数据安全合规的变化
以前,数据是企业的商业秘密;现在,数据成为第五生产要素,国家基础战略资源。数据逐渐发展成像土地资产一样的生产要素,是需要进行衡量的、交易的、管理的。伴随着全球相关法律法规出台,隐私数据保护变得越来越严格,越来越细化。因此,现在的数据合规与以往不同,需要保证数据得到有效的保护,并可持续的运营。数据安全已经不仅仅是大型企业需要考虑的事情,也成为中小企业需要关心的话题。
勒索攻击有增无减
数据作为一种有利可图的资产,是网络犯罪的重要目标,而勒索软件已成为数据盗窃的一个重要途径,攻击者通过威胁企业无法解密访问其重要数据,或者公开企业的数据来获取勒索赎金。这些数据可能包含企业专利、代码、用户个人隐私数据等。
由于远程工作条件和对数据访问的需求不断增加,越来越多的敏感数据在服务器外传输,勒索软件的威胁也随之增加。未来预计对数据库的勒索攻击将继续有增无减,尤其针对云数据库的勒索攻击将大幅增加,因为越来越多的企业和政府将关键数据存储在云端,勒索软件也已进入云环境。
云安全应用场景
防范 Web 攻击
企业必须时刻保持警惕,防御潜在的云和网络攻击。web 攻击和 ddos 攻击会造成应用无法提供正常的服务,有用户流失的风险。因此,如何抵御这些网络攻击,保障业务连续性成为很多企业关心的问题。
防范勒索软件
企业上云以后由于对于安全的不重视,攻击者很容易找到企业的弱点进而攻击入侵成功,获取到企业的重要数据,勒索企业如果不交付赎金则无法解密访问这些重要数据,或者威胁公开重要数据,对企业来说,攻击造成的损失可能相当广泛,包括知识产权的损失、声誉的损害、法律责任和监管罚款。企业需要保护好自己的重要数据。
云安全自动化管理
企业在业务开展前期往往缺少专业的云安全团队和云安全专家,但是又会面临攻击、安全合规等问题带来重大经济损失。可以通过使用云安全相关工具,自动检测和响应高危安全问题。既能够减少人员成本开支,又可以降低安全风险。
亚马逊云科技云安全解决方案推荐
应用最佳实践防御攻击 - 综合考虑到中小企业风险和成本的平衡推荐采用以下最佳实践:
Amazon WAF
Amazon WAF (Web Application Firewall) 可以帮助中小型企业抵御网络攻击和 DDoS 攻击,保障业务连续性。通过结合 Amazon WAF 和其他 AWS 安全服务(如 AWS Shield),可以轻松地保护企业应用程序和网站免受常见的网络攻击和漏洞利用。Amazon WAF 还支持自定义规则,可根据企业特定的安全需求进行设置,以加强安全防护。这个方案提供了一套易于配置和管理的工具,以便保护企业的应用程序免受各种网络攻击。
One Time ScanTool (OTS)
OTS 是一个自助安全检测工具,可以帮助中小型企业检查基础设施的安全性,并提供针对性的建议和解决方案。企业可以使用这个工具来评估其基础设施的安全性,并确定哪些方面需要改进。此外,AWS 还提供了各种安全服务和功能,例如 AWS GuardDuty 和 AWS Security Hub,以帮助企业保护其基础设施和数据。
AWS Startup Security Baseline (SSB)
AWS Startup Security Baseline (SSB) 是一组安全基线操作措施,为中小型企业在亚马逊云科技上建立安全基础提供了最低标准。这些控制措施专注于保护凭证、日志审计和入侵检测和数据保护,本指南中的控制措施旨在为中小型企业设计,有助于减轻最常见的安全风险,同时不影响企业的敏捷性。无需大量投入。控制措施分为账户和工作负载两类,包括用户访问设置、策略和权限、监控未经授权或潜在恶意活动等内容。许多初创企业从单个 AWS 账户开始在 AWS 云中启动其业务。随着组织的增长,它们会迁移到多账户架构。本指南中的指导针对单账户架构设计,但它帮助您设置易于迁移或修改的安全控制,随着您转向多账户架构。
AWS Security Workshops
Security Workshops (awssecworkshops.com) 网站上提供了一系列的安全研讨会,您可以上手体验和学习如何使用 AWS 安全产品来保护您的 AWS 云上资源。其中推荐 AWS 云上中小企业最常使用的安全产品:Amazon WAF 保护网站不被攻击者入侵,防止网站由于攻击中断服务。通过 Protecting workloads on AWS from the instance to the edge 这个 workshop 可以学习如何使用 Amazon WAF 缓解常见的 Web 应用攻击,来保护企业的 Web 应用。
安全备份
企业必须确保关键系统及其数据已备份,并且备份可抵御攻击者的蓄意擦除或加密。推荐使用 AWS Backup 创建备份计划,备份关键数据。 blog: Use backups to recover from security incidents 此外,还需要定期演练业务连续性/灾难恢复 (BC/DR) 计划,确保快速恢复业务操作。保护恢复所需的支持文档,例如还原过程文档、配置管理数据库 (CMDB) 和网络图。攻击者会故意攻击这些资源,因为这会影响你的恢复能力。 确保它们能够经受住勒索软件的攻击。
云安全自动化管理
AWS 上的自动化安全响应 | AWS 解决方案 (amazon.com)
亚马逊云科技上的自动安全响应解决方案通过提供基于行业合规标准和最佳实践的预定义响应和修复行动,帮助您快速做出反应以解决安全问题。方案中采用了 AWS Security Hub,AWS Systems Manager 自动化脚本和 AWS IAM 角色,前期当缺少云安全专业人员的时候可以使用预定义的脚本预防最高危的安全风险。随着企业发展,有云安全团队以后,可以扩展使用自定义的修复 Auto runbook 和 Playbook 脚本来扩展该解决方案。