|
由于云計算的本質(zhì)����,所以當發(fā)生安全事件���、數(shù)據(jù)破壞�、或其他需要調(diào)查和采取行動該找誰時顯得更難以確定��。為了滿足相同匯報責任的需求的變化��,需要修改標準安全事件響應機制���。本文提供了如何處理這些事件的指導。
對于客戶來說��,部署到云的應用程序并不總是把數(shù)據(jù)完整性和安全性設計放在第一位的����。這可能導致脆弱的應用部署進云環(huán)境,進而引發(fā)安全事故�。此外,基礎設施架構(gòu)的缺陷�、加固規(guī)程中的錯誤、以及簡單的操作疏忽都會對云服務的運營構(gòu)成重大的威脅���。當然����,類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運營。
很明顯���,事件處理過程需要專業(yè)技術(shù)知識�����,但隱私和法律專家對云安全同樣可以作出重大貢獻��。在事件響應中��,他們還會在通知���、補救、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用����。如果一個組織考慮使用云服務,那么他需要審視有關(guān)未被用戶協(xié)議和隱私政策制約的員工對數(shù)據(jù)的訪問的機制是否已經(jīng)實施�。在IaaS和PaaS架構(gòu)中,云服務提供商自己的應用程序不管理應用程序數(shù)據(jù)����,這和SaaS提供商的應用程序控制數(shù)據(jù)有所不同。
大型云服務提供商交付SaaS�����、PaaS和IaaS服務的復雜性造成重大事件響應過程中的隱患,潛在客戶必須評估相應SLA的可接受水平�。在評估云服務提供商時,很重要的一點事要意識到供應商可能托管了成百上千的應用程序?qū)嵗�。從事件監(jiān)測的角度講,任何外部應用程序都會拓寬安全運行中心(SOC)的責任����。通常,SOC監(jiān)測那些由入侵檢測系統(tǒng)和防火墻中產(chǎn)生預警和其他事件的指標����,但是���,在開放的云環(huán)境中這些必須監(jiān)測的消息來源和通告的數(shù)量將會以指數(shù)方式增長�,例如��,SOC可能需要監(jiān)測消費者之間的活動���,還有外部事件����。
一個組織需要了解他們所選擇的云服務提供商的事件響應策略。這一策略必須解決識別和通知����,以及針對應用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問的補救選項。更為復雜的是����,在不同的數(shù)據(jù)存放位置,應用數(shù)據(jù)的管理和訪問有不同的含義和監(jiān)管要求����。例如,如果涉及到的數(shù)據(jù)在德國��,有事件發(fā)生��,可是如何數(shù)據(jù)在美國�����,可能就不認為是“事件”�����。這使得事件識別充滿挑戰(zhàn)性.
建議
在服務部署前��,云客戶要明確界定,并且和云服務提供商溝通什么是他們認為的事故(incident)(如數(shù)據(jù)破壞)���,什么僅僅是事件(event)��。
云客戶參與云服務提供商的事件響應活動可能非常有限���。因此,客戶了解與云服務提供商的事件響應小組的既定溝通路徑非常關(guān)鍵����。
云客戶應該調(diào)查云服務提供商使用哪些事件檢測和分析工具,以確保他們對自己的系統(tǒng)兼容���。在聯(lián)合調(diào)查���,特別是那些涉及法律調(diào)查(discovery)或政府干預(intervention)時���,云服務提供商的某個私有的或者非常規(guī)格式的日志往往會成為主要障礙�。設計和保護不當?shù)膽贸绦蚝拖到y(tǒng)可以很容易地“淹沒”每個人的事件響應能力����。對系統(tǒng)進行適當?shù)娘L險管理����,并且利用縱深防御的做法在第一時間減少發(fā)生安全事件的機會是很關(guān)鍵的����。
安全運行中心(SOC)經(jīng)常假定對事件響應上只有一個單一的管控模型,但是這對多租戶的云服務提供商來說并不恰當�����。一個強勁而良好維護的安全信息和事件管理(SIEM)流程用以識別可用數(shù)據(jù)源(應用程序日志�、防火墻日志、以及IDS日志等等)�,并且將這些日志合并進可以協(xié)助SOC檢測云計算環(huán)境事件的通用分析告警平臺。
為了極大地方便的進行詳盡的離線分析�����,可以考察能夠提供整個客戶虛擬環(huán)境快照的能力的云服務提供商����,這些快照包括防火墻、網(wǎng)絡(交換機)��、系統(tǒng)應用程序和數(shù)據(jù)。
遏制(containment)是破壞控制和搜集證據(jù)之間的一場賽跑�。基于機密性-完整性-可用性(CIA)這樣三位一體的遏制做法才是有效的�。?
補救突出了能夠?qū)⑾到y(tǒng)恢復到某個先前狀態(tài)的重要性���,甚至需要回到6個月或12個月前的已知可用配置�����。將法律選擇和要求牢記在心�,補救可能還需要支持事件數(shù)據(jù)的“事后分析”(forensics)記錄�。
所有因為數(shù)據(jù)泄漏監(jiān)管而被分類為“私有”的數(shù)據(jù)都應該加密,以減少泄漏事件帶來的后果����������?蛻魬诤贤幸(guī)定相關(guān)的加密要求����,具體參見D11。�����?
有些云服務提供商可能擁有一大批擁有獨特應用的客戶�����。為了能夠給每一個特定客戶提供細顆粒度的事件�,這些云服務提供商應該考慮應用層日志框架。這些云服務提供商還應該構(gòu)建一個注冊表��,按照應用程序接口(URL�、SOA服務、等)來記錄應用程序所有者�����。���?
在多租戶環(huán)境下�,應用級防火墻���、代理服務器����,以及其它的應用日志工具是當前可用的協(xié)助事件響應的關(guān)鍵能力。
總結(jié)
對于客戶來說�,部署到云的應用程序并不總是把數(shù)據(jù)完整性和安全性設計放在第一位的。這可能導致脆弱的應用部署進云環(huán)境�,進而引發(fā)安全事故。此外��,基礎設施架構(gòu)的缺陷��、加固規(guī)程中的錯誤�、以及簡單的操作疏忽都會對云服務的運營構(gòu)成重大的威脅。當然���,類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運營�。
本文出自:億恩科技【www.cmtents.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
