您的位置: 首页 >科技 >

专家提供云计算安全建议

2019-11-26 16:49:29 编辑: 来源:
导读 周六清晨,这位惊慌失措的顾客打电话给BrettGillett:亚马逊AWS服务每月刚刚收到的账单是该公司平均收费的五倍。为什么? 作为一家专业从事AWS咨询服务的Oakville,Oakville,ONT公司的创始人吉列特(Gillett)周三在多伦多的TrendMicroCloudsec云安全会议上告诉TrendMicroCloudsec云安全会议,这是一个糟糕的密码管理问题。 “他们违反了

周六清晨,这位惊慌失措的顾客打电话给BrettGillett:亚马逊AWS服务每月刚刚收到的账单是该公司平均收费的五倍。为什么?

作为一家专业从事AWS咨询服务的Oakville,Oakville,ONT公司的创始人吉列特(Gillett)周三在多伦多的TrendMicroCloudsec云安全会议上告诉TrendMicroCloudsec云安全会议,这是一个糟糕的密码管理问题。

“他们违反了几条规则。他们[开发人员]使用的是根AWS帐户,“不能用访问权限来控制。目前还不清楚它是内部人还是黑客,但有人利用访问权在不同的地区创建了一个新的AWS实例,并安装了比特币挖掘基础设施。它积累了大量的处理能力,因此亚马逊的账单很高。

吉列说,“这是达尔文奖”,这是他所犯的最严重的错误。

“永远不要在云环境中使用长期访问密钥”,他警告观众,不管公司的政策如何,因为如果一名员工丢失了一台笔记本电脑,无论谁发现它完全可以访问任何东西。

这是Gillett和JamesPeek,一家云咨询公司在多伦多、新加坡和澳大利亚的顾问在会议上给我们的一个教训。

还有几个例子:-公司不会考虑云与前提环境的区别,Peek说:当一个实例只持续4分钟的时候,如何保护动态计算环境?IT安全团队必须评估其工具集。“如果你把它当作一个前提,那么它就像它的前提,而你不会从云中获得你想要的灵活性和可伸缩性。”他补充说,最大的误解之一是在公共云中路由的性质以及如何与前提环境联系在一起。

吉列说:在公共云环境中,不要有长期访问密钥。确保第三方供应商和合作伙伴明白这一点。“我们有一个规则:如果你向我要我的访问密钥,我们就会去下一个提供者那里,允许我们使用临时凭证。”他同意,这也是查看合作伙伴是否理解好的云安全策略的一个好方法。

Peek说:“可靠的访问标识和访问管理策略(IAM)对于云安全的成功至关重要。”需要某种身份联合和单点登录功能。对于大多数应用程序来说,“最小特权原则比以往任何时候都更重要”。为什么?他看到攻击者从非生产服务器获得管理员访问权限。

作为安全供应商Optiv的身份和访问管理的战略解决方案主管,IanCumming了解了关于IAM的大量信息……

身份和访问管理一直是CISO战略的重要组成部分,但不幸的是,对CISO的关注还不够。

-确保IAM政策有明确的定义,吉列说,但是没有必要重新发明轮子。如果您已经有了密码策略,请将其扩展到云。并确保您可以在任何地方使用自动化来将安全标准推入云端。不要花时间管理身份,而不是为客户管理服务。

-更多关于身份管理的问题:当被问到他对多因素认证有什么看法时,Peek回答说:“每个人都应该拥有MFA。”或者禁用敏感/关键的API调用--记住,在云网络中只有一个API调用--或者在网络层强制执行MFA。同时,根帐户凭据“需要锁在保险箱中”,需要两个人来解锁--当有人登录到该帐户时,会向高级管理员发送警报。

吉列说:数据是组织拥有的最重要的东西,所以云策略必须基于数据分类策略。它允许你排除那些永远不能离开公司环境的事情。“我们发现很多组织没有它,或者认为他们有它,没有更新它,很多年了。使用它来决定您是否需要客户端加密、服务器端加密,或者AWS是否管理这些密钥。AWS和Azure提供的服务可以帮助开发数据分类。

-到处使用加密,Peek说。“几乎没有什么理由可以解释为什么我们不需要加密所有的东西。”使用云提供商来管理密钥将简化监督。

-如果使用AWS,则启用CloudTrail进行审计,Peek说。在一次采访中,他扩展了:创建一个中央“遵从”订阅,并使用它来集中您平台上的所有日志(包括CloudTrail)。在主帐户中,创建服务控制策略(SCP),禁用针对CloudTrail的API操作(例如关闭它)。CloudTrail将继续登录到您的法规订阅。Internet安全中心的AWS基础基准提供了一些您可以开始寻找的事件来创建可操作的警报。

吉列说:云计算领域的新公司应该从创建一个“优秀的云安全中心”开始,这将使该组织能够更快地转向云计算。“找到那些(在你的组织中)不断学习的人。不管你在哪个平台上,这些人都会帮助你成功。“

“尽可能的自动化,”吉列说,因为人们会犯错。不断教育云团队成员,建立一个‘不受责备的环境’,特别是如果你只是在采用云,“你必须给你的内部团队一个学习的机会,这就是云英才中心成为焦点的地方。”

这可能是显而易见的,但不要让你的第一款云应用成为“王冠上的宝石”,Peek说。企业战略集团资深分析师DougCahill同意这样的观点:提出一个应用程序,你可以在早期成功并获得动力。

最后,如果你开始你的旅程,不要从多个云提供商开始,Peek说。云硬,两云硬。“不要做两件半途而废的事,完全做一件事,你就会在一个更好的地方。”


免责声明:本文由用户上传,如有侵权请联系删除!

2016-2022 All Rights Reserved.平安财经网.复制必究 联系QQ280 715 8082   备案号:闽ICP备19027007号-6

本站除标明“本站原创”外所有信息均转载自互联网 版权归原作者所有。