Защита облака? Руководство АНБ по снижению уязвимости облачных систем

According to the National Security Agency, managing risk in the cloud requires that customers fully consider exposure to threats and vulnerabilities, not only during procurement but also as an on-going process. Clouds can provide a number of security advantages over traditional, on-premises technology, such as the ability to thoroughly automate security-relevant processes, including threat and incident response. With careful implementation and management, cloud capabilities can minimize risks associated with cloud adoption, and empower customers to take advantage of cloud security enhancements.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: опубликованный Агентством национальной безопасности (АНБ) в качестве рекомендации для руководителей организаций и технических специалистов, недавно выпущенный информационный лист Cybersecurity Information sheet о смягчении уязвимостей в облаке может оказаться полезным для специалистов по обнаружению данных и раскрытию юридических данных, поскольку они считают, что облачной безопасности как во время, так и после закупки облачных сервисов.

Выдержка из обновленного информационного бюллетеня Агентства национальной безопасности по вопросам кибербезопасности

Смягчение уязвимостей в облаке

В то время как тщательное внедрение облачных технологий может повысить уровень безопасности организации, облачные службы могут создавать риски, которые организации должны понимать и устранять как в процессе закупок, так и во время работы в облаке. Полная оценка последствий для безопасности при переносе ресурсов в облако поможет обеспечить постоянную доступность ресурсов и снизить риск воздействия конфиденциальной информации. Для эффективного снижения рисков организации должны учитывать киберриски для облачных ресурсов так же, как и в локальной среде.

В этом документе уязвимости облака делятся на четыре класса (неправильная конфигурация, плохое управление доступом, уязвимые места общего владения и уязвимости цепи поставок), которые охватывают подавляющее большинство известных уязвимостей. Облачные клиенты играют важнейшую роль в уменьшении неправильной конфигурации и плохого контроля доступа, но могут также принимать меры для защиты облачных ресурсов от использования уязвимостей, связанных с общим арендатором и цепочкой поставок. Описания каждого класса уязвимостей, а также наиболее эффективные меры по смягчению, помогают организациям заблокировать свои облачные ресурсы. Используя основанный на рисках подход к внедрению облачных технологий, организации могут безопасно воспользоваться обширными возможностями облака.

Это руководство предназначено как для руководства организации, так и для технического персонала. Руководство организации может обратиться к разделу «Компоненты облака», разделу «Участники облачных угроз» и обзору «Уязвимости и смягчение облачных проблем», чтобы получить представление о принципах безопасности в облаке. Специалисты по техническим вопросам и безопасности должны найти документ полезным для решения вопросов безопасности облачных служб во время и после закупки облачных служб.

Полный информационный бюллетень АНБ по снижению уязвимости в облаке

CSI-СМЯГЧЕНИЕ ОБЛАЧНЫХ УЯЗВИМОСТИ_20200121

Заключение

Управление рисками в облаке требует, чтобы клиенты полностью учитывали уязвимость перед угрозами и уязвимостями не только во время закупок, но и в качестве постоянного процесса. Облаки могут обеспечить ряд преимуществ безопасности по сравнению с традиционными локальными технологиями, например возможность тщательно автоматизировать процессы, связанные с безопасностью, включая реагирование на угрозы и инциденты. Благодаря тщательной реализации и управлению облачные возможности могут свести к минимуму риски, связанные с внедрением облачных технологий, и предоставить клиентам возможность воспользоваться преимуществами усовершенствованных систем безопасности в облаке. Клиенты должны понимать общую ответственность, которую они несут с поставщиками облачных услуг (CSP) за защиту облака. CSP могут предлагать индивидуальные контрмеры, помогающие заказчикам ужесточить свои облачные ресурсы. Безопасность в облаке — это постоянный процесс, и заказчики должны постоянно следить за своими облачными ресурсами и работать над улучшением своей безопасности.

Подробнее о рекомендациях и технических рекомендациях АНБ по кибербезопасности

Дополнительное чтение

Оспаривается конфиденциальностью? Основы конфиденциальности NIST

Основы повышения кибербезопасности: соображения инфраструктуры от NIST

Источник: КомплексОбнаружение

Суд Рейнен обеспечивает дополнительное финансирование

According to the media release, Reynen Court has secured $4.5 million...

От упреждающего обнаружения до проверки нарушений данных: обнаружение и извлечение конфиденциальных данных с помощью Ascema

A steady rise in the number of sensitive data discovery requirements...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Новое от NIST: интеграция кибербезопасности и управления рисками предприятия (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Руководство по покупателям систем электронного раскрытия информации — издание 2020 года (Эндрю Хаслам)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Гонка на стартовой линии? Недавние объявления о безопасному удаленному обзору

Not all secure remote review offerings are equal as the apparent...

Включение удаленного обнаружения электронных данных? Снимок DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Домой или уходом? Соображения по вопросам размера и ценообразования на рынке коллекции электронных данных Discovery

One of the key home (onsite) or away (remote) decisions that...

Изменения и решения? Новые соображения по безопасному удаленному проверку обнаружения электронных данных

One of the key revision and decision areas that business, legal,...

A Macro Look at Past and Projected eDiscovery Market Size from 2012 to 2024

From a macro look at past estimations of eDiscovery market size...

Сезон перемен? Восемнадцать замечаний о доверии бизнеса по раскрытию электронных данных осенью 2020 года

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Продолжающийся случай бюджетных ограничений в сфере раскрытия электронных данных

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Непогашенные счета? Операционные метрики обнаружения электронных данных осенью 2020 года

In the fall of 2020, eDiscovery Business Confidence Survey more...

Держа Руль? Результаты исследования доверия бизнеса к раскрытию электронной документации осенью 2020 г.

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

Суд Рейнен обеспечивает дополнительное финансирование

According to the media release, Reynen Court has secured $4.5 million...

DISCO поднимает 60 миллионов долларов

According to the media release, DISCO will use this investment to...

Рампива и объединение RYABI Group

According to today's announcement, the RYABI Group merger is Rampiva's first...

Слияния, поглощения и инвестиции в раскрытие электронных данных в третьем квартале 2020 года

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Пять замечательных чтений по раскрытию электронных данных за октябрь 2020 года

From business confidence and captive ALSPs to digital republics and mass...

Пять замечательных чтений по раскрытию электронных данных за сентябрь 2020 года

From cloud forensics and cyber defense to social media and surveys,...

Пять замечательных чтений по раскрытию электронных данных за август 2020 года

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Пять отличных данных по раскрытию электронных данных за июль 2020 года

From business confidence and operational metrics to data protection and privacy...