和安全控制的可见性有限。

企业遵循三种最佳安全实践来保护云计算应用程序和基础设施中的客户或专有数据。

最近由 bettercloud 进行的一项调查发现，公司平均使用80个第三方云计算应用程序来协作、交流、开发、管理合同、授权签名，以及支持处理和存储敏感数据的业务功能。这些类型的应用程序被称为 saas。

企业还在PaaS和IaaS上扩展应用程序和服务。2020年，76%的企业将在AWS云平台上运行应用，63%的企业将在微软Azure云平台上运行应用。

Capital One公司进行技术发展顾问和前任首席财务信息系统安全官（CISO）Michael Johnson表示，这些社会公共云服务企业都是我们必需的且富有成效的，甚至比传统的数据研究中心工作提供更安全的环境。但是，它们也给正在处理和存储在云平台中的敏感分析数据带来了自己独特的风险，其中对于大多数国家风险是由这些文化服务的设置和管理中的客户出现错误可以引起的。

约翰逊引用了该公司2019年的数据泄露事件，那次事件泄露了8000万份个人记录。

制定一个应对计划来应对将敏感数据放入云平台的风险，应该是任何云安全战略的一部分。要开始制定与公共云使用相关的数据保护策略，了解攻击者如何从第三方云服务窃取数据非常重要。

如何在云中攻击数据

根据云安全联盟(csa)发布的2020年威胁报告，第三方云服务中的数据泄漏主要是由于配置错误和不适当的更改控制(例如，过多的权限、缺省凭据、配置不正确的 aws s3 bucket 和禁用云安全控制)。这意味着缺乏云计算的安全策略或架构是数据泄露的另一个常见原因，其次是身份和密钥管理不足，报告称，第二个原因是不安全的 api，结构性故障，以及对云计算活动和安全控制的有限可见性。

云安全联盟(CSA)首席执行官吉姆·雷维斯(Jim Reavis)表示:“随着越来越多的员工远程工作，SaaS已成为2021年我们关注的焦点。公有云的采用率大幅提升，但很多企业却匆匆忘记了边缘网络的安全防护。例如，人们在多个云服务中重用他们的凭据，因此凭据填充攻击正在增加。”

根据国家安全管理服务商McAfee公司的一项研究调查，到2020年5月，思科WebEx的使用量增加了600％，Zoom增长了350％，Microsoft Teams增长了300％，Slack增长了200％。Reavis指出，在企业发展最初社会支持进行远程教育工作的过程中，有许多问题可能影响导致信息数据分析泄漏的故障：IT团队之间没有得到保护云中的存储桶、实施提供安全的开发技术人员通过实践，或协调不同身份和访问控制程序。有些学生甚至是网络攻击者在存储库中发现的硬编码系统应用软件程序凭据。他补充说，“这是一个非常重要基本的东西。”

遵循以下三个最佳实践将显著降低在云中存储或处理数据的风险。

1盘点云服务的使用情况首席信息安全官伊恩•波因特(ian poynter)建议，应对云中数据威胁的最佳方式是控制云应用程序的使用，并在涉及公共云服务的任何新举措的规划阶段进行风险评估。首席财务信息系统安全官（CISO）之间的共识是，用户的云计算实例并非总是可以得到授权，并且很少针对公开相关数据技术进行科学有效管理监控。Poynter说，“这就是首席信息网络安全官（CISO）需要发展成为执行团队成员的原因，他们自己需要通过了解学生正在不断发生的事情，并且还需要创建一个协作学习环境，业务部门主管希望与他们对于共享新项目或产品，然后让他们评估正在寻找的云计算公司产品以获得资金支持。”他表示，他曾向以前任职的一家上市公司的会计管理部门可以发出警告，告知哪些第三方云应用系统程序和平台的费用进行报销工作需要通过获得批准。如果未经事先批准，在批准服务能力以外购买的业务相关单位或个人信息用户的报销申请将被拒绝。这是一种人为但有效的方式来实施云计算应用的白名单。云计算应用的允许和拒绝列表也是一种强大的技术控制，通常部署在企业控制的端点上，或者通过零信任技术(如浏览器隔离)控制用户、企业和云计算应用之间的远程会话。

2云原生的安全性Johnson表示，在企业发展已经成为实现中国标准化的成熟云服务和应用系统程序中使用云原生安全技术产品。例如，评估正在通过使用的应用研究程序的配置合规性的AWS Inspector，以及我们可以提高检测恶意活动和未经授权的行为的Amazon GuardDuty。他表示，企业需要对云计算提供商的声誉风险进行尽职调查，并尽量采用不同规模影响较大的云计算提供商的服务，因为学生通常需要他们自己会在数据环境保护和可见性控制管理方面能够获得具有更高的评分。服务模型之间的本地安全性不同。IaaS和PaaS供应商为购买者在其基础设施或平台中升级的应用程序提供安全和配置工具。这些是在当地或通过第三方提供的。对于SaaS应用程序，如DocuSign、Slack或Box，安全性大多是本机的。例如，微软356为活动目录的交换、SharePoint和Azure实例(以及其他安全产品)提供高级审核。使用盒式企业云应用程序，您可以了解第三方云计算提供商如何处理敏感数据。Box 云平台管理多个应用程序，以支持工作流、数字合同、人力资源、缩放会议、历史数据存储、人力资源加载和其他人力资源功能。用户可以通过盒式班车将 Box 云平台连接到其他云服务。box安全、隐私和合规产品副总裁Alok ojha表示，随着box云平台上应用的应用越来越多，面向用户的嵌入式安全和合规工具集将成为关键。Ojha将contentcloud称为box用户在不同的工作流中实现一致的安全性和可见性的地方，以查看应用程序中正在处理哪些文件和数据、谁在访问数据以及出于什么目的。另一个本地工具「盒子防护」可以配置为寻找和分类敏感数据、对机密数据实施适当的控制、减低内部和恶意软件威胁的风险、了解与数据有关的监管要求，以及确保监管审计跟踪。他还建议重新关注身份和访问管理(iam) ，特别是为外部用户和合作伙伴使用多因素身份验证，而不是使用可重复使用的密码。

3保护数据层的数据数据保护服务提供商Titaniam的创始人兼首席执行官Arti Raman警告不要过度依赖身份和访问控制来防止数据泄漏，并表示也有必要直接关注存储在公共云中的数据。然而，从端点到企业到云计算的数据保护非常困难，它必须足够灵活，以跨越这些边界，在数据的生命周期中保护数据。她说：“我们可以认为，当数据被索引、搜索、聚合、查询或以其他管理方式进行操作时，加密和数据环境保护企业应该保持自己存在，其方法是保持数据以自适应保护格式使用，而不限制任何一个功能。这包括中国传统加密技术发展以及新的可搜索相关技术，这些科学技术在其之上使用一些传统加密以满足法律法规遵从性标准。”Box的Ojha补充说，数据终止策略也很重要。

个人建站、企业建站，域名注册、小程序、云服务器、物理主机等业务，咨询蓝队云客服微信：landui507 蓝队云官方网站：www.landui.com/?codepub