Защита облака? Руководство АНБ по снижению уязвимости облачных систем

According to the National Security Agency, managing risk in the cloud requires that customers fully consider exposure to threats and vulnerabilities, not only during procurement but also as an on-going process. Clouds can provide a number of security advantages over traditional, on-premises technology, such as the ability to thoroughly automate security-relevant processes, including threat and incident response. With careful implementation and management, cloud capabilities can minimize risks associated with cloud adoption, and empower customers to take advantage of cloud security enhancements.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: опубликованный Агентством национальной безопасности (АНБ) в качестве рекомендации для руководителей организаций и технических специалистов, недавно выпущенный информационный лист Cybersecurity Information sheet о смягчении уязвимостей в облаке может оказаться полезным для специалистов по обнаружению данных и раскрытию юридических данных, поскольку они считают, что облачной безопасности как во время, так и после закупки облачных сервисов.

Выдержка из обновленного информационного бюллетеня Агентства национальной безопасности по вопросам кибербезопасности

Смягчение уязвимостей в облаке

В то время как тщательное внедрение облачных технологий может повысить уровень безопасности организации, облачные службы могут создавать риски, которые организации должны понимать и устранять как в процессе закупок, так и во время работы в облаке. Полная оценка последствий для безопасности при переносе ресурсов в облако поможет обеспечить постоянную доступность ресурсов и снизить риск воздействия конфиденциальной информации. Для эффективного снижения рисков организации должны учитывать киберриски для облачных ресурсов так же, как и в локальной среде.

В этом документе уязвимости облака делятся на четыре класса (неправильная конфигурация, плохое управление доступом, уязвимые места общего владения и уязвимости цепи поставок), которые охватывают подавляющее большинство известных уязвимостей. Облачные клиенты играют важнейшую роль в уменьшении неправильной конфигурации и плохого контроля доступа, но могут также принимать меры для защиты облачных ресурсов от использования уязвимостей, связанных с общим арендатором и цепочкой поставок. Описания каждого класса уязвимостей, а также наиболее эффективные меры по смягчению, помогают организациям заблокировать свои облачные ресурсы. Используя основанный на рисках подход к внедрению облачных технологий, организации могут безопасно воспользоваться обширными возможностями облака.

Это руководство предназначено как для руководства организации, так и для технического персонала. Руководство организации может обратиться к разделу «Компоненты облака», разделу «Участники облачных угроз» и обзору «Уязвимости и смягчение облачных проблем», чтобы получить представление о принципах безопасности в облаке. Специалисты по техническим вопросам и безопасности должны найти документ полезным для решения вопросов безопасности облачных служб во время и после закупки облачных служб.

Полный информационный бюллетень АНБ по снижению уязвимости в облаке

CSI-СМЯГЧЕНИЕ ОБЛАЧНЫХ УЯЗВИМОСТИ_20200121

Заключение

Управление рисками в облаке требует, чтобы клиенты полностью учитывали уязвимость перед угрозами и уязвимостями не только во время закупок, но и в качестве постоянного процесса. Облаки могут обеспечить ряд преимуществ безопасности по сравнению с традиционными локальными технологиями, например возможность тщательно автоматизировать процессы, связанные с безопасностью, включая реагирование на угрозы и инциденты. Благодаря тщательной реализации и управлению облачные возможности могут свести к минимуму риски, связанные с внедрением облачных технологий, и предоставить клиентам возможность воспользоваться преимуществами усовершенствованных систем безопасности в облаке. Клиенты должны понимать общую ответственность, которую они несут с поставщиками облачных услуг (CSP) за защиту облака. CSP могут предлагать индивидуальные контрмеры, помогающие заказчикам ужесточить свои облачные ресурсы. Безопасность в облаке — это постоянный процесс, и заказчики должны постоянно следить за своими облачными ресурсами и работать над улучшением своей безопасности.

Подробнее о рекомендациях и технических рекомендациях АНБ по кибербезопасности

Дополнительное чтение

Оспаривается конфиденциальностью? Основы конфиденциальности NIST

Основы повышения кибербезопасности: соображения инфраструктуры от NIST

Источник: КомплексОбнаружение

Цена успеха? Обзор ценообразования на раскрытие электронной документации (зима 2021 года)

Based on the complexity of data and legal discovery, it is...

Глубокое Стейт? Тринадцать исследовательских отчетов о состоянии бизнеса по раскрытию электронной документации в 2020 году

As part of its coverage of the business of eDiscovery, ComplexDiscovery...

X-Road® в соответствии со стандартом цифровых общественных благ

X-Road® implements a set of standard features to support and facilitate...

Пять отличных чтений по раскрытию электронной документации за ноябрь 2020 года

From market sizing and cyber law to industry investments and customer...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Руководство по покупателям систем электронного раскрытия информации — издание 2020 года (Эндрю Хаслам)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Гонка на стартовой линии? Недавние объявления о безопасному удаленному обзору

Not all secure remote review offerings are equal as the apparent...

Включение удаленного обнаружения электронных данных? Снимок DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Новая эра в раскрытии электронных данных? Обрамление роста рынка через призму шести эпох

There are many excellent resources for considering chronological and historiographical approaches...

Mashup на рынке раскрытия электронной документации: 2020-2025 годы Обзор программного обеспечения и услуг по всему миру

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Сброс базовой линии? Корректировка размера рынка раскрытия электронных данных на 2020 год

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Домой или уходом? Соображения по вопросам размера и ценообразования на рынке коллекции электронных данных Discovery

One of the key home (onsite) or away (remote) decisions that...

Цена успеха? Обзор ценообразования на раскрытие электронной документации (зима 2021 года)

Based on the complexity of data and legal discovery, it is...

Глубокое Стейт? Тринадцать исследовательских отчетов о состоянии бизнеса по раскрытию электронной документации в 2020 году

As part of its coverage of the business of eDiscovery, ComplexDiscovery...

Сезон перемен? Восемнадцать замечаний о доверии бизнеса по раскрытию электронных данных осенью 2020 года

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Продолжающийся случай бюджетных ограничений в сфере раскрытия электронных данных

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Epiq приобретает глобальных партнеров Hyperion

According to Ziad Mantoura, SVP and General Manager for Epiq's legal...

Smash приобретает цифровые рассуждения

According to the media release, Tim Estes, Founder and CEO of...

Суд Рейнен обеспечивает дополнительное финансирование

According to the media release, Reynen Court has secured $4.5 million...

DISCO поднимает 60 миллионов долларов

According to the media release, DISCO will use this investment to...

Пять отличных чтений по раскрытию электронной документации за ноябрь 2020 года

From market sizing and cyber law to industry investments and customer...

Пять замечательных чтений по раскрытию электронных данных за октябрь 2020 года

From business confidence and captive ALSPs to digital republics and mass...

Пять замечательных чтений по раскрытию электронных данных за сентябрь 2020 года

From cloud forensics and cyber defense to social media and surveys,...

Пять замечательных чтений по раскрытию электронных данных за август 2020 года

From predictive coding and artificial intelligence to antitrust investigations and malware,...