10 rủi ro bảo mật đám mây hàng đầu năm 2022

10 rủi ro bảo mật đám mây hàng đầu

Hãy nói về các mối đe dọa đối với bảo mật đám mây, đã xem xét Top-10 của OWASP, được hầu hết các tổ chức sử dụng dịch vụ đám mây.Như bạn đã biết, số lượng di chuyển đám mây tăng lên hàng năm và vấn đề bảo mật vẫn là một chủ đề nghiêm trọng.

Danh sách 10 rủi ro bảo mật đám mây hàng đầu giúp người tiêu dùng đám mây xây dựng môi trường đám mây an toàn và nó cung cấp các hướng dẫn về giảm thiểu rủi ro và bảo vệ dữ liệu.

10 rủi ro trên đỉnh đám mây

• R1.Trách nhiệm và rủi ro dữ liệu

• R2.Liên đoàn danh tính người dùng

• R3.Tuân thủ pháp lý & quy định

• R4.Tính liên tục kinh doanh & khả năng phục hồi

• R5.Quyền riêng tư của người dùng & Sử dụng thứ cấp của dữ liệu

• R6.Tích hợp dịch vụ & dữ liệu

• R7.Nhiều người thuê và an ninh thể chất

• R8.Phân tích tỷ lệ mắc & pháp y

• R9.Bảo mật cơ sở hạ tầng

• R10.Phơi nhiễm môi trường phi sản xuất

R1.Trách nhiệm và rủi ro dữ liệu

Trong trường hợp của trung tâm dữ liệu truyền thống, bảo mật của nó hoàn toàn nằm trong tay tổ chức.Họ phải chăm sóc bảo mật dữ liệu, bảo mật ứng dụng, bảo mật mạng và bảo mật vật lý, v.v.

Tuy nhiên, khi tổ chức quyết định di chuyển qua đám mây, ai xử lý bảo mật ở các lớp này?Như được hiển thị trong hình dưới đây, trong mô hình dịch vụ đám mây được xác định, người sẽ chịu trách nhiệm về bảo mật ở mỗi lớp.

Người tiêu dùng đám mây phải chăm sóc bảo mật ở mỗi lớp trong khi triển khai dịch vụ của họ lên đám mây.Người tiêu dùng cần xem xét tất cả các rủi ro bảo mật quan trọng một cách cẩn thận và giảm thiểu chúng.

Người tiêu dùng đám mây phải đảm bảo đảm bảo thu hồi dữ liệu, vị trí lưu trữ dữ liệu, mã hóa dữ liệu, v.v.

R2.Liên đoàn danh tính người dùng

Xác thực và ủy quyền của người dùng trong các nền tảng điện toán đám mây rất quan trọng đối với bảo mật cơ sở hạ tầng của tổ chức.Trong cơ sở hạ tầng truyền thống, danh tính của người dùng đối với các tài nguyên khác nhau đang kiểm soát chính tổ chức và người dùng có thể truy cập các tài nguyên đó trong tổ chức.Nhưng, trong trường hợp phạm vi đám mây của khả năng tiếp cận tăng lên.

Các tổ chức cần thực hiện các giải pháp quản lý nhận dạng và truy cập nâng cao như SAML và OAUTH.

R3.Tuân thủ pháp lý & quy định

Chúng tôi biết rằng hầu hết các quy định đều nắm giữ người dùng dịch vụ chịu trách nhiệm nhiều về bảo mật và tính toàn vẹn của dữ liệu khách hàng và công ty của họ, ngay cả khi nó được tổ chức bởi nhà cung cấp dịch vụ.

Các trung tâm dữ liệu đám mây được đặt tại các khu vực hẻo lánh nơi có năng lượng rẻ và kết nối sợi có sẵn.Người tiêu dùng đám mây phải nhận thức được vị trí của trung tâm dữ liệu nơi dữ liệu của họ được lưu trữ vì dữ liệu được coi là an toàn ở một quốc gia không thể được coi là an toàn ở một quốc gia khác.

Khả năng hiển thị phải có giữa các tổ chức và nhà cung cấp đám mây về SOX, PCI và các quy định khác dựa trên tài nguyên.

R4.Tính liên tục kinh doanh & khả năng phục hồi

Tính liên tục kinh doanh là một quá trình mà một tổ chức CNTT thực hiện để đảm bảo rằng doanh nghiệp có thể được điều hành ngay cả trong các tình huống không thuận lợi.

Điều gì xảy ra nếu trung tâm dữ liệu của bạn xuống do thời tiết xấu hoặc các thảm họa tự nhiên khác.Trung tâm dữ liệu có kế hoạch khắc phục thảm họa để bạn có thể quay lại và chạy càng sớm càng tốt không?Hãy chắc chắn rằng các nhà cung cấp đám mây nên được chứng nhận theo tiêu chuẩn liên tục kinh doanh như BS 25999.

R5.Quyền riêng tư của người dùng & Sử dụng thứ cấp của dữ liệu

Khi bạn di chuyển dữ liệu của mình lên đám mây, bạn sẽ mất kiểm soát hoàn toàn dữ liệu hoặc một phần.Bạn cần đảm bảo với các nhà cung cấp đám mây của mình những gì dữ liệu có thể hoặc không thể được sử dụng cho họ cho các mục đích thứ cấp như hầu hết các trang web xã hội chia sẻ dữ liệu của bạn với hạn chế ít nhất.

Người tiêu dùng đám mây cũng nên biết về cách dữ liệu của họ được chia sẻ và truy cập trên các biên giới tài phán.

R6.Tích hợp dịch vụ & dữ liệu

Trong khi truyền dữ liệu giữa Trung tâm dữ liệu đám mây và người tiêu dùng đám mây, những câu hỏi này phải được trả lời -

Các cuộc gọi API còn lại an toàn như thế nào?

Làm thế nào an toàn là cơ sở dữ liệu giữ dữ liệu?

Bạn có nên mã hóa dữ liệu và làm thế nào để bạn quản lý tất cả các khóa đó?

Phương tiện truyền dữ liệu không an toàn có thể gây ra dữ liệu nhạy cảm thỏa hiệp.

R7.Nhiều người thuê và an ninh thể chất

Không gian được cung cấp bởi các nhà cung cấp đám mây được chia sẻ bởi nhiều người dùng trong môi trường đám mây.Người tiêu dùng đám mây đảm bảo rằng sự phân tách không gian logic đủ an toàn để không người dùng nào khác có thể xem dữ liệu của bạn.Các nhà cung cấp dịch vụ đám mây phải thực hiện kiểm soát truy cập phù hợp với không gian chia sẻ để trong trường hợp thỏa hiệp một tài nguyên của người dùng không thể ảnh hưởng đến dữ liệu người dùng khác.

R8.Phân tích tỷ lệ mắc & pháp y

Nếu bất kỳ sự cố bảo mật nào xảy ra, bạn phải biết tất cả các nhật ký trên tất cả các tài nguyên được kết nối.Trong trường hợp các sự cố bảo mật, đó có thể là một tình huống đầy thách thức đối với người tiêu dùng đám mây để ngăn chặn cuộc tấn công.

Dữ liệu nhật ký thường bao gồm thông tin về người dùng khác và truy cập kiểm toán có thể bị hạn chế do các tài nguyên được chia sẻ.

R9.Bảo mật cơ sở hạ tầng

Đảm bảo rằng nhà cung cấp dịch vụ đám mây của bạn nhận thức được tất cả các dịch vụ đang chạy, cổng mở, chính sách mật khẩu và các cấu hình bảo mật khác trên môi trường đám mây.

Các cơ chế kiểm soát truy cập thích hợp phải được thực hiện theo vai trò của người dùng và các đánh giá rủi ro thường xuyên phải được thực hiện.

R10.Phơi nhiễm môi trường phi sản xuất

Môi trường phi sản xuất là tốt cho mục đích thử nghiệm bảo mật trong một tổ chức.Tránh sử dụng dữ liệu thực hoặc nhạy cảm trong môi trường không sản xuất.

Hãy chắc chắn rằng môi trường phi sản xuất khác của bạn cũng an toàn như môi trường sản xuất của bạn.Đảm bảo rằng bất cứ ai làm việc trong các môi trường này đều có các biện pháp truy cập đặc quyền.

Sự kết luận

Các đơn vị kinh doanh và các tổ chức CNTT nên đánh giá các lợi ích và rủi ro kinh doanh của các sản phẩm dựa trên đám mây.Các tổ chức cần đánh giá rủi ro điện toán đám mây, xác định các điều khiển thích hợp và các trường hợp sử dụng.Bảo mật trong điện toán đám mây là trách nhiệm chung giữa bộ phận CNTT của doanh nghiệp và nhà cung cấp dịch vụ đám mây.Do đó, ngay cả khi cơ sở hạ tầng có thể được chuyển vào đám mây, trách nhiệm bảo mật thông tin không thể được thuê ngoài hoàn toàn cho nhà cung cấp dịch vụ đám mây.

Tham gia Faun ngay hôm nay và nhận được những câu chuyện tương tự mỗi tuần trong hộp thư đến của bạn! ️ Nhận liều hàng tuần của bạn về những câu chuyện, tin tức và hướng dẫn công nghệ phải đọc.Join FAUN today and receive similar stories each week in your inbox!️ Get your weekly dose of the must-read tech stories, news, and tutorials.

Theo dõi chúng tôi trên Twitter🐦 và Facebook👥 và Instagram📷 và tham gia các nhóm Facebook và LinkedIn của chúng tôiTwitter🐦 and Facebook👥 and Instagram📷 and join our Facebook and Linkedin Groups 💬

Nếu bài đăng này hữu ích, xin vui lòng nhấp vào nút Clap 👏 bên dưới một vài lần để hiển thị sự hỗ trợ của bạn cho tác giả!⬇

10 mối đe dọa bảo mật hàng đầu là gì?

OWASP đã xác định Top 10 cho các rủi ro bảo mật đám mây?

Bốn rủi ro bảo mật trong việc sử dụng điện toán đám mây là gì?

5 mối đe dọa chính hàng đầu đối với an ninh mạng là gì?