云计算客户的5步IaaS安保审核清单

当初,许多组织简直齐全驳回IaaS取代了虚构数据核心、外部部署主机和设备。这种宽泛的成功须要确保IaaS运营环境的安保,以顺应这种参与经常使用量的状况。

与PaaS或SaaS环境相比,客户驳回IaaS面临着更多的安保责任。例如,在SaaS中,以操作系统为核心的义务(如操作系统补丁)就超出了客户的控制范围。但是在IaaS模型中,其责任在于客户,由于他们可以控制上班负载,而在该案例中是虚构计算映像。

具有控制权势就会带来责任。经过对基础设备启动更多控制,IaaS客户还将承当确保其安保的累赘。由于IaaS在堆栈中的位置较低,因此很难取得特定的安保指点,由于最佳通常须要顺应不同的用法。但也有一些IaaS安保最佳通常可供选用,可以在云计算提供商和经常使用场景中普遍运行。

以下是针对云计算客户的IaaS安保审核清单中的五个基本步骤:

1. 了解云计算提供商的安保模型

在经常使用IaaS产品之前,组织的消息安保担任人须要确保他们了解云计算提供商的安保模型。这很关键,这关键有两个要素:首先,云计算提供商对相似的概念经常使用不同的术语。例如,用户可以经常使用AWS云平台中的标签来组织资产,但也可以在谷歌云平台(GCP)中的名目中组织。但这会影响云安保战略更改的实施形式,因此了解术语可以协助防止出现失误。

其次,从操作角度来看很关键。用户须要了解哪些安保性能可用,以及这些性能的潜在价值或限度。思考到这种状况,消息安保担任人须要确定对操作性能文件的任何必要更改,以确保有效地经常使用这些个性。

Amazon GuardDuty和Microsoft Defender for Identity(前身为Azure Advanced ThreatProtection)等服务在概念上高度相似,但在操作形式和用户操作人员从中取得价值的形式上却一模一样。可以构建一个控件图,用于比拟提供者之间的性能。这在多云环境中尤其关键。

无论云计算提供商如何,都可以经常使用这些清单运行在IaaS安保最佳通常。

2. 加密静态数据

大少数云计算提供商(尤其是大型提供商)都可以对在其IaaS平台中创立的虚构机启动加密。这种加密性能通常是收费的,或许费用很低。用户可以选用控制自己的密钥,也可以选用由云计算提供商控制。

思考到对财务和运营的影响较小,经常使用这一加密性能(假设自动状况下尚未启用)是一个理智的选择。依照IaaS安保审核表的第一个步骤,须要确保说明静态加密能否或如何影响其余云计算提供商提供的服务,例如备份和复原性能。

3. 继续降级补丁

IaaS客户关键担任使上班负载坚持最新形态。在大少数状况下,这包括操作系统自身以及装置到这些映像的任何软件。正如须要对外部部署主机启动修补和保养一样,对云计算上班负载也要采取相反的措施。只管这听起来像是知识,但分歧的降级补丁或许比看起来艰巨得多。在不同的组内或经过不同的操作流程控制云计算资源时,尤其如此。

4. 监控和清点

亲密关注基于云计算或其余任何资产的知识。但是就像修补程序一样,监督性能可以位于组织内的不同组中。此外,云计算提供商经过不同的界面提供各种监督机制。这些运营应战将须要启动少量布局和真知灼见,以确保分歧且高效的云计算监控。因此,安保指导者应留出足够的期间来制订监督战略。

此外,组织须要坚持最新的图像清单。IaaS控制台将列出其中的内容,但不必定蕴含无关组织中谁在经常使用虚构机(VM)以及针对什么经常使用虚构机(VM)的具体消息。经过关联的注释或标签在清单系统和IaaS控制台中保养清单消息很有协助。这使安保团队可以在IaaS控制台中交叉援用消息,在多个云计算平台中跟踪上班负载并了如指掌地确定上班负载。

5. 控制访问权限

在IaaS中,要思考多个身份和访问控制(IAM)维度作为IaaS安保清单的一局部。首先,可以访问操作系统及其上装置的任何运行程序和两边件。其次,在操作系统级别上思考特权访问(其中包括root或控制访问)。IaaS的这些身份和访问控制(IAM)留意事项应该获取仔细控制和控制。

须要留意的是,IaaS中还有其余惟一的访问“层”。该层包括访问IaaS控制台和其余程序性能,这些性能提供无关或影响云计算资源运转的消息。这些性能(例如备份和复原、密钥控制和审核)在确保资源安保方面都可以施展作用。因此,了解谁有权访问提供商控制台的这些区域以及出于什么目标至关关键。

组织可以经常使用即时访问等性能只在须要时提供访问。经常使用跳转主机来集中整合访问权限,确保一致实施监控,并最大水高山缩小上班负载攻打面。

您可能还会对下面的文章感兴趣: