本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)发布了五份联合网络安全公告,其中包含保护云环境的最佳方法。
近年来,云服务在企业中变得越来越受欢迎,因为它们提供托管服务器、存储和应用程序,而无需管理自己的基础设施。
云服务已经变得非常普遍,以至于许多企业应用程序开发人员都提供他们管理的本地版本和云托管版本,从而减轻了企业管理员的负担。
近期,NSA和CISA发布的五份关于如何使用最佳方法保护云服务的联合文件,重点关注身份和访问管理解决方案、密钥管理解决方案、云中数据加密、云存储管理以及降低托管服务提供商的风险。
使用安全的云身份和访问管理实践
“此网络安全信息表(CSI)的目的是解释云身份管理的一些常见威胁,并推荐企业在云中操作时应采用的最佳实践方法来减轻这些威胁。”
此CSI包括身份和访问管理的提示,包括配置MFA、凭据存储和权限分区,以便多人需要提升权限或执行敏感操作。
使用安全云密钥管理方法
“此CSI概述了基于这些因素的关键管理选项,并推荐了使用它们时要考虑的最佳方案。对于云KMS的任何使用,理解和记录共享安全责任至关重要。”
此CSI讨论如何安全地配置密钥管理解决方案(KMS)。
在云环境中实施网络分段和加密
“这份网络安全信息表(CSI)提出了在云环境中实施这些原则的建议,这可能与本地(on-prem)网络不同。虽然本地网络需要专门的设备来启用ZT,但云技术本身就提供了在不同程度上实施这些建议所必需的基础设施和服务。此CSI重点关注使用云环境中常见功能的最佳实践。”
此CSI提供了有关对传输中的数据进行加密,以及如何最好地对云服务进行分段的提示,除非必要,否则它们无法相互通信。
保护云中的数据
“此网络安全信息表的目的是概述云存储是什么以及正确保护和审核云存储系统的常见做法。”
此CSI提供了有关加密静态数据、保护数据免遭未经授权的访问以及创建备份和恢复计划的指南。
降低云环境中托管服务提供商的风险
“这份网络安全信息表概述了选择和使用MSP服务时需要考虑的五个重要方面。”
托管服务提供商(MSP)通常对客户网络具有高级别访问权限,这使其成为了对威胁分子极具吸引力的目标。
此CSI提供了有关保护MSP使用的公司帐户、审计其活动以及谈判协议时应考虑的事项的提示。
因为云服务往往存储有价值的数据并可用于转向内部网络,因此常常成为威胁分子的攻击目标。
