Как защитить облако от вредоносного ПО

Для предприятий, использующих облако, ключ к безопасности начинается с понимания составных компонентов облачной среды, которые должны быть защищены от потенциальных угроз. Что касается вредоносной программы, то для неё необязательно наличие высокого уровня сложности, достаточно иметь доступ. Придавая особое значение различным частям облачного стека, и реализовывая их уникальные потребности в безопасности, можно обеспечить высокий уровень устойчивости к вирусным программам.


Управление идентификацией

Если злоумышленник может заполучить ваши системы, используя параметры доступа, следует предпринять следующие шаги:

1. Настройте политику, предусматривающую сложные пароли (минимум 12 символов, состоящих из букв и цифр).

2. Требуйте многофакторную аутентификацию (МФА). Наличие сильного пароля может быть недостаточно. Применение расширенного метода аутентификации обеспечивает ещё один уровень защиты имени пользователя.

3. Ограничьте количество привилегированных ролей для сотрудников. Предоставьте пользователям доступ к наименьшему количеству счетов и систем. Это поможет свести к минимуму нанесённый недоброжелателем ущерб.

4. Удалите мёртвые аккаунты. После того как сотрудники покидают вашу компанию, немедленно деактивируйте их ключи доступа ко всем системам. В отличие от живых аккаунтов, мёртвые оставляют больше конечных точек, к тому же они не контролируются.

Облако

Защита вычислительного уровня

Безопасность вычислительного уровня обеспечит доступность систем и данных, а также предотвратит распространение вредоносных программ в рамках компании и в сети Интернет. Достичь этого можно в несколько приёмов:

1. Укрепление ОС. Удалите ненужные программы, расширяющие радиус для кибератак. Следите за пакетами обновлений и патчами. Это не гарантирует абсолютную неуязвимость перед атакой нулевого дня, зато поможет минимизировать её вероятность.

2. Активация безопасного входа в систему. Создайте SSH-ключи для отдельных лиц на предприятии. Так вы обезопасите ваши активы при перемещении по незащищённым сетям.

3. VPN сервис. Организуйте надёжные соединения между устройствами и Интернетом, создав безопасный туннель или VPN. В такой способ вы сможете наладить свою собственную версию сети, отвечающую вашим требованиям безопасности.

4. Использование jump host (переходный хост или сервер перехода). Переходный хост размещается в другой зоне безопасности и обеспечивает единственное средство доступа к серверам или хостам в системе. Группы безопасности для остальных облачных ресурсов должны быть настроены так, чтобы разрешать доступ к SSH с сервера перехода.

5. Настройка правил гипервизорного брандмауэра. Самый эффективный способ управления брандмауэрами – это уровень гипервизора, дающий возможность вводить ограничения на входящий и исходящий трафик. В силу того, что вымогательство часто угрожает утечкой интеллектуальной собственности, необходимо установить точные правила о том, сколько и кто может отправлять, принимать и получать доступ к входящим и исходящим данным.

6. Применение только надёжных изображений. Создавайте свои изображения или шаблоны с нуля или добывайте их из проверенных источников, таких как AWS или Microsoft. Не используйте те, которые вы найдете в Stackoverflow, на случайных досках объявлений или в сообществах.

Облако

Безопасность хранилища

Если информация обладает высокой ценностью, вы обязаны оберегать её, чтобы обеспечить жизнеспособность бизнеса на долгие годы. В ситуации, когда взломщики получают доступ к вашему слою хранения, возникает угроза удаления или раскрытия всего объёма информации.

1. Возьмите под контроль доступ к данным. Политика управления идентификацией и доступом (IAM) и списки контроля доступа (ACL) помогают централизовать управление разрешениями для доступа к хранилищу. Политики управления корзинами позволяют принять или отклонить разрешения с помощью учётных записей, пользователей или на основе определённых условий, типа даты, IP-адреса и запроса, отправленного с помощью SSL.

2. Шифруйте данные как в пути, так и в состоянии покоя. Обратите внимание, что метаданные часто не зашифрованы, поэтому не храните конфиденциальную информацию в метаданных облачного хранилища.

3. Контроль версий/журналирование. Контроль версий позволяет сохранять, извлекать и восстанавливать данные, если что-то пойдёт не так. В случае угрозы или сбоя приложения, влекущих потерю информации, всегда можно воспользоваться более старой версией данных. В процессе ведения журналов регистрации запросов на доступ создаётся контрольный журнал, дающий возможность отслеживать вторжение в систему.

4. Установите права на удаление информации. Вы можете настроить роли в облачной инфраструктуре, дающие право на удаление данных определённым пользователям. Вы также вправе активировать функцию, которая требует, чтобы шестизначный код и серийный номер из вашего МФА токена удаляли любую версию данных, находящихся в вашем слое хранения. Это значит, что без ключа MFA преступники не смогут манипулировать вашей информацией, даже при наличии доступа к ней.

Сохранность облачного сервиса

После того как вы укрепили тылы и усилили умные политики, вам необходимо сконцентрировать внимание на безопасности служб в облаке.

1. Используйте правильное управление исходным кодом. Контроль исходного кода обеспечивает безопасность версий, а также доступ к сборкам и экземплярам развёртывания.

2. Не разрешайте службам звонить домой в системы SaaS. Это даст возможность правонарушителям заполучить доступ к вашему репозиторию, а в дальнейшем и к большему количеству ваших систем. Храните Git-репозитории в облачной среде.

Теги: , ,

Предыдущая/следующая

Вам может быть интересно:

Поделиться в соц сетях:

Twitter Facebook Vk Googlepluse Linkedin

Подпишитесь на обновления этого блога по RSSRSS, RSSMAILEmail или TwitterTwitter!

Случайная подборка из рубрики:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Обсуждаемые темы:

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля