cloud data storage

前美國網路安全暨基礎架構安全局(CISA)局長 Christopher Krebs 在今年美國拉斯維加斯舉行的年度黑帽駭客大會(Black Hat 2022)上明白點出,在 COVID 疫情之後,許多企業只顧加速採用雲端技術,同時將所有謹慎小心拋諸腦後,而這些粗心和倉促為犯罪分子提供了為所欲為的空間。

言下之意,現代企業採用雲端技術的心態與手段仍遠遠不夠成熟回顧許多發生於 2021 年的大型資安事件,其實都可以透過預防措施來避免

隨著企業上雲日益普及,越來越多企業意識到雲端資安的重要性,在美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)網站上,便羅列出針對小型企業的雲端安全建議,其中美國聯邦貿易委員會(FTC)便提出以下 6 項實用資安防護建議。

1. 善用雲端服務公司提供的安全性功能

雲端託管服務都會提供資安設定指引,善用這些指導原則,我們可以根據公司的實際營運狀況、管理需求,來進行最合適的安全性調整。

與此同時,別忘了考慮使用者授權問題,除非是技術部門員工,或者出於其他必要理由,否則大多數員工都不該取得企業雲端資源的存取權限。

密碼設置方面,請務必開啟多重要素驗證功能(MFA),才能避免未授權登入的風險;而在所有雲端應用程序或來源碼中,千萬別使用預設或寫死(hard coded)的密碼,儘管表面上能省下幾秒鐘的登入麻煩,事實上是在大大增加企業雲端的被駭風險

TO 推薦閱讀:當全球紛紛將 AI 遷徙至雲端,全託管服務如何助攻企業搭上敏捷轉型浪潮?

2. 定期察看儲存在雲端的資料

某些企業的雲端儲存空間,簡直就像多年沒大掃除、堆滿雜物和灰塵的閣樓。請記得無論選擇將資料存上雲端、存在內部網路,或者集中資料夾管理,倘若管理者不清楚資料儲存路徑,就很難掌控這些資訊的安全性

因此,FTC 建議所有數據管理者定期清查、盤點資料儲存狀況,主動檢查並測試是否有安全設定錯誤、可能導致資料外洩的問題,也要維護詳盡的系統日誌檔(log files),方便管理者持續監控企業雲端儲存空間。

TO 推薦閱讀:只有 37% 企業讓混合雲發揮真正價值! 3 步驟評估 + 全面性策略規劃,一舉成為混合雲資優生

混合雲、多雲環境日漸普及,影子數據問題不可不慎!

下載 TechOrange《2022 雲端 AI 應用大調查》分析報告,
洞悉企業如何應對雲端新挑戰!

3.  避免儲存多餘的資訊

當數據管理者盤點出雲端空間究竟都存了哪些東西後,對非必要儲存的資料進行「斷捨離」十分重要;如果有某些資料屬於留著心安、卻其實沒什麼必要理由留存下來,那就大膽捨棄吧──畢竟不曾存起來的資料,就不可能會有外洩的風險。

TO 推薦閱讀:報告:有 30% 儲存數據是多餘或過時資料!但為什麼不刪任何數據,反而更危險?

4.  考慮對不常使用的資料進行加密處理 

當然,總會有些資訊是不需要經常存取,卻依舊想要保留下來的,比如說重要的資料備份。針對這種可能牽涉到敏感資訊的情況,FTC  建議藉由靜態加密(encryption at rest)的方式,來避免未授權存取與資料外洩,無論是存在公有雲或其他位址皆然。

TO 推薦閱讀:從地端到雲端,中小企業如何回歸資安本質、打造完整上雲策略?

5.  留意可靠的安全性警示

有些雲端服務平台會提供一系列自動化工具,定期提醒有哪些雲端儲存空間在網路上是公開的、部分工具還會向顧客提出相對應的警示。

另外,也有些資安研究者會辨識出資料外洩漏洞,接著聯絡握有資料存取權的企業。如果接收到了這類資安風險警告,別忘了回頭檢查自家的雲端儲存情況是否仍安全無虞。

6.  資安防護是企業的內部責任

採用雲端代管服務,並不代表連資安管理也能完全外包出去;所有數據存取權都是企業的數位資產,確保其安全性自然也是公司內部、而非雲端平台的責任

善用雲端服務商提供的資安工具之外,企業必須確保內部擁有一份白紙黑字訂定的資安管理流程,相關員工也必須接受指導培訓,了解如何維護、監控、測試,並時時更新這份流程。

TechOrange《2022 雲端 AI 應用大調查》顯示,「強化資安防護」成為企業 2023 年 IT 重點投資 Top 5。

立即下載報告,解密台灣企業轉向雲端、AI 布局的挑戰與應對戰略!

本文開放夥伴轉載,資料參考:Federal Trade CommissionTechGenix,圖片來源:Canva