Veritas: 应对云端数据安全的顶级挑战——云数据安全的最佳实践
首页 > 数据备份方案
天津鸿萌科贸发展有限公司是 Veritas 的授权代理商,为客户提供优质的数据安全产品及部署方案。
针对云计算的网络犯罪
近年来,网络安全攻击的频率和网络犯罪的复杂程度急剧增加。据去年的数据统计,每秒钟就会发生超过19起网络攻击,全球有超过6.233亿次攻击。可以肯定地说,网络犯罪无时无处不在。现在已经没有所谓安全的国家、行业或企业了。此外,安全技术的时代已经一去不复返了。根据2022年3月发布的勒索软件准备攻击的目标技术公司的研究报告,云计算现在是网络犯罪分子最常见的攻击载体。
网络攻击也不局限于任何一种类型的基础设施的数据或系统,无论是本地、云或多云。现在一切都成为了目标。网络钓鱼等旧技术仍然很突出,但涉及社会工程、针对物联网设备和基础设施以及软件漏洞的新的复杂方法却越来越受攻击者欢迎。2022年,其他形式的网络威胁数量激增:恶意软件攻击增加了11%,入侵尝试增加了19%,加密货币劫持攻击增加了30%,加密威胁增加了132% 。现在,网络安全已成为每个人的担忧。
旨在保护组织的数据和系统的云原生功能还远远不够强大,不足以应对今天的威胁。这就是为什么所有的IT团队,特别是那些使用云技术的团队,意识到他们无法使用标准的本地云安全工具来实现真正的业务和运营弹性是至关重要的。相反,所有团队都必须确定优先级,并采用多层网络安全策略,扩展到他们的云技术,以保持数据安全,保持业务弹性和团队的控制。最好的云数据安全解决方案可提供99.999%的正常运行时间。以下是 Veritas 建议您的云团队立即实施的十大最佳实践:
云数据安全的最佳实践
1.了解共享的责任模型,并了解您在云计算中的职责。
共享责任安全模型因每个服务提供商而异,在使用 IaaS 或 PaaS 时也有所不同。明确的共享责任模型确保系统的安全覆盖范围没有差距。否则,共享责任的模糊可能会使云系统的某些区域不受保护,并暴露于外部威胁。
2. 在整个IT生态系统中获得完整的基础设施和数据可见性。
要使数据具有安全性、兼容性、受保护性和弹性,您必须具有完全的可见性。不允许暗数据的存在。网络罪犯正在寻找你最薄弱的环节,在你的环境中可能有有限的安全或监督的黑暗角落,他们知道企业很难维护一份所有应用程序和数据的准确清单。照亮企业环境中的所有黑暗数据,并确保您知道所有数据和资源在哪里,这为企业的安全管控提供了有价值的保证。
3.评估内置的和云原生的数据安全工具。
每个组织都应该向他们的公有云提供商咨询,询问他们现有的安全措施和流程的详细问题,并对其仔细审查。人们很容易单方面地相信领先的供应商处理了安全问题,但是但他们使用的方法和过程却千差万别。您知道您的数据是如何被访问和存储的吗?您了解该提供商的灾难恢复计划吗?他们针对安全事件的协议是什么,在数据泄露时提供什么级别的技术援助?在他们的组织中,谁可以访问存储在云中的数据以及服务器在什么地理位置?如果这些答案都不清楚或不令人满意,最好是去寻找另一个更有信誉的供应商。
4.采取零信任的姿态。
事实证明,采用全公司范围内的零信任心态可以降低发生毁灭性攻击的风险。此外,如果发生漏洞,它会减少攻击面或受影响范围,因为它提供了多个安全层面,可以将影响降至最低。例如,一旦进入您的系统,网络犯罪分子通常会在您的环境中搜索关键业务数据、机密信息和备份系统。通过针对用户、工具和机器的多因素身份验证(MFA)和基于角色的访问控制(RBAC)来加强您的身份和访问管理(IAM),将限制对高度敏感的数据和备份的访问。应该只允许需要访问数据的用户。密码安全是首要任务。如果具有较强的IAM控制、权限控制、安防硬件都建立在零信任之上,就不会有机会非法访问这些区域了。
5.在传输过程中和静止时加密数据。
任何云安全策略的一个关键部分都是从加密的角度来理解和管理数据保护的共同责任。确保从云存储提供商的设置中对传输数据进行加密处理,这是非常必要的。作为一家高级存储提供商,Veritas 提供存储加密服务,以实现最佳的数据保护。如果网络罪犯获得了你的数据,加密措施就可以保护它不会被犯罪分子利用。
6.使用气隙隔离方案实现安全存储和网络隔离。
保护您的数据不受勒索软件侵害的最佳方法之一是实施具有内部管理的时钟补偿的不可变和不可消除的存储,建立一个隔离的恢复环境(IRE)。不可变和不可消除的存储可以确保在确定的时间内(或完全)不能更改、加密或被删除,从而防止数据篡改和未经授权的访问。隔离的恢复环境和气隙解决方案在逻辑上或物理上隔离数据,以帮助确保数据与环境的其他部分分割开来。
7.采用异常活动检测和恶意软件扫描等方法。
运行检测工具,理想地监控异常行为和减轻数据和用户的恶意活动。从本质上说,如果系统中发生了任何不寻常的事情,都应当实施具体及自动的措施,这是至关重要的。这些异常行为可能包括不寻常的文件写入活动,这可能表明正在发生渗透入侵;但也可能包括检测已知的勒索软件文件扩展名、文件访问模式、流量路径,甚至是与典型模式相比的不寻常的活动跳变。立即通告任何不寻常的事情,这提供了一个宝贵的时间优势,可以迅速采取行动或减轻事态的严重性。此外,这些工具还可以帮助进行网络威胁追踪。
8.优化环境,以实现恢复和定期演练。
最好的防御是确保总能选择恢复这条解决之路,灵活、混合和快速的恢复可以在几分钟内完成。这是通过拥有尽可能多的恢复选项来实现的,包括替代恢复站点,如辅助数据中心,甚至可以根据需要在云中建立一个全新的数据中心。谨记提前测试,并且经常测试——确保恢复功能始终处于良好的准备状态。
9.了解数据复制,并获得数据足迹的准确图像。
对于企业来说,采取措施将其委托给云服务提供商的数据最小化,这是一个好主意。第一步是改进业务实践,只收集所需的数据。接下来,了解您的数据是否被复制,如果是,则在哪里。最后,优化可持续发展的目标。将数据存储在云计算中会消耗能源,而对于一些云服务提供商来说,这些能源主要来自燃烧化石燃料。其他公司,如谷歌云,在为云数据中心提供太阳能和其他可再生能源方面处于领先地位。底线是,存储冗余的、过时的或琐碎的(ROT)数字数据除了代价高昂和抑制性能之外,对环境是不负责任的。应该优先考虑提供优化数据存储、重复数据删除引擎和云中资源消耗的每个方面所需的可见性的解决方案。
10.教育和授权员工。
日常安全包括教育和授权员工在组织的安全实践中发挥积极作用。在当今的网络威胁环境中,确保你的软件和工具保持最新状态是至关重要的。请确保您的员工能够执行这些定期的更新和升级。不断地培训和更新您的团队的安全最佳实践和协议,他们通常是进入网络攻击的门户。现代的网络钓鱼攻击和社会工程现在是如此复杂,甚至常常可以欺骗经验丰富的安全专业人员。专注于培训员工识别网络钓鱼和社会工程策略,建立强密码,安全浏览,使用MFA,并始终使用安全的vpn,从不使用公共Wi-Fi。同时,确保所有的员工都知道该做什么,以及如果他们成为受害者,应该提醒向谁寻求支援。