作者:Mark Nunnikhoven
今天我們要討論有關加密的部分。
資料推動你的業務
你的業務是基於資料和資訊而運作的。前進公共雲最大的擔憂之一就是資料的安全性。只要做點盡職調查(due diligence),你可以讓這些擔憂消失不見。
有三個關鍵步驟可以保護你在雲端中的資料:
識別和分類
在你確認自己有哪些資料,哪些對自己和客戶有價值,它們在哪裡儲存和處理之前,你沒有辦法採取有效的措施來保護你的資料。
檢查你的網路,你儲存了什麼類型的客戶資料?哪些是讓你具備競爭優勢的知識產權?還有可存取系統的身份憑證?
開始清查你的資料。
現在開始進行盤點,試著去找出資料的優先順序。它對你的客戶有多重要?對你的業務運作?你的聲譽?你不需要找出資料的準確價值,只要有什麼對你的業務是重要的粗略想法。
一旦你有了這份清單,查出在哪裡如何的儲存這些資料,在哪裡進行處理。這些是你首要專注安全性的地方。
在這系列裡,Mark和我已經討論過如何去強化你的AWS資源(涵蓋虛擬機器的內外部)以及進行同步監測。最後兩個秘訣是有關如何評估你的整體安全性,讓你可以了解你的風險等級和衡量進度。
這或許是老生常談,卻再真實也不過…你不能管理無法衡量的事物。你可能設有層層防禦,但除非你進行過弱點評估,你永遠不知道真實狀況如何。
評估你的基礎設施即服務(IaaS)
進行弱點評估,會對你系統內所有區域的弱點進行確認和排定優先順序。你會先透過工具、服務和手動評估等混合方式來對弱點進行分類。接下來要排定弱點的優先順序,以及評估消除方法。
工具和服務往往有兩種形式,網路或基於本機的掃描。而這兩種形式都有主動或被動式的掃瞄器。有些弱點只能在虛擬機器上或特殊權限網路上被偵測到。
如果你正要對你的AWS虛擬機器進行網路掃描,你需要填寫AWS弱點/滲透測試申請表。這樣AWS才知道你將要進行掃描,而不會中斷你的連線。
作者:Ryan Delany
遠端管理模組(RMM)廠商通常都會對其核心產品提供整合的安全解決方案。但這些整合產品的安全功能如何?在之前的部落格文章裡,我提出五個要問你RMM廠商關於整合安全解決方案的問題。現在有另外五個問題讓你可以確認是否包含在解決方案裡。
1. 取得整合安全解決方案授權的程序為何?
有時你需要透過大量前期採購安全解決方案授權以獲得更好的價格,或是因為它們被成套銷售,讓你無法根據業務需求來彈性地增加或減少授權量。
先不談價格和任何前期成本,你是如何取得這些授權的?你需要向RMM廠商下定單,然後等待一段時間直到他們可以提供這些授權,因為他們需要轉單給安全解決方案廠商嗎?如果你在週末時進行新的部署,卻沒辦法即時啓動這程序的話會如何?你可以全年廿四小時無休的要求並取得授權嗎?
2. 取得整合安全解決方案技術支援的程序為何?
RMM廠商並沒有辦法去支援安全解決方案,因為他們缺乏知識和專業技能(意料之中,因為這安全解決方案並非他們所開發)。那你要如何獲得支援?你可以直接聯繫安全解決方案廠商嗎?還是你要將問題提交給RMM廠商,他們再轉給安全解決方案廠商?當你提交問題時,預期的平均回應時間是多久?更重要的是,你的客戶需要等多久?
3. 你與安全解決方案廠商的合約有多久?當合約到期時,會發生什麼事?
就跟你的業務一樣,你會跟客戶談判合同的長短,RMM廠商和安全解決方案廠商談判合約時,也會有個期限。重要的是要了解當這合約到期,RMM廠商決定不再續約,並切換另一個安全解決方案時,會有什麼影響。
當他們續簽合約時會影響到你嗎?當他們決定更換其他廠商為合作夥伴時呢?這些對你和你的客戶來說代表什麼?
繼續閱讀