2007 年数据保护日的开幕标志着在一个糟糕的数据安全卫生影响企业和消费者的世界中保护敏感信息的重要性。十四年过去了,围绕数据使用和数据隐私的讨论比以往任何时候都更加相关。对于企业而言,随着业务流程的数字化,收集和挖掘数据的能力已经爆炸式增长。
由于大流行,这种数字化转型进一步加速,这迫使许多企业重新评估员工如何在不损害新的在家办公的隐私的情况下安全地访问数据。事实上,超过一半的英国商界领袖承认,迁移到云端让他们的公司免于在疫情最严重的时候倒闭。这一切听起来很有希望,但与涌入云服务相关的安全风险不仅会影响数据的完整性,还可能危及对数据隐私和 GDPR 等安全法规的遵守。
大流行的干扰已经对试图保持其系统安全的组织提出了严峻的挑战。除此之外,他们还负责满足隐私需求。然而,这并不是任何企业忽视其数据安全和隐私承诺的正当借口,尤其是在与流行病相关的网络攻击不断增加的情况下。网络犯罪分子一直在尝试使用网络钓鱼等常用方法来利用云系统,这些方法主要以 COVID 为主题、恶意软件和加密货币挖矿。此外,黑客已经迅速通过未修补的漏洞和云配置错误来破坏云服务,这些都是由人为错误触发的。如果继续忽视安全卫生,那么对云和数据安全的任何希望都将不复存在。
随着我们进入下一个云计算时代,数据的安全性和隐私性变得至关重要。组织不能再忽视安全性,必须积极主动地保护其云系统中的数据。如果不是这样,那么企业就是在赌博收集到的敏感客户数据。为避免这种情况,安全领导者必须考虑以下建议来保护云环境:
避免云配置错误
配置错误的云系统对于网络犯罪分子来说是唾手可得的成果。窃取数据并不需要太多技巧,尤其是在云系统启用了公共访问权限的情况下。为了减少这种情况发生的威胁,企业必须确保配置设置遵循安全最佳实践——CIS 基准测试,持续使用自动化云安全状态管理 (CSPM) 解决方案。这将大大减少安全配置错误的可能性——这是导致云数据泄露的第一大原因。还应实施其他基本安全控制措施,包括安装防火墙、备份和定期测试系统,以及对员工进行远程访问这些系统时应遵循的安全实践的教育。
以共同责任保护您的云工作负载
与人们的看法相反,云环境的安全性不仅仅取决于提供商。如果应用程序易受 SQL 注入攻击,将其移至云端将无法保护其免受威胁。共享方程式由常见的运营场景决定:IaaS、PaaS 或 SaaS。对于 IaaS/PaaS 环境,云提供商保护后端数据中心、网络、服务器和虚拟化;企业需要通过持续的系统加固和漏洞评估,将其工作负载保护最佳实践扩展到云工作负载。已知漏洞是攻击者首先瞄准的目标,因此始终检查您的操作系统至关重要。对于 SaaS 场景,应用程序和数据的安全是服务提供商的责任,
大数据和多云注意事项
云非常独特,需要自己的特定知识库和技能集来建立适当的控制。在混合或多云部署的情况下,来自云服务提供商(Azure、AWS 和谷歌云平台)的安全控制会有所不同。您不想为不同的云使用具有不同范围的不同工具。实施同质控制并在所有云服务中具有可见性以帮助安全团队消除盲点并降低成本非常重要。您的云安全管理流程也应该是自动化和连续的,以跟上云服务的动态特性。通过获得云环境的统一视图,组织可以有效地保护云应用程序和其中的敏感数据,而不会影响 IT 运营和资源。
数据保护日有助于加强对更好的数据安全性的需求,但保护数据不是一次性事件,它必须是一个持续和自动化的过程。数字化采用周期没有停止的迹象,现代企业因其优势而迁移到更多云服务。从本质上讲,云已经成为新常态的一部分,但我们必须确保云安全以正确的方式正常化,以确保我们的关键数据不被破坏。