降低網路安全風險 美國NSA公布10大絕招
編譯/戴偉丞
美國國家安全局(NSA)於2024年發布了10項網路安全緩解策略,其中6項更獲得美國網路安全暨基礎設施安全局(CISA)的支持;提供眾人使用雲端服務的同時,能夠減少因為設定錯誤或操作不當而形成的安全漏洞。
1. 雲端責任共享:
透過定義雲端服務供應商以及使用者之間的責任,清楚界定資料保護、基礎設施管理、網路安全等責任歸屬;藉此,協助客戶進行資料保護以及應用程式所需的安全控管,就供應商而言,則點名基礎設施維運與安全協議把關的重要性。
2. 使用安全雲端 IAM:
安全的雲端身份及存取管理(identity and access management,IAM)能夠保護機敏資料、確保遵守法規以及提高整體效率的關鍵,並防止未經授權的資料接觸,更有助於維護雲端系統的完整性;藉此,能夠同時管控授權使用者,並降低違法與內部威脅的風險。
3. 安全雲端金鑰管理:
雲端金鑰的管理能夠確保雲端中專屬資料的機密性、完整性以及可用性,是保護靜態資料的基本,更能藉此使公司端與可信任的用戶端間安全地共享資料,並且防止數據的遺失或損壞,以加強雲端系統的使用彈性。
4. 雲端環境中的網路分段和加密:
網路分段係指將雲端基礎設施劃分為多個小型的獨立個體,以防範安全威脅的橫向擴展;加密則是用於保護傳輸中以及靜態的資料,即便不幸被未經授權的使用者攔截數據,就算沒有正確的加密金鑰也無法解開。
5. 保護雲端中的數據:
資料是現代用戶的命脈,包含智慧財產權、客戶記錄、財務資料和專屬資訊等機敏資訊。透過強大的加密演算法、存取權的控制、身份驗證的工具、資料遺失的補救措施等等,以防範網路威脅、資料外洩等風險。
更多新聞:網路安全人人有責 資安工作前景看好
6. 保護持續整合/持續傳輸 (CI/CD) 環境:
鑑於軟體開發以及部署的程序簡化,網路安全的漏洞反而變得更容易鎖定,NSA 建議利用程式碼分析、安全漏洞掃妙、存取控制及加密等措施,以保護軟體開發過程中不斷整合與傳輸的資料安全性以及完整性。
7.以 IaC 實踐安全自動化部署:
藉由「基礎設施即程式碼(Infrastructure as Code)」的技術,能夠使公司利用程式碼定義基礎設施的資源,並將其分配,從而使資源的部署達到更為一致、可擴展、可重複利用的效果,並降低安全漏洞、大當機或操作不當的風險。
8. 考量混合雲和多雲環境導致的複雜性:
當今數位領域中,不同類型雲端的混合使用也成為趨勢,因此也導致互通性、資料安全疑慮、管理複雜等多元問題,因此在規劃及部署混合雲、多雲的當下,首當其衝的是,必須對於其複雜度有所認知。
9. 降低雲端環境中託管服務供應商的風險:
由第三方所提供的託管服務在雲端服務中扮演著提升服務品質及效率的角色,然而資料供第三方使用亦容易造成資料外洩、服務中斷、違法違規等潛在風險,NSA 則建議透過合作前審慎評估、簽訂嚴謹合約、不間斷監控與評估供應商服務、建立明確的狀況回報清單等方式,以減緩風險。
10.管理雲端日誌:
透過管理雲端日誌得以追蹤雲端中的所有活動,除了能深入了解雲端中的系統活動、使用者行為,更可以追蹤潛在風險、偵測異常模式,並且主動做出因應措施;此外,更得透過人工智慧、機器學習等技術主動搜尋潛在威脅並作排除。
資料來源:Tripwire
瀏覽 274 次