初创企业云安全用户指南

  作为云服务解决方案,Alert Logic集成了先进的全天候监控安全工具来抵御威胁和解决合规性,同时还是AWS先进技术合作伙伴和安全供应商。本文来自于Alert Logic的首席安全专员Stephen Coty,他在文中分享了云安全最佳实践。以下为Stephen Coty分享的译文:

  许多年前,我怀揣巨大的梦想和很少的资金创建了一个安全和发展公司。然而,在我开始建设必要的基础设施和开发平台的时候,我很快意识到了成本问题。当然,这发生在21世纪初期,当时并没有云计算基础设施,所以要想有基础设施,就必须自己建立,紧接着还有人力资源、运营、财务、销售、和营销,所以最后我搭建了公司需要的基础设施以及维护基础设施的团队。

  作为一个初创企业,在搭建云计算的时候需要有基本任务列表。当今的云带有各种自助设施和服务,使得很多任务变得更容易。但即便如此,安全往往是事后才考虑到的。然而,重要的是要记住云计算是商业网络的拓展,不论是否知道它的存在。安全漏洞不仅危及用户的内部网络,也会把客户的数据置于危险之中。

  公共云的安全威胁

  虽然公共云带来巨大的经济利益,但也像任何其他基础设施一样有共享威胁。多年来,攻击频率和多种恶意软件的使用都是呈上升趋势。随着云事件相关漏洞扫描、web应用程序、以及暴力攻击的增加,用户关键需要理解影响云的威胁类型,这样就可以建立一个合适的深度安全策略来保护环境免受恶意攻击。

  公共安全模型

  在公共云中,保证安全的关键在于理解用户和服务供应商之间共享的安全模型,如公有云服务供应商亚马逊AWS。没有这一点,可以假设当用户负责特定安全功能时,服务供应商正在保护用户。

  例如,服务供应商负责全部的基础服务,如计算能力、存储、数据库和网络服务。在网络层,服务供应商负责网络分段、周边服务、一些DDOS和欺骗。

  但是,你——最终用户是要负责网络威胁检测,报告和任何事件响应。在主机层面,用户负责访问管理、补丁管理、配置硬化、安全监视、以及日志分析。应用程序组件百分之百是用户的责任。下图展示了用户和服务供应商之间的职责分类:

  

  了解用户和云供应商各自的角色不仅能帮助用户做出最好的关于云基础设施的决定,还将确保一旦实施网络安全策略将高效且低成本从云威胁中保护你的数据。

  云安全最佳实践

  1、保护代码

  保护代码百分百是用户的责任。首先,确保安全是软件开发周期(SDLC)的一部分。为此,列出清单如下:

  • 验证代码是否持续更新以及任何插件是否有最新补丁;

  • 将延时添加到代码来防止成为僵尸网络的受害者;

  • 使用加密;

  • 测试所有的库和第三方依赖项;

  • 关注正在使用的产品的漏洞消息;

  • 最后,做出任何更改后不断扫描代码。

  2.创建访问管理政策

  首先,确定所有的资产有哪些。一旦确定列表,明确角色和职责所需访问的资产。如果可能集中认证,并使用一种优先级模式来实现身份验证。AWS为身份验证管理提供了许多选项。

  3. 采用补丁管理方法

  再次,考虑开发一个重要程序清单:

  • 搞清楚所有的资产清单;

  • 尽可能确定标准化计划;

  • 研究可能会有影响的漏洞,分类基于脆弱性和可能性的风险;

  • 如果可能的话,在补丁发布之进行测试;

  • 建立一个定期修补计划,包括需要手动更新的第三方产品。

  4.日志管理

  日志现在有益于远超合规性;已经成为一个强大的安全工具。用户可以使用日志数据来监控恶意行为和事故调查。使日志成为一个有效的安全工具的技巧是需要全天候监控异常行为。

  AWS CloudTrail在这方面有一个开创性提议。使用CloudTrail,用户的安全供应商可以从亚马逊的管理环境中监控云实例访问。每个人都倾向于从网上关注和监控保护他们的环境,他们很少想从后端监控活动。这就是CloudTrail的创新并为客户提供一个与AWS API交互管理的透明度水平。

  5.建立安全工具包

  用户需要把云当作企业网络。实施涵盖了所有职责的深度防护策略。执行IP表、web应用防火墙、杀毒软件、入侵检测、加密和日志管理。探索安全选项,并确保对业务有正确的解决方案。

  6.保持消息灵通

  用户必须对自己环境中可能有的漏洞保持了解,这里列出一些世界顶尖的研究网站。这将帮助用户获得漏洞、开发、和传播性攻击最新的消息:

  • http://www.securityfocus.com

  • http://www.exploit-db.com

  • http://seclists.org/fulldisclosure/

  • http://www.securitybloggersnetwork.com/

  • http://www.sans.org/

  • http://www.nist.gov/

  7.了解服务供应商

  最后,用户需要了解与其分担安全责任的安全供应商和安全产品。确保安全策略是有效的并能通过不断测试有效实施。

  本文作者介绍:Stephen Coty,Alert Logic的首席安全专员和ISSA、Infragard和HTCIA的成员。

时间: 2024-10-12 02:56:19

初创企业云安全用户指南的相关文章

Stephen Coty:初创企业云安全用户指南

[编者按]作为云服务解决方案,Alert Logic集成了先进的全天候监控安全工具来抵御威胁和解决合规性,同时还是AWS先进技术合作伙伴和安全供应商.本文来自于Alert Logic的首席安全专员Stephen Coty,他在文中分享了云安全最佳实践.以下为Stephen Coty分享的译文: 许多年前,我怀揣巨大的梦想和很少的资金创建了一个安全和发展公司.然而,在我开始建设必要的基础设施和开发平台的时候,我很快意识到了成本问题.当然,这发生在21世纪初期,当时并没有云计算基础设施,所以要想有基

3D打印初创企业Shapeways获3000万美元融资

4月23日消息,3D打印初创企业Shapeways刚刚获得了3000万美元C轮融资. Shapeways是一家帮助用户利用3D打印技术DIY制作产品的初创企业.用户只需上传自己设计好的3D模型并选择材料,支付费用给Shapeways,后者即用3D打印机将其打印出来并邮寄给用户.该公司计划利用这笔新资金扩充团队,增建工厂,扩大本地化生产规模.目前进驻Shapeways的商店已经超过1万家,3D设计师可以通过这些商店销售由Shapeways的设备按需打印出来的实物.目前存放在Shapeways上面的

这家初创企业专做云安全即服务平台

初创企业Cato Networks于今年春天脱离潜伏模式,它专注于通过云端交付的安全即服务技术. Gur Shatz 之前是安全厂商Incapsula的创始人兼CEO,当初做的是基于云端的Web应用防火墙技术.如今,作为初创企业Cato Networks的CTO,他正在建立一个基于云端的安全即服务平台. Cato Networks公司的掌门人是 Shlomo Kramer,此人在信息安全社区里广为人知,他还是Check Point的投资人和创始人之一. Cato Networks 的技术基于一项

武装到“牙齿”!阿里云发布史上最强企业云安全架构 11层防护

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,明确:数据是客户资产,云计算平台不得移作它用.同时,阿里云还首次推出了"5S安全标准",这也是业内首个云上安全标准. 阿里云想为客户提供极致安全 业内首个企业云安全架构发布 未来的企业都会基于云来搭建业务的安全系统,企业云安全架构(C

云栖大会之前 阿里云解释企业云安全架构逻辑

安全性是所有云计算平台都绕不开户的核心,一个基础常识是,所有客户考虑是否上云的第一点因素,就是云的安全性,也正是这一点,促使云服务商们大力关注自身安全性,不论是亚马逊还是阿里. 9月28日,阿里云在云栖大会之前,发布首个企业云安全架构,以及<2017阿里云安全白皮书>(简称白皮书). 阿里云安全事业部总经理肖力于现场表示,大量企业将业务部署在云端,但是国内90%的企业都没有自身的安全团队,安全水平不及格.仅有2%的公司会在安全上有较大投入. IDC中国企业研究部高级分析师赵明宇也强调了云上安全

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

十家网络安全初创企业参与角逐2017RSA大会创新沙盒大赛

即将于今年2月召开的RSA 2017信息安全大会将带来众多热门议题,其中包括机器学习.物联网安全.云安全以及其它众多核心议题将成为本届创新沙盒大赛的重要竞逐单元.而每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标.目前共有87家企业申请参与此次创新沙盒大赛. 我们就此通过Wordcloud生成器查询了RSA大会官方新闻公告当中提供的企业描述信息,而生成的图形结果显示这些初创企业需要保护的核心要素正是"数据"这一宝贵的资产.

阿里云发布史上最强企业云安全架构 11层防护 武装到“牙齿”

9月28日,阿里云在北京正式发布首个企业云安全架构和<2017阿里云安全白皮书>(以下简称白皮书),企业可参考架构指南和白皮书构建安全.稳固的信息化架构.白皮书将用户隐私和数据安全列为第一原则,并于2015年全球首家将不碰客户数据写入正式文本,并明确:数据是客户资产,云计算平台不得移作它用. "我们已经从全民PC安全时代迈入全民云安全时代,阿里云希望为企业提供一个可靠的安全架构体系指南,让安全成为一种基础能力." 阿里云安全资深总监肖力表示. 安全第一!数据安全和用户隐私是

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云