การปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยในยุคคลาวด์ (03.28.24)

การประมวลผลแบบคลาวด์กำลังเฟื่องฟู และการใช้บริการบนคลาวด์ก็เพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา องค์กรขนาดเล็ก ขนาดกลาง และองค์กรเกือบทั้งหมดมีรูปแบบหนึ่งของการเปลี่ยนแปลงทางดิจิทัลหรือกลยุทธ์การประมวลผลแบบคลาวด์ที่กำลังดำเนินการอยู่ การรักษาความปลอดภัยเป็นองค์ประกอบหลักของอุตสาหกรรม และการปกป้องข้อมูลที่ละเอียดอ่อนและข้อมูลที่มีสิทธิพิเศษเป็นสิ่งสำคัญสูงสุด

ผู้ให้บริการระบบคลาวด์ดำเนินการแพลตฟอร์มที่มีการรักษาความปลอดภัยภายในซึ่งได้รับการออกแบบมาตั้งแต่ต้นเพื่อปกป้องทรัพย์สินทางธุรกิจและการควบคุม เข้าถึงด้วยตรรกะ แต่เป็นวิธีที่ปลอดภัย โชคดีที่เมื่อเลือกคู่ค้าระบบคลาวด์โดยเฉพาะ ธุรกิจต่างๆ สามารถเลือกที่จะเสียบเข้ากับแพลตฟอร์มการรักษาความปลอดภัยในฐานะบริการที่มีอยู่ได้โดยตรง ซึ่งได้รับการออกแบบมาเพื่อให้เหนือกว่าแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรม และแพลตฟอร์มที่สามารถบรรเทาความซับซ้อนทางเทคนิคและค่าใช้จ่ายมหาศาลของ วิธีการทำเองที่บ้าน

การรักษาความปลอดภัยระบบคลาวด์เป็นความรับผิดชอบร่วมกันระหว่างผู้ให้บริการ ผู้บริโภค และบุคคลที่สามที่เกี่ยวข้องทั้งหมด ไม่ต้องสงสัยเลยว่าการตัดสินใจด้านความปลอดภัยมีความสำคัญในยุคคลาวด์ แพลตฟอร์มบนคลาวด์ทั้งหมดต้องใช้บริการโครงสร้างพื้นฐานคลาวด์อย่างขยันขันแข็ง ยังคงมีโอกาสจริงมากที่ผู้ดูแลระบบที่ไม่สงสัยอาจกำหนดค่าเซิร์ฟเวอร์คลาวด์ผิดพลาด ซึ่งทำให้ประตูเปิดกว้างสำหรับทั้งระบบ

การวิเคราะห์ระบบคลาวด์

ระบบคอมพิวเตอร์ทุกระบบทั้งระบบคลาวด์มีความสำคัญอย่างยิ่ง เนทีฟหรือระบบกำลังเปลี่ยนไปเป็นผู้ให้บริการคลาวด์ ความปลอดภัยที่สมบูรณ์เนื่องจากการตรวจสอบอย่างขยันขันแข็ง กระบวนการนี้ออกแบบมาเพื่อทำความเข้าใจว่ามีการแบ่งปันและเข้าถึงข้อมูลที่ละเอียดอ่อนอย่างไร การรู้ว่าคุณมีข้อมูลใดบ้าง วิธีที่คุณประมวลผลและแปลงข้อมูล และที่ที่ข้อมูลนั้นถูกจัดเก็บหรือส่งเป็นองค์ประกอบการตรวจสอบความปลอดภัยที่จำเป็น

การวิเคราะห์เป็นกิจกรรมที่ท้าทายและใช้เวลานานกว่าจะเสร็จสมบูรณ์ แต่สิ่งสำคัญคือต้องระบุข้อมูลที่ละเอียดอ่อนหรือข้อมูลที่มีการควบคุม และดำเนินการตามความเหมาะสมเพื่อปกป้องข้อมูลดังกล่าว ผู้ให้บริการหลายรายมีเครื่องมือที่ใช้ระบบตัวแทนซึ่งสามารถส่งข้อมูลการกำหนดค่าระบบและการตั้งค่าเพื่อให้ตรวจสอบได้โดยตรง กระบวนการอัตโนมัตินี้ใช้เวลาไม่กี่นาทีในการกำหนดค่า แต่สามารถช่วยสร้างแผนผังของสภาพแวดล้อมที่มีอยู่ได้

ข้อมูลที่รวบรวมจะช่วยในการตรวจสอบแพลตฟอร์มระบบคลาวด์ที่มีอยู่หรือที่เสนอ และเป็นเครื่องมือที่ยอดเยี่ยมในการระบุและป้องกันเซิร์ฟเวอร์ การกำหนดค่าผิดพลาด นอกจากนี้ยังสามารถเปิดเผยพฤติกรรมที่เป็นอันตรายหรือไม่คาดคิดที่เกิดขึ้นบนเครือข่าย ตัวอย่าง ได้แก่ การแชร์ข้อมูลประจำตัวของผู้ใช้ บริการระบบที่ทำงานบนบัญชีผู้ใช้ไดเรกทอรีที่ใช้งานอยู่ นโยบายรหัสผ่านที่ไม่รัดกุม หรือการอนุญาตไฟล์และโฟลเดอร์ที่ไม่รัดกุม

จุดมุ่งหมายคือการแก้ไขปัญหาก่อนที่จะย้ายไปยังระบบคลาวด์ อยู่ในช่วงเริ่มต้นที่การฝึกอบรมพนักงานควรจะดำเนินการอยู่แล้ว การแบ่งปันข้อมูลและเสนอการฝึกอบรมเกี่ยวกับแรงบันดาลใจในอนาคตของกลยุทธ์ระบบคลาวด์ถือเป็นการเริ่มต้นที่ดี ฝึกอบรมเกี่ยวกับคู่ค้า ผู้ใช้ และมารยาททางคอมพิวเตอร์ที่เลือก และให้รายละเอียดเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อช่วยป้องกันมัลแวร์ ไวรัส และแรนซัมแวร์

การปกป้องบริการคลาวด์

งานจำนวนมากต้องเกิดขึ้นเพื่อสร้างความปลอดภัย แพลตฟอร์มคลาวด์ขององค์กร เมื่อปริมาณงานการผลิตและระบบเริ่มทำงานในระบบคลาวด์แล้ว ต้องทบทวนสถาปัตยกรรมความปลอดภัยเพื่อให้แน่ใจว่าเหมาะสมกับวัตถุประสงค์ การป้องกันเลเยอร์ฮาร์ดแวร์ส่วนใหญ่ เช่น การเข้ารหัส การแบ่งส่วนเครือข่าย และไฟร์วอลล์จะพร้อมใช้งานแล้ว และกระบวนการต่างๆ จะได้รับการปรับแต่งอย่างละเอียดโดยผู้ให้บริการ

ควรมีการสร้างและตรวจสอบนโยบายความปลอดภัยหลายประการ ซึ่งครอบคลุมประเด็นสำคัญเกี่ยวกับการควบคุมข้อมูล ความจุของระบบคลาวด์ที่แทบจะไร้ขีดจำกัดเป็นสิ่งที่ดึงดูดใจธุรกิจอย่างมาก อย่างไรก็ตาม ประเภทของการจัดเก็บและการควบคุมที่วางไว้มีความสำคัญอย่างยิ่ง นโยบายเกี่ยวกับข้อมูลที่ถูกจัดเก็บและตำแหน่งใด ข้อมูลที่ละเอียดอ่อนได้รับอนุญาตในต่างประเทศหรือต้องอยู่บนบกด้วยเหตุผลด้านการปฏิบัติตามข้อกำหนดหรือไม่

ที่เก็บข้อมูลที่เก็บข้อมูลต้องมีการควบคุมการตรวจสอบเกี่ยวกับการสร้างและการลบข้อมูล ต้องตรวจสอบการควบคุมการเข้าถึงเพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตมีสิทธิ์ที่ถูกต้องในการจัดการไฟล์ มีการกำหนดการควบคุมเพื่อตรวจสอบระยะเวลาการเก็บรักษาและการลบข้อมูล บางธุรกิจเลือกที่จะเก็บข้อมูลไว้นานถึงเจ็ดปี หลังจากช่วงเวลานี้ องค์กรมีหน้าที่รับผิดชอบในการลบข้อมูล ที่เก็บข้อมูลบนคลาวด์สามารถทำให้เกิดอาการปวดหัวส่วนใหญ่ได้โดยอัตโนมัติ

ความสมบูรณ์ของข้อมูลมีความสำคัญในยุคคลาวด์ ขอแนะนำอย่างยิ่งให้เข้ารหัสข้อมูลทั้งหมดในคลาวด์ ควรใช้คีย์การเข้ารหัสของคุณเอง จำเป็นต้องมีมาตรการเพื่อป้องกันไม่ให้ข้อมูลถูกย้ายไปยังอุปกรณ์ภายนอก เช่น การถ่ายโอนข้อมูลไปยังไดรฟ์ปากกา USB ชุดความปลอดภัยจำนวนมากมีฟังก์ชันนี้ตั้งแต่แกะกล่อง

แนวทางปฏิบัติด้านความปลอดภัยที่สำคัญอีกประการหนึ่งคือการตรวจสอบช่องโหว่ด้านความปลอดภัยในสภาพแวดล้อมทั้งหมดอย่างต่อเนื่อง นี่เป็นงานสำคัญที่อาจต้องใช้ทีมผู้เชี่ยวชาญด้านความปลอดภัยให้เสร็จ แพลตฟอร์มความปลอดภัยใช้เพื่อสแกนที่อยู่ IP สาธารณะภายนอกจากอินเทอร์เน็ตสาธารณะ และผู้เชี่ยวชาญ SecOp จะสแกนเครือข่ายและระบบภายในเพื่อหาจุดอ่อน

กิจกรรมนี้สร้างการดำเนินการจำนวนมากที่จำเป็นในการแก้ไขช่องโหว่ ตัวอย่างทั่วไป ได้แก่ จุดอ่อนที่พบในระบบปฏิบัติการและแอปพลิเคชัน รหัสความปลอดภัยที่อ่อนแอที่ใช้บนเว็บไซต์ และใช้รหัสผ่านที่ไม่รัดกุมหรือรหัสผ่านเริ่มต้น การสแกนยังเสร็จสิ้นโดยเทียบกับฐานข้อมูลที่ครอบคลุมของช่องโหว่ที่ทราบ มีการรายงานช่องโหว่แต่ละรายการและรวมถึงระดับความรุนแรงและความเสี่ยงที่อาจเกิดจากการถูกโจมตี

การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เป็นมาตรฐานที่คาดไว้สำหรับการรักษาความปลอดภัยการเข้าถึงบริการคลาวด์ วิธีทั่วไปในการเข้าถึงคือการให้ชื่อผู้ใช้ พินส่วนตัว และรหัสที่ปลอดภัยจากอุปกรณ์ ซึ่งโดยทั่วไปคือโทรศัพท์มือถือ การป้องกันเหล่านี้มักพบในเลเยอร์เครือข่าย เช่น การเริ่มอุโมงค์ข้อมูล VPN ไปยัง VPS บนคลาวด์เป้าหมาย แต่สามารถใช้เป็นชั้นการรักษาความปลอดภัยเพิ่มเติมสำหรับเว็บไซต์และเซิร์ฟเวอร์ที่ใช้งานจริงที่มีความละเอียดอ่อนได้

หลายองค์กรก้าวไปอีกขั้นและพร็อกซีการรับส่งข้อมูลเครือข่ายทั้งหมดผ่านบริการคัดกรองที่ตรวจสอบแพ็คเก็ตขณะเข้าหรือออกจากเครือข่าย วิธีนี้ช่วยปรับปรุงความสามารถในการบันทึกและติดตาม แต่การขึ้นบัญชีดำที่อยู่ที่ไม่ได้รับอนุญาตนั้นทำได้ง่ายมาก

SecOps

หลังจากที่ระบบคอมพิวเตอร์ขององค์กรถูกฝังอยู่ในระบบคลาวด์แล้ว มีข้อกำหนดกิจกรรมการปฏิบัติงานประจำวันมากมาย . กระบวนการเหล่านี้ได้รับการออกแบบมาเพื่อปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในยุคคลาวด์ การอัปเดตและแก้ไขนโยบายการเข้าถึงระบบคลาวด์อย่างต่อเนื่องช่วยให้ธุรกิจเข้าถึงได้ยาก ช่วยรับประกันว่าผู้ใช้ที่ได้รับอนุมัติจะมีสิทธิ์เข้าถึงระบบเท่านั้น

การจัดการข้อมูลความปลอดภัยต้องใช้ขั้นตอนทางเทคนิคที่เป็นปัจจุบันและมีขั้นตอนการปฏิบัติงานที่เป็นเอกสารสำหรับแพลตฟอร์มระบบคลาวด์ นี้ทำหน้าที่หลายประการ ช่วยในการถ่ายทอดความรู้และการฝึกอบรมพนักงาน และยังช่วยให้องค์กรมีความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง แนวปฏิบัติด้านความปลอดภัยที่ดีที่สุดกำหนดว่าระบบจะรีสตาร์ทและมีขั้นตอนการกู้คืนข้อมูลในกรณีที่ระบบล้มเหลว

เอกสารประกอบต้องระบุอย่างชัดเจนถึงวิธีที่องค์กรดำเนินการและจัดการข้อมูล กำหนดนโยบายการสำรองข้อมูล รวมถึงข้อกำหนดด้านการจัดกำหนดการ /สิ้นสุดเวลาของงาน) และรวมถึงคำแนะนำในการจัดการข้อผิดพลาดหรือเงื่อนไขพิเศษอื่นๆ ตลอดจนวิธีประมวลผลข้อมูลที่เป็นความลับและกำจัดอย่างปลอดภัย

หลักปฏิบัติด้านความปลอดภัยของ SecOps ครอบคลุมกระบวนการจัดการการเปลี่ยนแปลง ซึ่งรวมถึงการบันทึกการเปลี่ยนแปลงที่สำคัญ การวางแผน และการทดสอบการเปลี่ยนแปลง รวมถึงการประเมินผลกระทบ การเปลี่ยนแปลงทั้งหมดต้องได้รับการอนุมัติจากคณะผู้พิจารณาที่มีเจ้าหน้าที่รักษาความปลอดภัย และบุคคลที่เกี่ยวข้องทั้งหมดจะได้รับแจ้ง

หลักปฏิบัติด้านความปลอดภัยอื่น ๆ ที่ควรทราบ ได้แก่ การวางแผนการจัดการกำลังการผลิต และการแยกส่วนการพัฒนา การทดสอบ และการผลิต ดำเนินการควบคุมมัลแวร์และทำให้แน่ใจว่ามีการควบคุมโปรแกรมป้องกันไวรัส การสำรองข้อมูลระบบและการสำรองข้อมูลเสร็จสมบูรณ์ และข้อมูลจะได้รับการดูแลตามกฎหมายท้องถิ่น (GDPR หรือ CCPA)

การบันทึกโดยละเอียดและการตรวจสอบบริการเป็นสิ่งที่พึงปรารถนาอย่างยิ่ง บันทึกสามารถรวบรวมและรักษาไว้ภายในแพลตฟอร์ม SIEM ซึ่งรวมถึงระดับของการบันทึกที่เหมาะสมซึ่งเปิดใช้งานบนเว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์แอปพลิเคชัน และผลิตภัณฑ์ฐานข้อมูล พื้นที่อื่นๆ ได้แก่ การตรวจสอบการเข้าถึงที่มีสิทธิพิเศษ ความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต การแจ้งเตือนของระบบ และการเปลี่ยนแปลงใดๆ ที่เกิดขึ้นกับการตั้งค่าความปลอดภัยของระบบ


วิดีโอ YouTube: การปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยในยุคคลาวด์

03, 2024