|
由于云計算的本質(zhì)���,所以當發(fā)生安全事件��、數(shù)據(jù)破壞、或其他需要調(diào)查和采取行動該找誰時顯得更難以確定��。為了滿足相同匯報責任的需求的變化��,需要修改標準安全事件響應(yīng)機制�����。本文提供了如何處理這些事件的指導(dǎo)��。
對于客戶來說����,部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位的。這可能導(dǎo)致脆弱的應(yīng)用部署進云環(huán)境��,進而引發(fā)安全事故���。此外�,基礎(chǔ)設(shè)施架構(gòu)的缺陷����、加固規(guī)程中的錯誤�����、以及簡單的操作疏忽都會對云服務(wù)的運營構(gòu)成重大的威脅。當然�����,類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運營�����。
很明顯�,事件處理過程需要專業(yè)技術(shù)知識,但隱私和法律專家對云安全同樣可以作出重大貢獻���。在事件響應(yīng)中���,他們還會在通知、補救�、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用。如果一個組織考慮使用云服務(wù)�,那么他需要審視有關(guān)未被用戶協(xié)議和隱私政策制約的員工對數(shù)據(jù)的訪問的機制是否已經(jīng)實施���。在IaaS和PaaS架構(gòu)中,云服務(wù)提供商自己的應(yīng)用程序不管理應(yīng)用程序數(shù)據(jù)�����,這和SaaS提供商的應(yīng)用程序控制數(shù)據(jù)有所不同����。
大型云服務(wù)提供商交付SaaS、PaaS和IaaS服務(wù)的復(fù)雜性造成重大事件響應(yīng)過程中的隱患��,潛在客戶必須評估相應(yīng)SLA的可接受水平�。在評估云服務(wù)提供商時,很重要的一點事要意識到供應(yīng)商可能托管了成百上千的應(yīng)用程序?qū)嵗���。從事件監(jiān)測的角度講�����,任何外部應(yīng)用程序都會拓寬安全運行中心(SOC)的責任�����。通常�����,SOC監(jiān)測那些由入侵檢測系統(tǒng)和防火墻中產(chǎn)生預(yù)警和其他事件的指標�����,但是�����,在開放的云環(huán)境中這些必須監(jiān)測的消息來源和通告的數(shù)量將會以指數(shù)方式增長���,例如,SOC可能需要監(jiān)測消費者之間的活動���,還有外部事件�。
一個組織需要了解他們所選擇的云服務(wù)提供商的事件響應(yīng)策略����。這一策略必須解決識別和通知,以及針對應(yīng)用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問的補救選項�。更為復(fù)雜的是,在不同的數(shù)據(jù)存放位置�,應(yīng)用數(shù)據(jù)的管理和訪問有不同的含義和監(jiān)管要求���。例如,如果涉及到的數(shù)據(jù)在德國��,有事件發(fā)生���,可是如何數(shù)據(jù)在美國���,可能就不認為是“事件”。這使得事件識別充滿挑戰(zhàn)性.
建議
在服務(wù)部署前���,云客戶要明確界定�,并且和云服務(wù)提供商溝通什么是他們認為的事故(incident)(如數(shù)據(jù)破壞)����,什么僅僅是事件(event)。
云客戶參與云服務(wù)提供商的事件響應(yīng)活動可能非常有限�。因此,客戶了解與云服務(wù)提供商的事件響應(yīng)小組的既定溝通路徑非常關(guān)鍵����。
云客戶應(yīng)該調(diào)查云服務(wù)提供商使用哪些事件檢測和分析工具,以確保他們對自己的系統(tǒng)兼容。在聯(lián)合調(diào)查���,特別是那些涉及法律調(diào)查(discovery)或政府干預(yù)(intervention)時���,云服務(wù)提供商的某個私有的或者非常規(guī)格式的日志往往會成為主要障礙。設(shè)計和保護不當?shù)膽?yīng)用程序和系統(tǒng)可以很容易地“淹沒”每個人的事件響應(yīng)能力�。對系統(tǒng)進行適當?shù)娘L險管理,并且利用縱深防御的做法在第一時間減少發(fā)生安全事件的機會是很關(guān)鍵的����。
安全運行中心(SOC)經(jīng)常假定對事件響應(yīng)上只有一個單一的管控模型,但是這對多租戶的云服務(wù)提供商來說并不恰當���。一個強勁而良好維護的安全信息和事件管理(SIEM)流程用以識別可用數(shù)據(jù)源(應(yīng)用程序日志�����、防火墻日志、以及IDS日志等等)��,并且將這些日志合并進可以協(xié)助SOC檢測云計算環(huán)境事件的通用分析告警平臺���。
為了極大地方便的進行詳盡的離線分析��,可以考察能夠提供整個客戶虛擬環(huán)境快照的能力的云服務(wù)提供商�,這些快照包括防火墻、網(wǎng)絡(luò)(交換機)�、系統(tǒng)應(yīng)用程序和數(shù)據(jù)。
遏制(containment)是破壞控制和搜集證據(jù)之間的一場賽跑����;跈C密性-完整性-可用性(CIA)這樣三位一體的遏制做法才是有效的����。?
補救突出了能夠?qū)⑾到y(tǒng)恢復(fù)到某個先前狀態(tài)的重要性����,甚至需要回到6個月或12個月前的已知可用配置。將法律選擇和要求牢記在心����,補救可能還需要支持事件數(shù)據(jù)的“事后分析”(forensics)記錄。
所有因為數(shù)據(jù)泄漏監(jiān)管而被分類為“私有”的數(shù)據(jù)都應(yīng)該加密��,以減少泄漏事件帶來的后果�。客戶應(yīng)在合同中規(guī)定相關(guān)的加密要求�,具體參見D11。?
有些云服務(wù)提供商可能擁有一大批擁有獨特應(yīng)用的客戶��。為了能夠給每一個特定客戶提供細顆粒度的事件�����,這些云服務(wù)提供商應(yīng)該考慮應(yīng)用層日志框架�����。這些云服務(wù)提供商還應(yīng)該構(gòu)建一個注冊表��,按照應(yīng)用程序接口(URL�����、SOA服務(wù)���、等)來記錄應(yīng)用程序所有者��。?
在多租戶環(huán)境下��,應(yīng)用級防火墻��、代理服務(wù)器,以及其它的應(yīng)用日志工具是當前可用的協(xié)助事件響應(yīng)的關(guān)鍵能力����。
總結(jié)
對于客戶來說,部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位的����。這可能導(dǎo)致脆弱的應(yīng)用部署進云環(huán)境,進而引發(fā)安全事故����。此外,基礎(chǔ)設(shè)施架構(gòu)的缺陷����、加固規(guī)程中的錯誤、以及簡單的操作疏忽都會對云服務(wù)的運營構(gòu)成重大的威脅����。當然,類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運營����。
本文出自:億恩科技【www.1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
