클라우드 보안 제어 클라우드 공격에 대 한 응답에서 중요 하다

바늘 클라우드 공격 더, 비즈니스 사용자는 그들의 클라우드 보안 컨트롤 미리 평가 하 게 해야 합니다. 이 문서에서는 데이브 Shackleford 클라우드 공격 방어에 대 한 몇 가지 모범 사례를 제공 합니다.

경고 논리는 최근 최근 구름에 대 한 공격 수에 상당한 증가 보여주는 2014 클라우드 보안 보고서를 발표 했다. 하지만 기업 클라우드 인프라 클라우드 공격 싸울 준비가?

구름에 대 한 공격의 증가 감안할 때, 클라우드 컴퓨팅 서비스를 사용 하 여 모든 조직 그들이 구현한 보안 컨트롤의 상태를 평가 해야 한다.

고객 구성 및 제어에 적용 되는 사용 가능한 컨트롤의 사용 하는 클라우드 서비스 패턴에 따라 다릅니다. 서비스 (SaaS)로 소프트웨어, 클라우드 응용 프로그램의 맥락에서 유일 하 게 가능한 구성이입니다. 이 구성 (예: 암호 정책 및 multifactor 인증, MFA, 고 등), 로깅 및 액세스 제어 뿐만 아니라 응용 프로그램 내에 역할 및 사용 권한 할당을 포함할 수 있습니다. 플랫폼 서비스 (PaaS) 배포를 위해 관리 제어는 액세스 제어 및 사용자 역할 및 사용 권한에 초점을 맞추고 서비스 콘솔을 통해 구현 됩니다. 대부분의 PAAs 환경 또한 응용 프로그래밍 인터페이스 (Api) 잠재적인 보안 문제에 대 한 조심 평가 필요로 하는의 많은 수에 대 한 액세스를 제공 합니다.

이 기사에서 우리 유용한 기업 단체 클라우드 보안 제어 평가에 따라야 논의할 예정 이다.

취약점 검색 및 침투 테스트

취약점 검색 및 침투 테스트 수행 해야 합니다 모든 PAAs 및 인프라 서비스 (IaaS) 클라우드 서비스. 그들은 구름에서 응용 프로그램을 호스팅 또는 서버 및 스토리지 인프라를 실행, 사용자가 인터넷에 노출 하는 시스템의 보안 상태를 평가 해야 합니다. 대부분 클라우드 공급 업체 같은 검사 및 테스트를 수행 하는 데 동의 하지만이 그들은 완벽 하 게 의사 소통 하 고 고객 및 테스터 사전에 다른 거주자 (사용자) 중단 또는 성능 효과 발생 하지 않습니다 수 있도록 협조.

테스트 Api의 통합 및 PAAs 및 IAAS 환경에서 응용 프로그램에 대 한 클라우드 공급 업체와 협력 하는 조직 신원 인증 또는 주입 공격을 우회 하 여 데이터 전송 및 응용 프로그램에 잠재적으로 불법 접근 및 데이터에 집중 해야 한다.

구성 관리

클라우드 보안의 가장 중요 한 요소는 구성 관리, 패치 관리를 포함 하.

SaaS 환경에서 구성 관리는 전적으로 클라우드 공급 업체에 의해 처리 됩니다. 가능한, 고객 일부 패치 관리를 제공할 수 및 구성 관리 관행 공급 업체 인증 사업 지침 공지 (SSAE)를 통해 16, 서비스 조직 제어 (SOC) 보고서 또는 ISO 인증, 보안, 신뢰, 그리고 클라우드 보안 연합의 보증 등록 증명서.

PAAs 환경에서 개발 및 유지 보수는 플랫폼의 공급 업체의 책임입니다. 라이브러리 및 응용 프로그램 구성 및 개발 도구 그래서 보안 구성 표준을 여전히 내부 정의의 범위 내에서을 엔터프라이즈 사용자가 관리할 수 있습니다. 이러한 표준 그런 다음 적용 하 고 PAAs 환경에서 모니터링 해야 합니다.

IAAS 환경에 대 한 클라우드 공급자의 그들의 사내, 생존 능력을 입증 해야 하지만 그들의 고객은 또한 그들의 자신의 가상 컴퓨터 (VM) 관리. 클라우드 환경에서의 개방 정도 감안할 때, 이러한 요소는 안전 하 게 최대한으로 보호 되어야 한다. 인터넷 보안 센터, 마이크로 소프트와 다른 운영 체제와 응용 프로그램의 보안 구성에서 공급자는 신뢰할 수 있는 방식으로, 하지만 기업 사용자 보안 구성의 내부 작업과 만족 해야 하지, 때문에 클라우드는 본질적으로 더 많은 열. 모든 불필요 한 서비스, 모든 원치 않는 응용 프로그램 및 코드 제거, 사용자와 그룹에 필요한 최소에 대 한 액세스를 제한 끄고 항상 시스템의 실시간 패치를 확인 하십시오.

사설 클라우드 IAAS 환경 구현의 실행 하는 사용자에 대 한이 다양 한 네트워크 대책도 구성할 수 있습니다 필요 합니다. 예를 들어 가상 사설 클라우드는 아마존 네트워크 서비스 (AWS)에서 IPSec 통해 전용된 VPN 연결을 지원할 수 있습니다. IPSec 관련 매개 변수가 제대로 구성 되어 있고 방화벽 및 침입 탐지 및 방지 시스템 등 모든 다른 네트워크 시설 설정 및 보호 된 확인 하십시오.

클라우드 공급 업체에 대 한 보안 제어

보안 구성 프로세스에 클라우드 공급 업체에 대 한 진입점이? 클라우드 공급 업체 가상화 기술, 네트워킹 및 스토리지를 포함 한 모든 인프라 작업에 대 한 책임 이다. 그래서 그것은 그것의 개발 사례 및 시스템 개발 수명 주기 평가 하는 데 필요한 관리 인터페이스 및 Api를 포함 하 여 그것의 관련된 코드에 대 한 책임 이기도 합니다. IaaS 고객만 전체 시스템 사양 진짜 통제가; 공급 업체에서 제공한 서식 파일에 따라 가상 컴퓨터를 배포 하는 경우 예: 아마존의 가상 머신 이미지, 다음 가상 컴퓨터 신중 하 게 공부 하 고 그들은 실제로 사용 하기 전에 보안.

결론

어떻게 조직의 결정 합니까 얼마나 많은 시간, 노력 및 돈을 클라우드 공격에 대응 하는 대책을 강화에 투자 될 한다? 대답 엔터프라이즈의 호스트 시스템 및 클라우드에서 데이터의 감도에 따라 달라 집니다.

그들의 감도에 모든 기업 보안 기능과 만족 여부를 확인 하려면 클라우드 공급 업체의 평가에 필요한 시간을 투자 해야. 클라우드 보안 연합 합의 평가 질문 지 (CAIQ)은 클라우드 공급 업체를 요청에 대 한 좋은 출발점입니다. 회사는 그들의 감사 및 보안 팀은 정기적으로 피드백을 검토 하 여 감사 및 Soc 2 등 유효성 검사 보고 확인 해야 합니다. 시스템 및 배포 된 응용 프로그램에 구름, 패치, 구성 관리 및 응용 프로그램 보안을 포함 한 개발 및 평가, 투자에 대 한 중요 한 영역이 있습니다. 사용자 액세스 제어와 역할 및 권한 할당은 또한 중요 합니다.

클라우드 환경에서 공격이 나 사건 발생 하기 전에 조직 이해 가능한 보안 컨트롤 공급 업체와으로이 게 더 포괄적인 의사 결정 권 자 도움이 될 것입니다 사용자에 의해 사용 되 고 위험 결정을 통보 하는 보안 컨트롤에 의해 유지에 대 한 중요 하다.