Mākoņa piekļuves politikas: pilnīgs ceļvedis uzņēmumiem

Informatec Digital » Resursi » Mākoņa piekļuves politikas: pilnīgs ceļvedis uzņēmumiem

Ja jūs uztraucaties, ka mākoņpakalpojumu kļūme nonāks ziņu virsrakstos, jums ir tiesības uztraukties. Viens datu noplūdes gadījums var izmaksāt miljonus, sagraut zīmola reputāciju un sagraut klientu un partneru uzticību.Labā ziņa ir tā, ka lielu daļu no šī riska var kontrolēt ar labi izstrādātām un, galvenais, labi ieviestām mākoņa drošības un piekļuves politikām.

Tālu no dekoratīva dokumenta, Mākoņa drošības un piekļuves politika ir "ceļvedis", kas nosaka, kā tiek izmantoti mākoņpakalpojumi, kas piekļūst kam, ar kādiem kontroles līdzekļiem un kā reaģēt, ja kaut kas noiet greizi.Šajā rakstā mēs, izmantojot ļoti praktisku pieeju, apkoposim visu, kas jums jāzina, lai tos izstrādātu, atšķirtu no standartiem un ieviestu. hibrīdas un daudzmākoņu vides un regulāri atjauniniet tos, ņemot vērā pastāvīgi mainīgo apdraudējumu ainavu.

Kas ir mākoņa drošības un piekļuves politikas?

Runājot par mākoņa drošības politikām, mēs domājam iekšējo vadlīniju kopums, kas nosaka, kā organizācijai jādarbojas mākoņpakalpojumu jomā, kas ir atļauts un kas ir aizliegtsTie ir pamats, uz kura tiek pieņemti drošības lēmumi, kas saistīti ar SaaS lietojumprogrammām, PaaS platformām un IaaS infrastruktūrām.

Šīs politikas paskaidro Kā tiek izmantoti un pārvaldīti mākoņpakalpojumi, kā tiek aizsargāti dati, kādas piekļuves kontroles tiek piemērotas un kādi ir katras lomas pienākumi. (no IT komandas līdz biznesa lietotājiem). Tās nav vienkāršas atbilstības pārbaudes: tās nosaka to, kā mēs izstrādājam arhitektūru, automatizējam izvietošanu un risinām incidentus.

Turklāt stabila politika integrē loģisko piekļuves kontroli mākonī: noteikumi, kas nosaka, kas veic autentifikāciju, kā katrs pieprasījums tiek autorizēts un kādos kontekstuālos apstākļos (laiks, IP adrese, ierīce, atrašanās vieta)Tas tieši savienojas ar Identitātes un piekļuves pārvaldība (IAM) un ar tādiem modeļiem kā RBAC vai ABAC.

Kāpēc mākoņa drošības politikas ir tik svarīgas?

Mākoņdatošanas, attālinātā darba un vairāku mākoņu vides masveida ieviešana ir palielinājusi uzbrukuma virsmu.Pēdējos gados ir strauji pieaugusi kiberuzbrukumu skaits mākoņplatformās, un īpaši nozīmīgu lomu spēlē pikšķerēšanas kampaņas, izspiedējvīrusi un nepareizu konfigurāciju izmantošana.

Šajā kontekstā mākoņa drošības politikas kalpo organizēt un formalizēt aizsardzības stratēģijuTie identificē draudus, nosaka organizācijas drošības stāvokli un nosaka minimālās kontroles, kas jāievēro visās vidēs neatkarīgi no tā, vai tās atrodas AWS, Azure, Google Cloud vai privātajā mākonī.

Tiem ir arī galvenā atbilstības sastāvdaļa. Tādiem standartiem kā GDPR, HIPAA, PCI DSS, ISO 27001, NIST vai ISO/IEC 27017 ir nepieciešama īpaša drošības un piekļuves kontrole.Un daudzos auditos ir skaidri noteiktas dokumentētas mākoņa drošības politikas un pat īpašas piekļuves politikas.

Visbeidzot, laba politika rada iekšēju saskaņotību: Tas nodrošina skaidru sistēmu IT, drošības, biznesa un juridiskajām komandām, lai tās varētu pieņemt konsekventus lēmumus. (piemēram, kādus mākoņpakalpojumus var izmantot, kā tie jākonfigurē vai kādus datus var mitināt katrā no tiem).

Atšķirības starp iekšējām politikām un mākoņa drošības standartiem

Ir svarīgi skaidri nošķirt divus jēdzienus, kas bieži tiek jaukti: Katra uzņēmuma izstrādātās mākoņa drošības politikas un ārējo organizāciju izveidoti drošības noteikumi vai standarti.

Noteikumi (piemēram, CIS etaloni, NIST, ISO 27001, ISO/IEC 27017, ISO 27018, GDPR, PCI DSS vai HIPAATie ir atzītu struktūru, regulatoru vai nozares asociāciju izdoti regulējumi un prasības. Tie nav pielāgoti konkrētam uzņēmumam un parasti nosaka minimālās kontroles, labāko praksi un juridiskās saistības.

No otras puses, iekšējā politika ir pašas organizācijas dokumenti, kas pielāgoti tās realitātei un kas šos vispārīgos noteikumus pārvērš konkrētos darbības noteikumosTas ietver to, kā dati tiek klasificēti, kā tiek piešķirtas atļaujas, kāda šifrēšana ir nepieciešama, kādi žurnāli tiek apkopoti utt. Lai gan noteikumi ir neelastīgi, politikas ir pielāgojamas un var attīstīties līdzi uzņēmumam.

Vēl viena būtiska atšķirība ir piemērojamībā: Neatbilstība normatīvajiem standartiem var izraisīt juridiskas sankcijas vai sertifikācijas neveiksmi.Lai gan iekšējās politikas pārkāpšana parasti neizraisa ārējus sodus, tā rada drošības riskus un var novest pie disciplināriem pasākumiem un iekšēju uzlabošanas plānu izstrādes.

Mākoņa drošības politikas būtiskās sastāvdaļas

Visaptveroša politika nav tikai labu nodomu saraksts. Tam jābūt strukturētam skaidrās sadaļās, kas aptver visu mākoņpakalpojumu dzīves ciklu.No datu identificēšanas līdz incidentu reaģēšanai. Visizplatītākie bloki ir šādi.

1. Mērķis un darbības joma

Mērķis izskaidro Politikas mērķis ir: aizsargāt datu un pakalpojumu konfidencialitāti, integritāti un pieejamību mākonī un nodrošināt atbilstību normatīvajiem aktiem.Šis apgalvojums kalpo kā vadlīnijas kontroles izvēlei un centienu prioritāšu noteikšanai.

Darbības jomas detaļas Uz kurām sistēmām, datiem, mākoņpakalpojumiem, lietotājiem un atrašanās vietām šī politika attiecas?Tas parasti ietver SaaS, PaaS un IaaS pakalpojumus, mākoņserverus un datubāzes, darbstacijas, kas piekļūst mākonim, kā arī darbiniekus, darbuzņēmējus un ārējos pakalpojumu sniedzējus, kas izmanto šos pakalpojumus.

2. Lomas, atbildība un atbildība

Bez skaidras atbildības sadales pat vislabākā politika paliek tikai uz papīra lapas. Ir svarīgi definēt, kuras komandas izmanto mākoni, kas konfigurē drošību, kas nodrošina atbilstību un kas pieņem arhitektūras lēmumus..

Dažas tipiskas lomas ir: Informācijas drošības vadītājs jeb CISO, mākoņa drošības administrators, datu īpašnieki, sistēmu administratori un gala lietotājiKatrai personai ir jābūt skaidri aprakstītām savām funkcijām, jo ​​īpaši attiecībā uz piekļuves kontroli, datu klasifikāciju, incidentu pārvaldību un attiecībām ar mākoņpakalpojumu sniedzējiem.

3. Informācijas klasifikācija un piekļuves kontrole

Pamatprincips ir datu klasifikācija. Politikai ir skaidri jānošķir publiski, iekšēji, konfidenciāli vai sensitīvi dati, kā arī citi specifiski datu veidi, piemēram, finanšu, veselības vai identitātes dati.Šī klasifikācija noteiks katram informācijas kopumam nepieciešamo aizsardzības līmeni.

Šajā sadaļā ir aprakstīti arī piekļuves kontroles mehānismi: tādi modeļi kā MAC, DAC, RBAC vai ABAC, kā arī uz noteikumiem balstīti paplašinājumi (laiks, IP, ierīces tips, atrašanās vieta)Visām mākoņsistēmām obligātajam jābūt mazāko privilēģiju principam un nepieciešamībai zināt.

Praksē tas tiek īstenots ar Lomām balstītas piekļuves kontroles (RBAC) mākoņpakalpojumu sniedzēju konsolēs, IAM politikas, piekļuves kontroles saraksti (ACL), daudzfaktoru autentifikācija (MFA) un integrācija ar direktorijiem, piemēram, LDAP vai Active DirectoryIr iekļautas arī datu pārsūtīšanas politikas, lai nodrošinātu datu aizsardzību gan pārsūtīšanas laikā, gan miera stāvoklī.

4. Datu šifrēšana

Šifrēšana ir vēl viena būtiska prasība. Politikai ir jābūt norādīt minimālos pieņemamos šifrēšanas standartus (piemēram, AES-256 (miera stāvoklī, TLS datu pārsūtīšanai), kā arī atslēgu pārvaldības modeli (pakalpojumu sniedzēja atslēgu pārvaldības pakalpojumu vai patentētas PKI izmantošana).

Turklāt jāņem vērā Kā šifrēti dati tiek apstrādāti dublējumos, atkopšanas procesos, datu eksportēšanā un drošības pārkāpumu gadījumosIr svarīgi iekļaut ieteikumus par pseidonimizāciju un spēcīgu šifrēšanu īpaši sensitīviem datiem, piemēram, medicīniskajai vai finanšu informācijai.

5. Incidentu reaģēšanas plānošana

Agrāk vai vēlāk incidenti notiks; atšķirība ir tajā, kā tie tiek pārvaldīti. Politikai ir jābūt skaidri definēt atklāšanas, paziņošanas, analīzes, ierobežošanas, iznīcināšanas un atgūšanas procesu incidentiem, kas ietekmē mākoņpakalpojumus.

Incidentu reaģēšanas komanda (IRT) parasti tiek izveidota ar identificēta atbildīgā persona, kontaktinformācijas kanāli, eskalācijas procedūras un koordinācija ar juridiskajiem konsultantiem, drošības spēkiem un ārējiem speciālistiemTas ietver arī prasības par datu aizsardzības iestāžu paziņošanu, attiecīgā gadījumā ievērojot termiņus, piemēram, GDPR noteikto 72 stundu periodu.

6. Atbilstība, revīzija un kontroles mehānismu novērtēšana

Politikai ir jāpauž skaidrība Kādi atbilstības regulējumi ir piemērojami (GDPR, HIPAA, PCI DSS, NIST, ISO 27001, ISO 27017 utt.) un cik bieži tiks veiktas iekšējās un ārējās revīzijas? par mākoņpakalpojumiem.

Paralēli ieteicams iekļaut drošības kontroles novērtēšanas grafiks: ugunsmūra noteikumu, IAM konfigurāciju, šifrēšanas politiku, žurnālu un ielaušanās atklāšanas mehānismu periodiska pārskatīšanaDaudzas organizācijas veic šīs pārbaudes reizi ceturksnī un periodiski pasūta arī ārējos novērtējumus.

Visizplatītākie mākoņa drošības un piekļuves politikas veidi

Balstoties uz šo vispārējo struktūru, organizācijas parasti attīstās īpašu politiku kopumi, kas vērsti uz dažādām mākoņa drošības jomāmDaži no visbiežāk sastopamajiem ir šādi.

No vienas puses, mēs atrodam mākoņdatu aizsardzības politikaTas nosaka, kā sensitīvi dati tiek klasificēti, glabāti un aizsargāti, kāda šifrēšana tiek piemērota, kā tiek pārvaldītas atslēgas un cik ilgi dati tiek glabāti. Tas ir ļoti svarīgi, lai nodrošinātu atbilstību tādiem regulējumiem kā GDPR un konkrētai nozarei paredzētajiem likumiem.

Otrais ir piekļuves kontroles politikaTas nosaka, kurš var piekļūt kuriem mākoņresursiem, ar kādu lomu un ar kādiem nosacījumiem. Tas ietver tādus noteikumus kā obligāta daudzfaktoru autentifikācijas (MFA) izmantošana, stingra mazāko privilēģiju principa piemērošana, nosacīta piekļuve, kuras pamatā ir IP adrese vai ģeogrāfiskā atrašanās vieta, un noteikumi atļauju pievienošanai, noņemšanai un mainīšanai.

Vēl viena svarīga sastāvdaļa ir incidentu reaģēšanas politika, kas daudz padziļinātāk aptver drošības pārkāpumu atklāšanu, ierobežošanu un seku novēršanu, kā arī pienākumu reģistrēt incidentus, analizēt to cēloņus un piemērot preventīvus pasākumus, lai novērstu to atkārtošanos.

Mēs nedrīkstam aizmirst par politiku, identitāte un autentifikācija, koncentrējoties uz to, kā tiek verificēti lietotāji, ierīces un sistēmas (SSO, MFA, sertifikāti, aparatūras žetoni, SSH atslēgas utt.), kā arī uz mākoņtīkla drošības politikaskas aptver ugunsmūrus, segmentāciju, VPN, mikroperimetrus, DNS aizsardzību, DDoS mazināšanu un datplūsmas, tostarp šifrētas datplūsmas, uzraudzību.

Visbeidzot, daudzām organizācijām ir katastrofu atkopšanas un uzņēmējdarbības nepārtrauktības politika, koncentrējoties uz to, lai nodrošinātu, ka mākoņpakalpojumus var ātri atjaunot dabas katastrofu, izspiedējvīrusu uzbrukumu, masveida pakalpojumu sniedzēju darbības pārtraukumu vai nopietnu infrastruktūras kļūmju gadījumā.

Mākonī balstīta piekļuves kontrole: modeļi un darbība

Mākonī balstīta piekļuves kontrole balstās uz diviem pīlāriem: lietotāja identifikācija un autentifikācija (zinot, kas ir lietotājs) un autorizācija (definējot, kam un ar kādiem nosacījumiem viņš var piekļūt)Tas tiek panākts, izmantojot direktoriju pakalpojumus un protokolus, piemēram, LDAP vai SAML, kā arī īpašus IAM risinājumus.

Praksē tiek apvienoti vairāki piekļuves kontroles modeļi: Obligātā piekļuves kontrole (MAC)kur atļaujas nosaka centrālā sistēma (plaši izmanto valdības vidē); Diskrecionārā kontrole (DAC), kurā resursu īpašnieki piešķir atļaujas; un Lomām balstīta kontrole (RBAC), kas saista atļaujas ar iepriekš definētām lomām, piemēram, “administrators”, “personāla vadītājs” vai “atbalsts”.

Tie ir papildus tam, uz atribūtiem balstīta piekļuves kontrole (ABAC)Tas piešķir vai liedz piekļuvi, pamatojoties uz lietotāja atribūtiem (lomu, atrašanās vietu, ierīci), resursu atribūtiem vai kontekstu (laiku, savienojuma veidu, valsti). Tas ir īpaši noderīgi sarežģītās mākoņvidēs ar daudzām lietojumprogrammām un mainīgiem piekļuves modeļiem.

Lai tas viss izdotos, IAM rīki centralizē identitātes pārvaldību, izveido savienojumu ar direktorijiem (LDAP, Active Directory), iespējo vienreizēju pierakstīšanos (SSO) un nepieciešamības gadījumā ievieš MFA.Tie arī atvieglo kontu automātisku nodrošināšanu un atcelšanu, kas ir ļoti svarīgi, lai izvairītos no bāreņu kontiem vai pārmērīgām privilēģijām.

Kā efektīvi ieviest drošības un piekļuves politikas mākonī

Pārejai no teorijas uz praksi nepieciešama sistemātiska pieeja. Pirmais solis ir pilnībā izprast organizācijas pozīciju savā nozarē, tās pieņemamo riska līmeni un normatīvās prasības.Pēc tam tiek definēti politikas mērķi un pieņemts lēmums par to, vai sākt no nulles vai atjaunināt esošo dokumentāciju.

Tad tas ir galvenais Nosakiet, kuri atbilstības noteikumi un standarti attiecas uz organizāciju (piemēram, GDPR Eiropā, HIPAA veselības aprūpē, PCI DSS karšu maksājumiem, NIST CSF, ISO/IEC 27017 īpašiem mākoņa kontroles pasākumiem utt.) un nodrošināt, ka iekšējās politikas ir saskaņotas ar tām.

Ieteicams izstrādāt skaidra izstrādes un apstiprināšanas stratēģijaKas izstrādā politikas, kuras nodaļas tās pārskata (drošības, juridiskā, personāla, biznesa), kā tiek dokumentētas izmaiņas un kādi ir politikas apstiprināšanas un ieviešanas termiņi. Augstākās vadības atbalsta nodrošināšana jau no paša sākuma samazina organizācijas pretestību.

Vēl viens būtisks aspekts ir rūpīgi analizēt mākoņpakalpojumu sniedzējus: kādas sertifikācijas tiem ir (ISO 27001, 27017, 27018 utt.), kurās valstīs dati tiek mitināti, kādus vietējos drošības rīkus tie piedāvā (PKI, ugunsmūri, SIEM, ievainojamību skenēšana, audita žurnāli utt.) un kā tie integrējas ar esošo arhitektūru.

Kad vide ir izprasta, ir nepieciešams Dokumentējiet mākonī apstrādāto datu veidus (klientu, darbinieku, finanšu, darbības, veselības utt.), grupējiet tos pēc sensitivitātes un aprakstiet saistītos riskus.Tas ļaus noteikt prioritātes vadīklām un precīzāk definēt piekļuves un šifrēšanas noteikumus.

Visbeidzot, Izplatīšana un apmācība ir tikpat svarīga kā pats dokuments.Politikai jābūt pieejamai visiem attiecīgajiem lietotājiem, skaidri izskaidrotai, integrētai ieviešanas procesos un papildinātai ar regulārām izpratnes veicināšanas programmām. Ja komandas to nesaprot vai uzskata par birokrātisku šķērsli, tās to ignorēs.

Politiku pastāvīga atjaunināšana un pārskatīšana

Mākoņa drošības politika nevar būt statisks dokuments. Apdraudējumu ainava mainās, pārdevēji izlaiž jaunas funkcijas un mainās organizācija.Ja politika netiks pielāgota, tā dažu mēnešu laikā novecos.

Tāpēc tas ir svarīgi periodiski pārbaudīt esošās politikas lai redzētu, kas joprojām darbojas, kas ir novecojis un kādi jauni draudi tiek ignorēti. Tas ietver ciešu sadarbību ar IT, drošības, atbilstības un pašiem mākoņpakalpojumu sniedzējiem.

Atsauksmēm ir jābūt saskaņot politikas ar jaunākajām atsauces sistēmu versijām piemēram, NIST CSF 2.0 vai ISO/IEC 27017, un iekļaut jaunus uzbrukuma vektorus: sarežģītāku izspiedējvīrusu izmantošanu, uzbrukumus konteineru platformām un orķestrēšanai, API izmantošanu, nulles dienas uzbrukumus galapunktiem utt.

Tas ir ļoti ieteicams integrēt reāllaika draudu izlūkošanas avotuslai izmaiņas uzbrucēju TTP varētu ātri atspoguļoties mākoņa piekļuves, noteikšanas un reaģēšanas noteikumos.

Lai apstiprinātu atjauninājumu jēgu, Ar dokumenta apstiprināšanu vien nepietiek: politikas ir jāpārbauda, ​​izmantojot simulācijas, galda spēles un kontrolētus ielaušanās testus.Tādā veidā komandas var pārbaudīt, vai tās zina, kā reaģēt, kad uzbrukums ir reāls.

Hibrīda un daudzmākoņu vide: specifiski izaicinājumi

Lielākā daļa organizāciju vairs nepaļaujas uz vienu pakalpojumu sniedzēju. Ir ierasts apvienot AWS, Azure, Google Cloud un privātu vai lokālu mākoni.darba slodžu, kas pārvietojas starp vidēm, organizēšana, pamatojoties uz izmaksām, veiktspēju vai juridiskajām prasībām.

Šajā kontekstā politikai ir jābūt definēt pamata no pārdevēja neatkarīgas kontroles: vienota datu klasifikācija, minimālie šifrēšanas standarti, reģistrēšanas un auditēšanas prasības, piekļuves kontroles principi, tīkla segmentācija un uzraudzības noteikumi.

Hibrīda izvietošanai ir nepieciešama sinhronizēt drošības protokolus starp lokālo un mākoņvidinodrošinot, ka nav redzamības nepilnību vai "salu", kur neviens neuzrauga vai neievieš politikas. Segmentācija, tīkla mikroperimetri un vienota reģistrēšanas prakse ir būtiskas. Turklāt, kad tiek veiktas slodzes viņi pārvietojas starp vidēm Ieteicams definēt skaidrus noteikumus par pārsūtīšanu un kontroli.

Sadrumstalota drošības arhitektūra, kuras pamatā ir daudzi pārdevēju specifiski risinājumi, mēdz radīt nepilnības un brīdināt par nogurumuVairāku konsoļu, rīku un informācijas paneļu pārvaldība piespiež analītiķus pastāvīgi mainīt kontekstus, palēninot incidentu reaģēšanu un atvieglojot kritiska brīdinājuma nepamanīšanu.

Tāpēc arvien vairāk organizāciju meklē Vienotas mākonī balstītas risku un politiku pārvaldības platformas ar kontekstuāliem dzinējiem, kas piešķir brīdinājumiem prioritāti, pamatojoties uz faktisko iedarbību, iespējamiem uzbrukumu ceļiem, efektīvām atļaujām un resursu kritiskumu.Šī pieeja palīdz samazināt uzbrukuma virsmu un koncentrēties uz to, kas patiesi ir svarīgs.

Labākā prakse mākoņa drošības politiku izstrādē un ieviešanā

Izstrādājot un ieviešot politikas, ir lietderīgi ievērot virkni labākās prakses piemēru. Pirmkārt, prioritāte ir valodas skaidrībai un vienkāršībai.Rakstiski dokumenti, piemēram, juridiskie līgumi, parasti tiek ignorēti vai nepareizi interpretēti.

Tas ir vēlams Izmantojiet valodu, kas ir saprotama jebkuram darbiniekam, izskaidrojot katras prasības "kāpēc". (piemēram, kāpēc MFA ir obligāta vai kāpēc ir aizliegti noteikti failu koplietošanas rīki) un tehniskākas detaļas rezervēt konkrētiem pielikumiem.

Vēl viena laba prakse ir grupas politikas ar skaidriem un saskaņotiem nosaukumiemPiekļuves kontrole, datu klasifikācija, tīkla drošība, incidentu reaģēšana, atbilstība, attiecības ar piegādātājiem utt. Tas ļauj katrai komandai ātri atrast sadaļu, kas to ietekmē.

Tas ir arī ļoti noderīgi sasaistīt politikas ar izmērāmiem rādītājiem: mēnesī atklāto un bloķēto neatļauto piekļuvi skaits, šifrēto repozitoriju procentuālā daļa, vidējais piekļuves atsaukšanas laiks, kad lietotājs tiek noņemts, ziņoto incidentu skaits salīdzinājumā ar atklāto incidentu skaitu utt.

Visbeidzot, ir svarīgi pieņemt, ka Politikas ir dzīvi dokumentiTie ir jāpārskata, jābagātina ar pieredzi, kas gūta no reāliem incidentiem, un jāpielāgo jaunajām tehnoloģijām (konteineri, bezserveru risinājumi, jauni SaaS risinājumi, sadarbības rīki utt.).

Praktiski mākoņa drošības un piekļuves politikas piemēri

Lai visu iepriekš minēto aplūkotu perspektīvā, iztēlosimies pāris scenārijus. Vidēja lieluma finanšu pakalpojumu uzņēmums varētu definēt, ka visi klientu finanšu ieraksti, kas tiek glabāti mākoņkrātuves konteineros, ir šifrēti vismaz ar AES-256 un ka tiem var piekļūt tikai no korporatīvajām IP adresēm. un caur kontiem ar obligātu MFA.

Veselības aprūpes jomā veselības aprūpes sniedzējs savā politikā var pieprasīt, lai Visa aizsargātā veselības informācija tiek glabāta noteiktos mākoņa reģionos, kas atbilst noteiktām normatīvajām prasībām.Turklāt ienākošā un izejošā datplūsma uz šīm sistēmām ir ierobežota ar nelielu IP adrešu kopu un tiek rūpīgi uzraudzīta.

Tehnoloģiju uzņēmumā, kas piedāvā mākoņpakalpojumus, politika var ietvert Ļoti specifiski tehniski un organizatoriski pasākumi: aktīvu inventarizācija, atjaunināta pretvīrusu programmatūra, divslāņu ugunsmūris, regulāras ievainojamību skenēšanas, ikgadēji ielaušanās testi, SIEM žurnālu apkopošanai un korelēšanai, DDoS mazināšana un kiberuzbrukumu reaģēšanas procedūras..

No datu aizsardzības viedokļa ir arī ierasts dokumentēt Atbilstība privātuma noteikumiem, datu aizsardzības speciālista iecelšana, darbinieku konfidencialitātes saistības, sensitīvas informācijas pseidonimizācija, saglabāšanas ierobežošana un attiecību nosacījumi ar piegādātājiem (tostarp droša datu dzēšana pēc pakalpojuma pabeigšanas un sertifikācijas, piemēram, ISO 27001 vai 27018, prasības).

Pat šķietami sīkas detaļas, piemēram, Aizstājiet paroles ar uz atslēgu balstītu autentifikāciju (PKI), izmantojiet fiziskās drošības atslēgu ierīces vai aizliedziet privāto atslēgu glabāšanu personālajos datoros.Tos var iekļaut piekļuves politikā, lai ievērojami samazinātu akreditācijas datu zādzības risku.

Kopā Labi izstrādātas mākoņa drošības un piekļuves politikas, kas ir saskaņotas ar noteikumiem un pastiprinātas ar tehniskajām kontrolēm, automatizāciju un nepārtrauktu apmācību, ļauj organizācijai izmantot mākoņa priekšrocības, neatstājot durvis vaļā nākamajam nopietnam incidentam.To izveide prasa darbu, taču tas vairāk nekā atmaksājas, kad nākamais uzbrukumu vilnis atrod sagatavotu vidi ar skaidrām lomām, efektīvu kontroli un precīzi izstrādātu reaģēšanas plānu.