摘要:組織應(yīng)該要求供應(yīng)商對(duì)其容器映像的安全狀態(tài)保持透明����。管理人員可以采取其他重要的安全措施。他們應(yīng)該執(zhí)行多因素身份驗(yàn)證�����,以確保安全有效���。
在過(guò)去幾年中���,云優(yōu)先和美國(guó)聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃等策略和舉措促使美國(guó)政府IT領(lǐng)導(dǎo)者重新看待公共云的應(yīng)用���。公共云提供商已經(jīng)投入資源來(lái)確保他們的產(chǎn)品比以前更安全。即便如此���,公共云仍然會(huì)對(duì)為嚴(yán)格的隱私�、安全和合規(guī)條例下運(yùn)營(yíng)的組織帶來(lái)風(fēng)險(xiǎn)����。
盡管許多公共云提供商都擁有致力于在軟件服務(wù)、平臺(tái)服務(wù)或基礎(chǔ)設(shè)施服務(wù)層提供安全性的團(tuán)隊(duì)�����,但企業(yè)的IT專(zhuān)業(yè)人員也必須發(fā)揮自己的作用��,他們自己的團(tuán)隊(duì)必須承擔(dān)起確保企業(yè)業(yè)務(wù)安全的責(zé)任�����,而這是云計(jì)算提供商責(zé)任終止與企業(yè)責(zé)任開(kāi)始之間的延伸��。
企業(yè)的IT團(tuán)隊(duì)在加強(qiáng)其云計(jì)算環(huán)境的安全性時(shí)應(yīng)考慮以下事項(xiàng):
SaaS:正確設(shè)置權(quán)限
SaaS提供商負(fù)責(zé)確保其應(yīng)用程序的安全,但要由企業(yè)IT專(zhuān)業(yè)人員正確設(shè)置內(nèi)容權(quán)限���。這些權(quán)限取決于用戶��,應(yīng)根據(jù)需要定期檢查和調(diào)整���。許多SaaS提供商允許管理員控制用戶共享權(quán)限,以便他們可以在方便性和安全性方面實(shí)現(xiàn)所需的平衡�。
管理員應(yīng)該通過(guò)配置SaaS工具來(lái)強(qiáng)制執(zhí)行“最小權(quán)限原則”,以便只向需要它們的用戶授予讀寫(xiě)權(quán)限���。例如���,對(duì)網(wǎng)絡(luò)文檔安全性設(shè)置不甚了解的工作人員最終可能會(huì)對(duì)外泄露一些內(nèi)容?����?蛻舻拇罅啃畔⑿孤兜氖录缃褚褜乙?jiàn)不鮮�����,過(guò)度寬松的讀訪問(wèn)權(quán)限可能會(huì)讓錯(cuò)誤的人訪問(wèn)敏感信息����。開(kāi)放寫(xiě)入權(quán)限可能會(huì)給惡意用戶創(chuàng)建“虛假內(nèi)容”的機(jī)會(huì),導(dǎo)致合法用戶可能不信任原本真實(shí)有效的內(nèi)容���。
IT管理員必須像設(shè)置Goldilocks一樣設(shè)置用戶權(quán)限�����,其權(quán)限需要恰到好處�,防止濫用讀?��。ㄐ孤┖蛯?xiě)入(數(shù)據(jù)損壞或可能導(dǎo)致不信任的數(shù)據(jù)損壞或污點(diǎn))權(quán)限��。
PaaS:評(píng)估容器安全性
由于Linux容器的便捷性和更高的速度和靈活性�����,Linux容器已變得越來(lái)越流行�����,但安全性仍然是許多提供商面臨的問(wèn)題�����。IT管理員應(yīng)掃描并修復(fù)容器映像�,以確保他們沒(méi)有已知的安全漏洞。在理想情況下����,他們可以與開(kāi)發(fā)團(tuán)隊(duì)一起使用DevOps技術(shù)來(lái)實(shí)現(xiàn)開(kāi)發(fā)人員持續(xù)集成和部署管道中的安全檢查和修復(fù)的自動(dòng)化。這將防止開(kāi)發(fā)人員在應(yīng)用程序更新并應(yīng)用時(shí)�����,都會(huì)被人工實(shí)施的安全流程所阻礙���。
組織應(yīng)該要求供應(yīng)商對(duì)其容器映像的安全狀態(tài)保持透明����?���!叭萜鹘】抵笖?shù)”可以提供幫助。這些存儲(chǔ)庫(kù)提供Linux容器映像安全性的每日和按需評(píng)級(jí)����,使管理人員能夠判斷哪些容器可以安全使用�����,哪些容器包含已知的漏洞。
IaaS:保護(hù)平臺(tái)
IaaS提供商負(fù)責(zé)提供其硬件���,并為客戶的云計(jì)算虛擬機(jī)創(chuàng)建高效和安全的虛擬空間�����。但代理托管人員必須確保其客戶操作系統(tǒng)已完全打好補(bǔ)丁�,并符合安全基準(zhǔn)����。
管理人員應(yīng)該使用相同的管理平臺(tái)和工具來(lái)掃描和修復(fù)自己的云計(jì)算虛擬機(jī)上的物理和虛擬化基礎(chǔ)設(shè)施系統(tǒng)。采用通用的平臺(tái)可以不再要求熟練使用不同管理軟件或管理工具���。而采用統(tǒng)一的工具可以提供對(duì)物理系統(tǒng)��、虛擬化基礎(chǔ)設(shè)施或云中各機(jī)構(gòu)安全的整體觀點(diǎn)�����。
IT管理人員可以采取其他重要的安全措施�。他們應(yīng)關(guān)閉并可能隔離不再使用的虛擬機(jī)�,從而防止攻擊者進(jìn)入未打補(bǔ)丁的云計(jì)算虛擬機(jī)�����,然后在云計(jì)算基礎(chǔ)設(shè)施中橫向移動(dòng)以獲得更有利可圖的目標(biāo)��。安全增強(qiáng)型Linux可以實(shí)施訪問(wèn)控制和安全策略��,身份管理可讓IT專(zhuān)業(yè)人員整合����,審核對(duì)其系統(tǒng)具有管理訪問(wèn)權(quán)限的人員���。他們應(yīng)該執(zhí)行多因素身份驗(yàn)證����,以確保安全有效��。
最后���,IaaS環(huán)境必須盡可能實(shí)現(xiàn)自動(dòng)化����,以減少人為錯(cuò)誤的可能性��,從而提高安全性��。管理人員可以使用儀表板和遠(yuǎn)程命令工具輕松監(jiān)視自動(dòng)化基礎(chǔ)設(shè)施����,并快速解決安全問(wèn)題。
只要IT管理人員盡到自己的責(zé)任來(lái)保護(hù)他們的運(yùn)行環(huán)境�,企業(yè)采用公共云平臺(tái)運(yùn)營(yíng)業(yè)務(wù)將帶來(lái)巨大的收益。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/6419.html
