BetterCloud最近的一项调查发现,企业平均使用80个单独的第三方云应用程序来实现合作、通信、开发、管理合同和HR支持处理和存储敏感数据的功能、授权签名和业务功能。这些类型的应用程序统称为SaaS(软件即服务)。
此外,企业组织还在公共平台上(PaaS或服务于平台和基础架构(IaaS或者基础设施即服务)部署应用程序和整个业务。数据显示,2020年76%的企业在Amazon Web Server(AWS)运行其应用程序,63%的企业在Microsoft Azure运行其应用程序。
Capital One顾问兼前CISOMichael Johnson这些公共云服务是必要和高效的,甚至有望比传统的数据中心提供更安全的环境。然而,它们也给云中存储和处理的敏感数据带来了独特的风险,其中大部分是由于用户在设置和管理这些服务时的错误操作造成的。
据悉,Johnson参与指导2019年公开事件Capital One公司完成了响应过程,当时暴露了8000万个人记录。在这起事件中,攻击者使用了第三方云环境,配置不当。幸运的是,Johnson及其团队及时遏制了这一漏洞,在强有力的响应计划的帮助下,与董事会和执行团队的透明度,以及与执法部门的现有关系,在数据被使用前成功逮捕了数据窃取者。
制定响应计划来应对在云中放置敏感数据的风险,这应该是任何云安全策略的重要组成部分。为了部署公共云环境的数据保护策略,知道如何暴露或窃取公共第三方服务的数据是很重要的。
为什么数据在云中如此脆弱?
根据云安全联盟(CSA)的年度威胁报告指出,第三方云服务中的数据泄漏主要是由于配置错误和变更控制不充分(例如过多的权限、默认凭据、配置不正确的AWS S3存储桶和禁止的云安全控制)。云安全策略或系统结构的缺乏是数据泄露的第二个最常见的原因,其次是缺乏身份和密钥管理,然后是内部威胁和不安全API、对云活动和安全控制的有限可见性等结构故障。
云安全联盟CEO Jim Reavis表示:
McAfee一项调查显示,到2020年5月,思科WebEx利用率提高了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。当远程工作开始匆忙时,Reavis它指出了许多可能导致数据泄露的问题:IT该团队没有保护云中的存储桶,也没有实施安全的开发人员实践或协调身份和访问程序。如今, *** 犯罪分子甚至在存储库中发现了一些硬编码应用程序凭证。可怕的是,这些显然是非常基本的东西。
专家建议,遵循以下三个更佳实践将显著降低云中存储或处理数据的风险:
三种保护云中敏感数据的更佳实践
清点云的使用情况
咨询大中型公司CISO Ian Poynter应对云中数据威胁的更佳 *** 是在任何涉及公共云服务的新规划阶段,将云应用程序纳入控制和风险评估。CISO共识是,用户的云实例并非都是授权的,很少有效监控公共数据。CISO需要成为执行团队成员的原因。他们需要这个权限来了解正在发生的事情,并有一个合作的环境。在这种环境下,业务经理可以直接与他们沟通,分享他们正在运营的新项目或产品,然后让他们评估所涉及的云产品。
就一家公司而言,CISO您甚至可以向财务部门发出警告,告知哪些第三方云应用程序和平台可以报销。业务部门或个人用户未经事先批准购买报销范围以外的产品的,可以直接拒绝报销申请。
这是强制执行云应用程序白名单的手动方式,但无疑是一种有效的方式。云应用白名单和黑名单通常部署在公司控制的终点,或通过零信任技术(如浏览器隔离)控制用户、企业和云应用之间的远程对话。
云原生安全产品的应用
Johnson建议云原生安全产品用于组织标准化的成熟云服务和应用。例如,应用程序AWS Inspector评估正在使用的应用程序的配置合规性和应用程序Amazon GuardDuty检测恶意活动和未经授权的行为。在购买产品之前,企业组织需要尽更大努力调查云供应商的声誉,并尽量避免一些小供应商。提供商越大,数据保护和可见性控制就越好。
服务模型的本地安全性会有所不同。IaaS和PaaS供应商为买方在其基础设施或平台上升级的应用程序提供安全和配置工具。这些通常由当地或第三方支付。SaaS应用程序(例如DocuSign、Slack或Box)安全性大多是原生的。Microsoft 356为Exchange、SharePoint和Azure(以及其他安全产品)Active Directory提供高级审核。
通过研究Box公司的cloud enterprise,我们可以窥见第三方提供商的敏感数据处理 *** 。Box支持工作流程、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。用户通过Box Shuttle将Box连接到其他云服务(如数据传输功能完整)Facebook Workplace)时,Box中便出现了云。
Box安全、隐私和合规产品副总裁Alok Ojha随着越来越多的应用程序在表示Box随着世界的兴起,嵌入式安全和合规工具集将成为用户的关键差异化因素。Ojha引用内容云(Content Cloud)作为Box用户在不同的工作流程中实现一致的安全性和可视性,以查看应用程序中处理的文件和数据,以及访问数据的人和目的。
另一种原生工具Box Shield还可以配置搜索和分类敏感数据,适当控制分类数据,降低内部人员和恶意软件威胁的风险,了解与数据相关的法律法规,确保监管机构的审查和跟踪。此外,他还建议重新关注身份和访问管理(IAM),特别是外部用户和合作伙伴使用多因素身份认证,而不是重用密码组合。
保护数据层的数据
Titaniam创始人兼数据保护公司CEO Arti Raman警告称,不要过度依赖身份和访问控制来防止数据泄露,控制器还需要直接关注通过公共云交易和存储在公共云中的数据。然而,从终点到企业到云的数据保护非常困难,必须有足够的灵活性来跨越所有这些边界,以保护整个生命周期中的数据。
Raman认为,在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时,加密和数据保护应始终存在。这包括传统的加密技术以及新的可搜索技术,这些新技术是在其上使用传统加密来满足合规性标准。
最后,Box公司的Ojha补充道,数据终止(data kill)政策也很重要。根据企业和法规对数据设置的要求,更好自动删除不再需要在第三方应用程序和基础设施中存在的数据。