Kiat Keamanan Cloud untuk Mengurangi Risiko, Ancaman, &Kerentanan Keamanan
Apakah Anda berasumsi bahwa data Anda di cloud dicadangkan dan aman dari ancaman? Tidak secepat itu.
Dengan rekor jumlah serangan keamanan siber yang terjadi pada tahun 2018, jelas bahwa semua data berada di bawah ancaman.
Semua orang selalu berpikir "Itu tidak mungkin terjadi pada saya." Kenyataannya, tidak ada jaringan yang 100% aman dari peretas.
Menurut Lab Kaspersky, ransomware naik lebih dari 250% pada tahun 2018 dan terus menjadi tren ke arah yang sangat menakutkan. Mengikuti saran yang disajikan di sini adalah polis asuransi utama dari efek melumpuhkan dari kehilangan data yang signifikan di cloud.
Bagaimana Anda mulai mengamankan data Anda di cloud? Apa praktik terbaik untuk menjaga data Anda tetap terlindungi di cloud? Seberapa amankah komputasi awan?
Untuk membantu Anda memulai strategi keamanan, kami mengundang para ahli untuk membagikan saran mereka tentang Risiko dan Ancaman Keamanan Cloud.
Hasil Penting Dari Pakar Kami tentang Perlindungan Cloud &Ancaman Keamanan
- Terimalah bahwa mungkin hanya masalah waktu sebelum seseorang melanggar pertahanan Anda, rencanakanlah.
- Jangan menganggap data Anda di awan telah dicadangkan.
- Aktifkan autentikasi dua faktor dan lokasi IP untuk mengakses aplikasi cloud.
- Manfaatkan enkripsi. Enkripsi data saat istirahat.
- Elemen manusia adalah salah satu ancaman terbesar bagi keamanan Anda.
- Terapkan proses kontrol perubahan yang kuat, dengan siklus pengelolaan patch mingguan.
- Simpan salinan offline data Anda jika data cloud Anda dimusnahkan atau diadakan tebusan.
- Kontrak dengan layanan pemantauan keamanan 24×7.
- Memiliki rencana respons insiden keamanan.
- Manfaatkan teknologi firewall canggih termasuk WAF (Web Access Firewall).
- Manfaatkan layanan aplikasi, pelapisan, dan segmentasi mikro.
1. Pertahankan Ketersediaan Di Cloud
Dustin Albertson, Arsitek Solusi Cloud Senior di Veeam
Saat kebanyakan orang memikirkan topik keamanan berbasis cloud, mereka cenderung berpikir tentang Jaringan, Firewall, keamanan Endpoint, dll. Amazon mendefinisikan keamanan cloud sebagai:
Keamanan di cloud sangat mirip dengan keamanan di pusat data lokal Anda – hanya saja tanpa biaya pemeliharaan fasilitas dan perangkat keras. Di cloud, Anda tidak perlu mengelola server fisik atau perangkat penyimpanan. Sebagai gantinya, Anda menggunakan alat keamanan berbasis perangkat lunak untuk memantau dan melindungi aliran informasi masuk dan keluar dari sumber daya cloud Anda.
Namun satu risiko yang sering diabaikan adalah menjaga ketersediaan. Yang saya maksud dengan itu lebih dari sekadar geo-redundansi atau redundansi perangkat keras, saya mengacu pada memastikan bahwa data dan aplikasi Anda tercakup. Cloud bukanlah tempat ajaib di mana semua kekhawatiran Anda hilang; awan adalah tempat di mana semua ketakutan Anda seringkali lebih mudah dan lebih murah untuk dikalikan. Memiliki strategi perlindungan data yang kuat adalah kuncinya. Veeam sering berkhotbah tentang “Aturan 3-2-1” yang diciptakan oleh Peter Krogh.
Aturan menyatakan bahwa Anda harus memiliki tiga salinan data Anda, menyimpannya di dua media yang berbeda, dan menyimpan satu di luar kantor. Yang di luar kantor biasanya ada di “awan”, tetapi bagaimana jika Anda sudah berada di awan?
Di sinilah saya melihat sebagian besar masalah cloud muncul, ketika orang sudah berada di cloud, mereka cenderung menyimpan data di cloud yang sama. Inilah sebabnya mengapa penting untuk diingat untuk memiliki strategi terperinci saat pindah ke cloud. Dengan memanfaatkan hal-hal seperti agen Veeam untuk melindungi beban kerja cloud dan Cloud Connect untuk mengirim cadangan ke luar lokasi guna mempertahankan ketersediaan itu di luar pusat data atau cloud yang sama. Jangan berasumsi bahwa itu adalah tugas penyedia untuk melindungi data Anda karena bukan itu.
2. Cloud MIgration Melampaui Evolusi Kontrol Keamanan
Salvatore Stolfo, CTO dari Allure Security
Menurut survei baru yang dilakukan oleh ESG, 75% organisasi mengatakan bahwa setidaknya 20% dari data sensitif mereka yang disimpan di cloud publik tidak cukup aman. Selain itu, 81% dari mereka yang disurvei percaya bahwa keamanan data lokal lebih matang daripada data cloud publik.
Namun, bisnis bermigrasi ke cloud lebih cepat dari sebelumnya untuk memaksimalkan manfaat organisasi:diperkirakan 83% beban kerja bisnis akan berada di cloud pada tahun 2020, menurut laporan Cloud Vision 2020 dari LogicMonitor. Apa yang kita alami adalah situasi yang semakin mendesak di mana organisasi memigrasikan data sensitif mereka ke cloud untuk tujuan produktivitas dengan kecepatan yang lebih cepat daripada kontrol keamanan yang berkembang untuk melindungi data tersebut.
Perusahaan harus mencari solusi yang mengontrol akses ke data dalam pembagian cloud berdasarkan tingkat izin yang dimiliki pengguna, tetapi mereka juga harus memiliki sarana untuk diberi tahu saat data tersebut diakses dengan cara yang tidak biasa atau mencurigakan, bahkan oleh apa yang tampak jadilah pengguna tepercaya.
Ingatlah bahwa banyak peretas dan kebocoran orang dalam berasal dari aktor jahat dengan kredensial curian dan sah yang memungkinkan mereka bergerak bebas di cloud share, untuk mencari data berharga untuk dicuri. Dokumen penipuan, yang disebut umpan, juga bisa menjadi alat yang sangat baik untuk mendeteksi hal ini. Umpan dapat memperingatkan tim keamanan pada tahap awal pelanggaran keamanan cloud terhadap perilaku yang tidak biasa, dan bahkan dapat menipu calon pencuri dunia maya dengan berpikir bahwa mereka telah mencuri sesuatu yang berharga padahal pada kenyataannya, itu adalah dokumen palsu yang sangat meyakinkan. Kemudian, ada pertanyaan tentang memiliki kendali atas dokumen bahkan ketika dokumen tersebut telah dihapus dari berbagi awan.
Di sinilah banyak solusi keamanan mulai rusak. Setelah file diunduh dari repositori cloud, bagaimana Anda dapat melacak ke mana file tersebut berjalan dan siapa yang melihatnya? Harus ada lebih banyak investasi dalam teknologi seperti geofencing dan telemetri untuk mengatasi ini.
3. Minimalkan Ancaman dan Kerentanan Cloud Computing Dengan Paket Keamanan
Nic O'Donovan, Solutions Architect dan Cloud Specialist dengan VMware
Cloud Hybrid semakin populer di kalangan perusahaan – terutama karena kecepatan penerapan, skalabilitas, dan penghematan biaya menjadi lebih menarik bagi bisnis. Kami terus melihat infrastruktur berkembang pesat menjadi cloud, yang berarti keamanan harus berkembang dengan kecepatan yang sama. Sangat penting bagi perusahaan untuk bekerja dengan Penyedia Layanan Cloud yang memiliki pendekatan yang andal terhadap keamanan di cloud.
Ini berarti kemitraan dengan Penyedia Cloud Anda menjadi semakin penting saat Anda bekerja sama untuk memahami dan menerapkan rencana keamanan untuk menjaga keamanan data Anda.
Kontrol keamanan seperti Autentikasi multi-faktor, enkripsi data, serta tingkat kepatuhan yang Anda perlukan adalah semua area yang menjadi fokus saat membangun rencana keamanan Anda.
4. Jangan Pernah Berhenti Mempelajari Kerentanan Terbesar Anda
Isacc Kohen, CEO Teramined
Semakin banyak perusahaan yang menjadi korban cloud, dan ini berkaitan dengan kesalahan konfigurasi cloud dan kelalaian karyawan.
1. Ancaman terbesar terhadap keamanan data adalah karyawan Anda. Lalai atau jahat, karyawan adalah salah satu alasan utama infeksi malware dan kehilangan data. Alasan mengapa serangan malware dan email phishing adalah kata-kata umum dalam berita adalah karena mereka adalah cara 'mudah' bagi peretas untuk mengakses data. Melalui rekayasa sosial, penjahat jahat dapat 'menipu' karyawan agar memberikan kata sandi dan kredensial ke sistem data bisnis dan perusahaan yang penting. Cara untuk mencegahnya:program pelatihan karyawan yang efektif dan pemantauan karyawan yang secara aktif menyelidiki sistem
2. Jangan pernah berhenti belajar. Dalam industri yang terus berubah dan beradaptasi, penting untuk memperbarui tren dan kerentanan terbaru. Misalnya dengan Internet of Things (IoT), kami baru mulai melihat 'puncak gunung es' dalam hal melindungi data melalui peningkatan koneksi wi-fi dan layanan penyimpanan data online. Ada banyak hal yang bisa dikembangkan dengan cerita ini, dan ini akan berdampak langsung pada bisnis kecil di masa depan.
3. Teliti dan pahami cara kerja penyimpanan, lalu edukasi. Kami telah mendengar ceritanya – ketika data diekspos melalui cloud, seringkali itu karena kesalahan konfigurasi pengaturan cloud. Karyawan perlu memahami sifat keamanan aplikasi dan bahwa pengaturan dapat dengan mudah dirusak dan diaktifkan 'aktif' untuk mengekspos data secara eksternal. Mendidik kesadaran keamanan melalui program pelatihan.
4. Batasi titik akses Anda. Cara mudah untuk mengurangi ini, batasi titik akses Anda. Kesalahan umum dengan paparan cloud adalah karena ketika karyawan dengan akses tidak sengaja mengaktifkan izin global yang memungkinkan data terpapar ke koneksi terbuka. Untuk memitigasi, pahami siapa dan apa yang memiliki akses ke cloud data – semua titik akses – dan pantau koneksi tersebut secara menyeluruh.
5. Pemantauan sistem. Progresif dan melalui. Untuk perlindungan data jangka panjang di cloud, gunakan platform analisis dan pemantauan pengguna untuk mendeteksi pelanggaran lebih cepat. Pemantauan dan analitik pengguna merampingkan data dan membuat 'profil' standar pengguna – karyawan dan komputer. Analitik ini terintegrasi dan mengikuti simpanan data Anda yang paling penting, yang ditunjukkan oleh Anda sebagai administrator dalam perangkat lunak pendeteksi. Saat data cloud tertentu dirusak, dipindahkan, atau dilanggar, sistem akan segera "melakukan ping" ke administrator yang menunjukkan perubahan karakter.
5. Pertimbangkan Solusi Hibrid
Michael V.N. Hall, Direktur Operasi untuk Turbot
Ada beberapa hal penting yang perlu dipahami tentang keamanan di cloud:
1. Kata sandi adalah kekuatan – 80% dari semua pelanggaran kata sandi dapat dicegah dengan identifikasi multifaktor:dengan memverifikasi identitas pribadi Anda melalui teks melalui telepon atau email ke akun Anda, Anda sekarang dapat diperingatkan ketika seseorang mencoba mengakses Anda detail.
Salah satu penyebab terbesar saat ini adalah melemahnya kredensial. Artinya, sandi, kunci sandi, dan frasa sandi dicuri melalui penipuan phishing, keylogging, dan serangan brute force.
Frasa sandi adalah kata sandi baru. Frasa sandi yang acak dan mudah diingat jauh lebih baik daripada sandi, karena cenderung lebih panjang dan lebih rumit.
MyDonkeysEatCheese47 adalah frasa sandi yang rumit dan kecuali Anda pemilik keledai atau pembuat keju, tidak ada hubungannya dengan Anda. Ingatlah untuk menggunakan huruf besar dan kecil serta berbagai tanda baca.
2. Tetap berhubungan dengan penyedia hosting Anda. Pilih penyedia hosting yang tepat – perusahaan terkemuka dengan standar keamanan tinggi. Berkomunikasi dengan mereka secara teratur karena interaksi yang sering memungkinkan Anda untuk terus mengikuti setiap perubahan atau masalah yang berkembang.
3. Pertimbangkan solusi hibrida. Solusi hibrid memungkinkan sistem statis yang aman untuk menyimpan data penting secara internal, sementara pada saat yang sama membuka data dengan prioritas lebih rendah ke cloud yang lebih serbaguna.
6. Pelajari Cara Kerja Sistem Keamanan Cloud
Tom DeSot, CIO dari Digital Defense, Inc.
Bisnis perlu memastikan bahwa mereka mengevaluasi risiko dan manfaat keamanan komputasi awan. Ini untuk memastikan bahwa mereka mendidik diri mereka sendiri tentang apa artinya pindah ke cloud sebelum mengambil lompatan besar dari menjalankan sistem di pusat data mereka sendiri.
Terlalu sering saya melihat bisnis bermigrasi ke cloud tanpa rencana atau pengetahuan apa pun tentang apa artinya bagi mereka dan keamanan sistem mereka. Mereka perlu menyadari bahwa perangkat lunak mereka akan "hidup" di sistem bersama dengan pelanggan lain, jadi jika ada pelanggaran terhadap platform pelanggan lain, penyerang mungkin juga membahayakan sistem mereka.
Demikian juga, pelanggan cloud perlu memahami di mana data mereka akan disimpan, apakah itu hanya di AS, atau penyedia mereplikasi ke sistem lain yang berada di benua yang berbeda. Ini dapat menyebabkan masalah nyata jika informasi tersebut adalah sesuatu yang sensitif seperti PII atau informasi yang dilindungi di bawah HIPAA atau undang-undang peraturan lainnya. Terakhir, pelanggan cloud perlu memperhatikan Service Level Agreements (SLA) yang dipatuhi oleh penyedia cloud dan memastikan bahwa itu mencerminkan SLA mereka sendiri.
Pindah ke cloud adalah cara yang bagus untuk membebaskan sumber daya komputasi dan memastikan uptime, tetapi saya selalu menyarankan klien saya untuk bergerak dalam langkah-langkah kecil sehingga mereka punya waktu untuk mendapatkan apresiasi atas apa artinya berada “di cloud. ”
7. Lakukan Uji Tuntas Anda Dalam Mengamankan Cloud
Ken Stasiak, CEO SecureState
Pahami jenis data yang Anda masukkan ke cloud dan persyaratan keamanan yang diamanatkan di sekitar data tersebut.
Setelah bisnis memiliki gagasan tentang jenis data yang ingin mereka simpan di cloud, mereka harus memiliki pemahaman yang kuat tentang tingkat uji tuntas yang diperlukan saat menilai penyedia cloud yang berbeda. Misalnya, jika Anda memilih penyedia layanan cloud untuk menghosting Protected Health Information (PHI), Anda harus mewajibkan penilaian standar keamanan dan kepatuhan HIPAA sebelum memindahkan data apa pun ke cloud.
Beberapa pertanyaan bagus untuk ditanyakan saat mengevaluasi apakah penyedia layanan cloud cocok untuk organisasi yang terkait dengan pengamanan data tersebut meliputi:Apakah Anda melakukan audit dan penilaian SOC secara rutin? Bagaimana Anda melindungi dari aktivitas jahat? Apakah Anda melakukan pemeriksaan latar belakang pada semua karyawan? Jenis sistem apa yang Anda miliki untuk pemantauan karyawan, penentuan akses, dan jejak audit?
8. Siapkan Kontrol Akses dan Izin Keamanan
Michael R. Durante, Presiden Tie National, LLC.
Meskipun cloud adalah kekuatan yang berkembang dalam komputasi karena fleksibilitasnya untuk penskalaan guna memenuhi kebutuhan bisnis dan untuk meningkatkan kolaborasi di seluruh lokasi, cloud juga menimbulkan masalah keamanan dengan potensinya untuk mengekspos kerentanan yang relatif di luar kendali Anda.
Misalnya, BYOD dapat menjadi tantangan untuk diamankan jika pengguna tidak secara teratur menerapkan patch dan pembaruan keamanan. Kiat nomor satu yang akan saya berikan adalah memanfaatkan kontrol akses yang tersedia dengan sebaik-baiknya.
Bisnis perlu menggunakan kontrol akses untuk membatasi izin keamanan agar hanya mengizinkan tindakan yang terkait dengan fungsi pekerjaan karyawan. Dengan membatasi akses, bisnis memastikan file penting hanya tersedia untuk staf yang membutuhkannya, oleh karena itu, mengurangi kemungkinan mereka terpapar ke pihak yang salah. Kontrol ini juga mempermudah pencabutan hak akses segera setelah pemutusan hubungan kerja untuk melindungi konten sensitif di mana pun karyawan mencoba mengakses dari jarak jauh.
9. Memahami Silsilah dan Proses Pemasok atau Vendor
Paul Evans, CEO Redstor
Penggunaan teknologi cloud telah memungkinkan bisnis dari semua ukuran untuk mendorong peningkatan kinerja dan mendapatkan efisiensi dengan kerja jarak jauh yang lebih banyak, ketersediaan yang lebih tinggi, dan lebih banyak fleksibilitas.
Namun, dengan meningkatnya jumlah sistem yang berbeda yang digunakan dan begitu banyak pemasok dan perangkat lunak cloud untuk dipilih, mempertahankan kontrol atas keamanan data dapat menjadi tantangan. Saat ingin menerapkan layanan cloud, penting untuk benar-benar memahami silsilah dan proses pemasok/vendor yang akan menyediakan layanan tersebut. Sertifikasi keamanan standar industri adalah tempat yang tepat untuk memulai. Pemasok yang memiliki sertifikasi ISO 27001 telah membuktikan bahwa mereka telah memenuhi standar manajemen keamanan informasi internasional dan harus dijunjung tinggi daripada yang tidak.
Mendapatkan pemahaman penuh tentang di mana data Anda akan secara geografis, siapa yang akan memiliki akses ke sana, dan apakah itu akan dienkripsi adalah kunci untuk dapat melindunginya. Penting juga untuk mengetahui proses pemasok jika terjadi pelanggaran atau kehilangan data atau jika ada waktu henti. Waktu henti yang dapat diterima harus ditetapkan dalam Perjanjian Tingkat Layanan (SLA) yang dikontrak, yang harus didukung secara finansial oleh mereka untuk memberikan jaminan.
Untuk organisasi yang ingin memanfaatkan platform cloud, ada ancaman keamanan cloud yang harus diperhatikan, siapa yang akan memiliki akses ke data? Di mana data disimpan? Apakah data saya dienkripsi? Tetapi sebagian besar platform cloud dapat menjawab pertanyaan-pertanyaan ini dan memiliki tingkat keamanan yang tinggi. Organisasi yang menggunakan cloud perlu memastikan bahwa mereka mengetahui undang-undang dan peraturan perlindungan data yang memengaruhi data dan juga mendapatkan pemahaman yang akurat tentang perjanjian kontrak dengan penyedia cloud. Bagaimana data dilindungi? Banyak peraturan dan standar industri akan memberikan panduan tentang cara terbaik untuk menyimpan data sensitif.
Menyimpan salinan data yang tidak aman atau tidak terenkripsi dapat menempatkannya pada risiko yang lebih tinggi. Mendapatkan pengetahuan tentang tingkat keamanan layanan cloud sangat penting.
Apa saja kebijakan penyimpanan, dan apakah saya memiliki cadangan? Platform cloud dapat memiliki kegunaan yang sangat beragam, dan ini dapat menyebabkan (atau mencegah) masalah. Jika data disimpan di platform cloud, data tersebut dapat rentan terhadap risiko keamanan cloud seperti ransomware atau kerusakan, sehingga memastikan bahwa banyak salinan data disimpan atau dicadangkan dapat mencegah hal ini. Menjamin proses ini telah diambil meningkatkan tingkat keamanan platform cloud organisasi dan memberikan pemahaman tentang dari mana risiko dapat berasal
10. Gunakan Kata Sandi yang Kuat dan Otentikasi Multi-faktor
Fred Reck, Konsultasi Komputer InnoTek
Pastikan Anda memerlukan sandi yang kuat untuk semua pengguna cloud, dan sebaiknya gunakan autentikasi multi-faktor.
Menurut Laporan Investigasi Pelanggaran Data Verizon 2017, 81% dari semua pelanggaran terkait peretasan memanfaatkan kata sandi yang dicuri dan/atau lemah. Salah satu manfaat paling signifikan dari Cloud adalah kemampuan untuk mengakses data perusahaan dari mana saja di dunia pada perangkat apa pun. Di sisi lain, dari sudut pandang keamanan, siapa pun (alias "orang jahat") dengan nama pengguna dan kata sandi berpotensi dapat mengakses data bisnis. Memaksa pengguna untuk membuat sandi yang kuat akan mempersulit peretas untuk menggunakan serangan brute force (menebak sandi dari beberapa karakter acak.)
Selain kata sandi yang aman, banyak layanan cloud saat ini dapat menggunakan ponsel karyawan sebagai bagian otentikasi keamanan fisik sekunder dalam strategi multi-faktor, menjadikannya dapat diakses dan terjangkau oleh organisasi untuk diterapkan. Pengguna tidak hanya perlu mengetahui kata sandi tetapi juga membutuhkan akses fisik ke ponsel mereka untuk mengakses akun mereka.
Terakhir, pertimbangkan untuk menerapkan fitur yang akan mengunci akun pengguna setelah jumlah login gagal yang telah ditentukan sebelumnya.
11. Aktifkan Penguncian lokasi IP
Chris Byrne adalah salah satu pendiri dan CEO Sensorpro
Perusahaan harus mengaktifkan otentikasi dua faktor dan penguncian lokasi IP untuk mengakses aplikasi cloud yang mereka gunakan.
Dengan 2FA, Anda menambahkan tantangan lain ke kombinasi email/kata sandi biasa melalui pesan teks. Dengan penguncian IP, Anda dapat memagari akses dari IP kantor Anda atau IP pekerja jarak jauh. Jika platform tidak mendukung ini, pertimbangkan untuk meminta penyedia Anda untuk mengaktifkannya.
Mengenai penyediaan platform cloud yang sebenarnya, berikan opsi enkripsi data saat istirahat. Pada titik tertentu, ini akan menjadi di mana-mana seperti https (SSL/TLS). Jika hal yang tidak terpikirkan terjadi dan data berakhir di tangan yang salah, yaitu perangkat dicuri atau dilupakan di kereta, maka enkripsi data saat istirahat adalah garis pertahanan terakhir untuk mencegah siapa pun mengakses data Anda tanpa kunci enkripsi yang tepat. Bahkan jika mereka berhasil mencurinya, mereka tidak dapat menggunakannya. Ini, misalnya, akan memperbaiki pelanggaran Equifax baru-baru ini.
12. Solusi Keamanan Penyimpanan Cloud Dengan VPN
Eric Schlissel, Presiden, dan CEO GeekTek
Gunakan VPN (jaringan pribadi virtual) setiap kali Anda terhubung ke cloud. VPN sering digunakan untuk semi-anonimisasi lalu lintas web, biasanya oleh pemirsa yang diblokir secara geografis dengan mengakses layanan streaming seperti Netflix USA atau BBC Player. Mereka juga memberikan lapisan keamanan penting untuk perangkat apa pun yang terhubung ke cloud Anda. Tanpa VPN, penyusup potensial dengan packet sniffer dapat menentukan anggota mana yang mengakses akun cloud Anda dan berpotensi mendapatkan akses ke kredensial login mereka.
Enkripsi data saat istirahat. Jika karena alasan apa pun akun pengguna disusupi di cloud publik, pribadi, atau hybrid Anda, perbedaan antara data dalam format teks biasa vs. format terenkripsi dapat diukur dalam ratusan ribu dolar — khususnya $229,000, biaya rata-rata serangan cyber yang dilaporkan oleh responden dari survei yang dilakukan oleh perusahaan asuransi Hiscox. Seperti yang ditunjukkan oleh peristiwa baru-baru ini, proses enkripsi dan dekripsi data ini akan terbukti jauh lebih mudah daripada menanggung alternatifnya.
Gunakan autentikasi dua faktor dan sistem masuk tunggal untuk semua akun berbasis cloud. Google, Facebook, dan PayPal semuanya menggunakan otentikasi dua faktor, yang mengharuskan pengguna memasukkan kode unik yang dihasilkan perangkat lunak ke dalam formulir sebelum masuk ke akunnya. Terlepas dari apakah bisnis Anda bercita-cita tinggi atau tidak, itu dapat dan harus meniru komponen inti dari strategi keamanan mereka. Sistem masuk tunggal menyederhanakan manajemen akses, sehingga sepasang kredensial pengguna menandatangani karyawan ke semua akun. Dengan cara ini, administrator sistem hanya memiliki satu akun untuk dihapus daripada beberapa akun yang dapat dilupakan dan kemudian diakses kembali oleh mantan karyawan.
13. Waspadalah terhadap Risiko Elemen Manusia
Steven J.J. Weisman, Pengacara, dan Profesor di Universitas Bentley
Mengutip Shakespeare, kesalahannya tidak ada di awan; tanggung jawab ada di tangan kita.
Menyimpan data sensitif di cloud adalah pilihan yang baik untuk keamanan data di berbagai tingkatan. Namun, terlepas dari seberapa aman suatu teknologi, elemen manusia akan selalu menghadirkan potensi bahaya keamanan untuk dieksploitasi oleh penjahat dunia maya. Banyak pelanggaran keamanan cloud di masa lalu yang terbukti bukan karena penyimpangan keamanan oleh teknologi cloud, melainkan oleh tindakan masing-masing pengguna cloud.
Mereka secara tidak sadar telah memberikan nama pengguna dan kata sandi mereka kepada penjahat dunia maya yang, melalui email spear phishing, panggilan telepon, atau pesan teks membujuk orang untuk memberikan informasi penting yang diperlukan untuk mengakses akun cloud.
Cara terbaik untuk menghindari masalah ini, bersama dengan pendidikan yang lebih baik bagi karyawan untuk mengenali dan mencegah spear phishing, adalah dengan menggunakan autentikasi faktor ganda seperti mengirimkan kode satu kali ke ponsel karyawan setiap kali akun cloud dicoba untuk diakses.
14. Pastikan Pengambilan Data Dari Vendor Cloud
Bob Herman, Co-Founder, dan Presiden IT Tropolis.
1. Otentikasi dua faktor melindungi dari penipuan akun. Banyak pengguna gagal menjadi korban upaya phishing email di mana aktor jahat menipu korban untuk memasukkan informasi login mereka di situs web palsu. Pelaku jahat kemudian dapat masuk ke situs sebenarnya sebagai korban, dan melakukan segala macam kerusakan tergantung pada aplikasi situs dan akses pengguna. 2FA memastikan kode kedua harus dimasukkan saat masuk ke aplikasi. Biasanya, kode dikirim ke ponsel pengguna.
2. Memastikan bahwa Anda memiliki data Anda dan dapat mengambilnya kembali jika Anda tidak ingin lagi berbisnis dengan vendor cloud itu sangat penting. Sebagian besar vendor cloud yang sah harus menentukan dalam persyaratan mereka bahwa pelanggan memiliki data mereka. Selanjutnya, Anda perlu mengonfirmasi bahwa Anda dapat mengekstrak atau mengekspor data dalam beberapa format yang dapat digunakan, atau bahwa vendor cloud akan menyediakannya kepada Anda berdasarkan permintaan.
15. Pemantauan Waktu Nyata dan Berkelanjutan
Sam Bisbee, Chief Security Officer di Threat Stack
1. Buat Observabilitas Keamanan Waktu Nyata &Pemantauan Sistem Berkelanjutan
Meskipun pemantauan sangat penting dalam lingkungan data apa pun, penting untuk menekankan bahwa perubahan di lingkungan cloud modern, terutama lingkungan SaaS, cenderung lebih sering terjadi; dampaknya langsung terasa.
Hasilnya bisa dramatis karena sifat infrastruktur yang elastis. Setiap saat, tindakan seseorang yang tidak disengaja atau berbahaya dapat sangat memengaruhi keamanan pengembangan, produksi, atau sistem pengujian Anda.
Menjalankan infrastruktur modern tanpa pengamatan keamanan real-time dan pemantauan berkelanjutan seperti terbang buta. Anda tidak memiliki wawasan tentang apa yang terjadi di lingkungan Anda, dan tidak ada cara untuk memulai mitigasi segera ketika masalah muncul. Anda perlu memantau aplikasi dan akses berbasis host untuk memahami status aplikasi Anda dari waktu ke waktu.
- Sistem pemantauan untuk tindakan pengguna manual. Ini sangat penting di dunia DevOps saat ini di mana para insinyur cenderung memiliki akses ke produksi. Ada kemungkinan mereka mengelola sistem menggunakan tugas manual, jadi gunakan ini sebagai kesempatan untuk mengidentifikasi proses yang cocok untuk otomatisasi.
- Melacak kinerja aplikasi dari waktu ke waktu untuk membantu mendeteksi anomali. Memahami "siapa yang melakukan apa dan kapan" merupakan hal mendasar untuk menyelidiki perubahan yang terjadi di lingkungan Anda.
2. Tetapkan &Pantau terus Pengaturan Konfigurasi
Konfigurasi keamanan di lingkungan cloud seperti Amazon Direct Connect dapat menjadi rumit, dan mudah untuk secara tidak sengaja membiarkan akses ke sistem dan data Anda terbuka untuk dunia, seperti yang telah dibuktikan oleh semua cerita terbaru tentang kebocoran S3.
Mengingat sifat lingkungan SaaS yang dapat berubah (dan terkadang berubah-ubah), di mana layanan dapat dibuat dan dihapus secara real time secara berkelanjutan, kegagalan untuk mengonfigurasi layanan dengan tepat, dan kegagalan untuk memantau pengaturan dapat membahayakan keamanan. Pada akhirnya, ini akan mengikis kepercayaan yang diberikan pelanggan kepada Anda untuk melindungi data mereka.
Dengan menyetel konfigurasi berdasarkan baseline yang telah ditetapkan dan terus memantaunya, Anda dapat menghindari masalah saat menyiapkan layanan, dan Anda dapat mendeteksi serta merespons masalah konfigurasi dengan lebih cepat saat terjadi.
3. Menyelaraskan Prioritas Keamanan &Operasi untuk Solusi dan Infrastruktur Keamanan Cloud
Keamanan yang baik tidak dapat dibedakan dari operasi yang benar. Terlalu sering tim-tim ini berselisih di dalam sebuah organisasi. Keamanan terkadang dianggap memperlambat bisnis— terlalu fokus pada pengawasan aktivitas tim Dev dan Ops. Namun keamanan dapat menjadi pendorong bisnis.
Keamanan harus memanfaatkan alat pengujian otomatisasi, kontrol keamanan, dan pemantauan di dalam organisasi — di seluruh manajemen jaringan, akses pengguna, konfigurasi infrastruktur, dan manajemen kerentanan di seluruh lapisan aplikasi — akan mendorong bisnis ke depan, mengurangi risiko di seluruh permukaan serangan, dan menjaga ketersediaan operasional .
16. Gunakan Alat Audit untuk Mengamankan Data di Cloud
Jeremey Vance, Awan AS
1. Gunakan alat audit sehingga Anda mengetahui semua yang Anda miliki di cloud dan apa yang digunakan semua pengguna Anda di cloud. Anda tidak dapat mengamankan data yang tidak Anda ketahui.
2. Selain mengetahui layanan apa yang sedang dijalankan di jaringan Anda, cari tahu bagaimana dan mengapa layanan tersebut digunakan, oleh siapa dan kapan.
3. Jadikan proses audit itu sebagai bagian rutin dari pemantauan jaringan Anda, bukan hanya peristiwa satu kali. Selain itu, jika Anda tidak memiliki bandwidth untuk itu, outsourcing rutin audit tersebut ke pihak ketiga yang memenuhi syarat seperti US Cloud.
17. Kebanyakan Pelanggaran Dimulai dari Poin Sederhana Tanpa Jaminan
Marcus Turner, Kepala Arsitek &CTO di Enola Labs
Cloud sangat aman, tetapi untuk memastikan Anda menjaga keamanan data perusahaan, penting untuk mengonfigurasi cloud dengan benar.
Khusus untuk AWS, AWS Config adalah alat yang paling baik digunakan untuk melakukan ini. AWS, jika dikonfigurasi dengan cara yang benar, adalah salah satu lingkungan komputasi awan paling aman di dunia. Namun, sebagian besar pembobolan data bukanlah peretas yang memanfaatkan program kompleks untuk mendapatkan akses ke data penting, melainkan hal-hal sederhana yang tidak aman, yang membuat data perusahaan rentan.
Bahkan dengan keamanan cloud terbaik, kesalahan manusia sering menjadi penyebab celah paling kritis atau pelanggaran dalam perlindungan. Memiliki rutinitas untuk memvalidasi akurasi konfigurasi berkelanjutan adalah metrik yang paling jarang digunakan dan kurang dihargai untuk menjaga keamanan data perusahaan di cloud.
18. Ajukan Pertanyaan Keamanan Kunci Vendor Cloud Anda
Brandan Keaveny, Ed.D., Pendiri Data Ethics LLC
Saat menjelajahi kemungkinan pindah ke solusi berbasis cloud, Anda harus memastikan dukungan yang memadai tersedia jika terjadi pelanggaran. Pastikan Anda mengajukan pertanyaan berikut sebelum menandatangani perjanjian dengan penyedia berbasis cloud:
Pertanyaan:Berapa banyak pihak ketiga yang digunakan penyedia untuk memfasilitasi layanan mereka?
Alasan pertanyaan (Alasan):Proses dan dokumentasi perlu diperbarui untuk menyertakan pengamanan prosedural dan koordinasi dengan solusi berbasis cloud. Selain itu, tingkat keamanan yang disediakan oleh penyedia berbasis cloud harus dipahami dengan jelas. Peningkatan tingkat keamanan membuat perlu ditambahkan untuk memenuhi persyaratan privasi dan keamanan untuk data yang disimpan.
Question:How will you be notified if a breach of their systems occurs and will they assist your company in the notification of your clients/customers?
Reason:By adding a cloud-based solution to the storage of your data also adds a new dimension of time to factor into the notification requirements that may apply to your data should a breach occur. These timing factors should be incorporated into breach notification procedures and privacy policies.
When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.
Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:
Question:Is your data ready for transport?
Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.
Question:Will this transfer be facilitated by the cloud provider?
Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.
19. Secure Your Cloud Account Beyond the Password
Contributed by the team at Dexter Edward
Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.
- Use a strong and secure password on the account and 2-factor authentication.
- Rotate cloud keys/credentials routinely.
- Use IP whitelists.
- Use any role-based accesses on any associated cloud keys/credentials.
Secure access to the compute instances in the cloud.
- Use firewalls provided by the cloud providers.
- Use secure SSH keys for any devices that require login access.
- Require a password for administrative tasks.
- Construct your application to operate without root privilege.
- Ensure your applications use encryption for any communications outside the cloud.
- Use authentication before establishing public communications.
Use as much of the private cloud network as you can.
- Avoid binding services to all public networks.
- Use the private network to isolate even your login access (VPN is an option).
Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.
- The cloud is made to move – use this feature to change up the network location.
- Turn off instances when not in use. b. Keep daily images so you can move the servers/application around the internet more frequently.
20. Consider Implementing Managed Virtual Desktops
Michael Abboud, CEO, and Founder of TetherView
Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.
Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.
Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.
The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.
Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.
In addition to this, you should ensure regular data audits and backups
If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.
It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.
21. Be Aware of a Provider’s Security Policies
Jeff Bittner, Founder and President of Exit technologies
Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.
Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.
Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.
Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.
In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.
22. Encrypt Backups Before Sending to the Cloud
Mikkel Wilson, CTO at Oblivious.io
1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.
2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.
23. Know Where Your Data Resides To Reduce Cloud Threats
Vikas Aditya, Founder of QuikFynd Inc,
Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.
These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.
For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.
So, what should a company do?
While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.
24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities
Adam Stern, CEO of Infinitely Virtual
Business users are not defenseless, even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.
The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.
Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).
25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk
Murad Mordukhay, CEO of Qencode
1. Security as a Priority
Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.
2. Passwords &Encryption
Two important parts of securing your data in the cloud are passwords and encryption.
Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.
26. Enable Two-factor Authentication
Tim Platt, VP of IT Business Services at Virtual Operations, LLC
For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.
Apa ini? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.
Why is this important for cloud security?
Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security. I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.
27. Do Not Assume Your Data in the Cloud is Backed-Up
Mike Potter, CEO &Co-Founder at Rewind
Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.
This means that you risk having to manually undo unwanted changes or permanently losing data if:
- A 3rd party app integrated into your account causes problems.
- You need to unroll a series of changes
- Your or someone on your team makes a mistake
- A disgruntled employee or contractor deletes data maliciously
Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.
28. Minimize and Verify File Permissions
Randolph Morris, Founder & CTO at Releventure
1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.
2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.
29. When Securing Files in the Cloud, Encrypt Data Locally First
Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles
Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.
The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.
The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.
30. Exposed Buckets in AWS S3 are Vulnerable
Todd Bernhard, Product Marketing Manager at CloudCheckr
1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets.
2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.
31. Use the Gold-standard of Encryption
Jeff Capone, CEO of SecureCircle
There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.
One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.
These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.
32. Have Comprehensive Access Controls in Place
Randy Battat, Founder and CEO, PreVeil
All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.
Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it
Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.
33. 5 Fundamentals to Keep Data Secure in the Cloud
David Gugick, VP of Product Management at CloudBerry
- Perform penetration testing to ensure any vulnerabilities are detected and corrected.
- Use a firewall to create a private network to keep unauthorized users out.
- Encrypt data using AES encryption and rotate keys to ensure data is protected both in transit and at rest.
- Logging and Monitoring to track who is doing what with data.
- Identity and Access Control to restrict access and type of access to only the users and groups who need it.
34. Ensure a Secure Multi-Tenant Environment
Anthony Dezilva, CISO at PhoenixNAP
When we think of the cloud, we think of two things. Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.
Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.
The best cloud service providers have a vested interest in creating a secure multi-tenant environment. Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets. Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.
Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need. Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.
Cloud Computing Threats and Vulnerabilities:Need to know
- Architect solution as you would any on-prem design process;
- Take advantage of application services layering and micro-segmentation;
- Use transaction processing layers with strict ACLs that control inter-process communication. Use PKI infrastructure to authenticate, and encrypt inter-process communication.
- Utilize advanced firewall technology including WAF (Web Access Firewalls) to front-end web-based applications, to minimize the impact of vulnerabilities in underlying software;
- Leverage encryption right down to record level;
- Accept that it is only a matter of time before someone breaches your defenses, plan for it. Architect all systems to minimize the impact should it happen.
- A flat network is never okay!
- Robust change control process, with weekly patch management cycle;
- Maintain offline copies of your data, to mitigate the risk of cloud service collapse, or malicious attack that wipes your cloud environment;
- Contract with 24×7 security monitoring services that have an incident response component.