随着云环境中用户数量的增加, 确保遵从性成为一项更加复杂的任务. 当大量用户被授予无数权限时,这种复杂性会被放大, 使他们能够访问云基础设施和承载敏感数据的应用程序.
另外, 组织与内部团队的斗争, 要么是由于缺乏培训,要么是纯粹的冷漠, 忽略与数据隐私和法规遵从性相关的潜在陷阱和固有风险. 这种内部脱节不仅危及组织的数据安全立场,而且还增加了不遵守不断变化的法规的风险. 在这种情况下, 根据澳门赌场官方下载范围的安全性和遵从性目标教育和调整团队变得至关重要.
幸运的是, 云工程和安全领导者可以实施简化的解决方案来保护他们的在线环境,而不会影响生产力,同时仍然实现合规性. 他们今天可以通过三种方式开始这个过程.
1. 培训员工识别社会工程尝试.
近四分之三的网络攻击涉及人为因素, 包括社会工程攻击, 错误或误用.1 最近的一些例子包括对米高梅国际度假村(MGM Resorts International)和凯撒娱乐(Caesars Entertainment)的攻击.2 这些攻击是威胁参与者针对具有管理帐户的用户进行高级访问的主要示例. 就米高梅酒店而言, 攻击者利用社会工程作为最初的切入点,在领英上找到了一名美高梅度假村的员工, 冒充他们,打电话给该组织的服务台,要求访问该帐户.
人们常说,安全是由流程、人员和技术组成的.e.、工具). 人们必须能够预测和识别社会工程事件和网络钓鱼攻击, 它们越来越有说服力,目的是欺骗员工和其他内部利益相关者,让他们提供进入IT基础设施的大门. 因此,必须进行安全意识培训,以识别社会工程和网络钓鱼企图. 例如, 如果目标是让员工成功识别恶意电子邮件, IT人员应该进行模拟网络钓鱼攻击练习,以确定有多少员工上了诈骗电子邮件的当,点击恶意链接或提供敏感信息. 这种演习提供了一种低成本的方法, 提高网络安全和法规遵从性的高奖励机制.
2. 维护跨云的洞察力.
在多云环境中, 确保妥善治理, 遵从性和安全性需要知道谁可以从哪里访问哪个资源. 这是最小化与特权访问相关的风险的关键, 它还强调了跨各种云基础设施和应用程序的全面洞察的重要性.
云平台的功能通常是信息和操作孤岛, 这使得组织很难查看用户使用其特权做了什么,或者确定哪些常设特权可能构成风险. 令人难以置信的, 14%的安全负责人表示,他们“不知道”他们的云平台上还有多少常设特权, 10%的组织表示,他们对多云环境中的特权访问“没有可视性”.3
对于很多澳门赌场官方下载来说, 单点登录, 多因素身份验证(MFA)和身份配置是他们在缺乏可见性时加强网络安全和合规性工作的第一反应. 然而, 这些工具通常缺乏显示有效访问级别的能力,因为它们不能提供促进网络安全和法规遵从性的见解. 使这些挑战更加复杂的是缺乏对用户的深入了解, 云基础设施动态特性中的组和角色特权. 这导致对云基础设施和应用程序中的用户活动几乎没有监督和控制.
3. 实现对云资源的JIT临时访问.
为跨多个云平台的所有用户(包括人员和服务身份)实现即时(JIT)短暂(非长期)访问是一个关键的初始措施. 令人遗憾的是, 在安全审计期间,服务标识经常被忽略, 拥有过多的权限通常只有在导致安全漏洞或业务中断时才会被认为是一个问题. 真正的多云JIT权限授予使用户能够轻松而安全地跨各种环境访问云资源. 统一的访问模型提供了一个集中的管理和控制台,并提供了一个健壮的方法来监督用户权限, 分配或撤销特权,并降低跨不同云服务提供商(csp)和软件即服务(SaaS)应用程序的整体风险.
今天的云数据泄露通常是过度、未使用或配置错误的权限造成的. 恶意行为者可以利用社会工程(真实的或虚拟的)攻击特权用户, 一旦他们霸占了这些用户的账户, 设法利用为这些帐户提供的过多或未使用的权限渗透并在澳门赌场官方下载环境中造成破坏.
没有强制JIT访问的澳门赌场官方下载承担了更高的安全风险,并且使遵从性变得极其复杂和耗时, 提高严重违规罚款的可能性. 相反, 实现JIT临时访问的组织能够大量减少访问认证过程中必须审查的访问授权数量. 这有助于为管理人员以及基础设施和应用程序支持团队节省宝贵的时间,他们不再需要处理数百或数千个不必要的静态特权撤销.
在不妥协的情况下实现合规
现在很明显,降低风险和满足法规遵从性并不是一个“是”或“否”的命题. 而, 这是一个持续的优先事项,需要有效的解决方案,这些解决方案要像它们支持的云工作流和环境一样敏捷.
多云采用的兴起为现代组织带来了巨大的机遇和重大的挑战. 众多云平台的融合使澳门赌场官方下载更加敏捷和高效,但同时也带来了复杂的安全和合规性问题.
随着云的不断发展, 保护它的手段也必须通过同等或更好的措施来扩展,这包括对云资源的有效而安全的访问. 实现合规性不是一次性的成就,而是需要保持警惕的持续追求, 创新, 一致性和敏捷性. 满足这些需求需要在利用多云的好处和降低潜在风险之间取得微妙的平衡.
精心策划, 正在进行的教育, 正确的工具和增强的治理框架, 组织可以在不损害安全性或遵从性的情况下驾驭这种复杂的环境.
尾注
1 Verizon, 2023年数据泄露调查报告, 2023
2 Culafi,.;, “Okta:凯撒,米高梅在社会工程运动中被黑客攻击TechTarget, 2023年
3 Britive, 多云环境下数据驱动的GCP安全策略, 2022
艺术Poghosyan
首席执行官(CEO)和联合创始人是 Britive.