हम क्लाउड में सुरक्षा के बारे में बात कर रहे हैं

ओवर एक्सपोजर

आइए इसे इस प्रकार कहें, आप किस बात को उजागर करने की चिंता करते हैं? आपकी सबसे मूल्यवान संपत्ति क्या हैं? आपका सामाजिक सुरक्षा नंबर? आपके बैंक खाते की जानकारी? निजी दस्तावेज़, या तस्वीरें? आपका क्रिप्टो बीज वाक्यांश? यदि आप किसी कंपनी का प्रबंधन करते हैं, या डेटा को सुरक्षित रखने के लिए ज़िम्मेदार हैं, तो आप उसी प्रकार की जानकारी के साथ समझौता किए जाने के बारे में चिंता कर सकते हैं, लेकिन एब परroadएर स्केल. आपको आपके ग्राहकों द्वारा उनके डेटा की सुरक्षा की जिम्मेदारी सौंपी गई है।

उपभोक्ताओं के रूप में, हम अपने डेटा की सुरक्षा को हल्के में लेते हैं। इन दिनों अधिक से अधिक बार वह डेटा क्लाउड में संग्रहीत किया जाता है। कई विक्रेता ऐसी सेवाएँ प्रदान करते हैं जो ग्राहकों को अपने स्थानीय कंप्यूटर से क्लाउड पर डेटा का बैकअप लेने की अनुमति देती हैं। इसे आकाश में एक आभासी हार्ड ड्राइव के रूप में सोचें। इसे आपके डेटा की सुरक्षा के एक सुरक्षित और सुविधाजनक तरीके के रूप में विज्ञापित किया गया है। सुविधाजनक, हाँ. आप उस फ़ाइल को पुनर्प्राप्त कर सकते हैं जिसे आपने गलती से हटा दिया है। आप उस संपूर्ण हार्ड ड्राइव को पुनर्स्थापित कर सकते हैं जिसका डेटा दूषित हो गया था।

लेकिन क्या यह सुरक्षित है? आपको एक ताला और चाबी प्रदान की जाती है। कुंजी, आम तौर पर, एक उपयोगकर्ता नाम और पासवर्ड है। यह एन्क्रिप्टेड है और केवल आपको ही ज्ञात है। इसीलिए सुरक्षा विशेषज्ञ आपके पासवर्ड को सुरक्षित रखने की सलाह देते हैं। यदि कोई आपके पासवर्ड तक पहुंच प्राप्त कर लेता है, तो उसके पास आपके वर्चुअल घर की वर्चुअल कुंजी है।

ये सब तो आप जानते हैं. बैकअप क्लाउड सेवा के लिए आपका पासवर्ड 16 अक्षर लंबा है, इसमें अपरकेस और लोअरकेस अक्षर, संख्याएं और कुछ विशेष अक्षर शामिल हैं। आप इसे हर छह महीने में बदलते हैं क्योंकि आप जानते हैं कि इससे हैकर के लिए काम कठिन हो जाता है। यह आपके अन्य पासवर्ड से भिन्न है - आप एकाधिक साइटों के लिए एक ही पासवर्ड का उपयोग नहीं करते हैं। क्या गलत जा सकता है?

कुछ कंपनियाँ वह चीज़ पेश करती हैं जिसे उन्होंने "पर्सनल क्लाउड" के रूप में ब्रांड किया है। वेस्टर्न Digital उन कंपनियों में से एक है जो क्लाउड में आपके व्यक्तिगत स्थान पर आपके डेटा का बैकअप लेने का आसान तरीका प्रदान करती है। इसका नेटवर्क स्टोरेज इंटरनेट पर उपलब्ध है। यह आपके वाई-फाई राउटर में प्लग हो जाता है ताकि आप इसे अपने नेटवर्क के अंदर कहीं से भी एक्सेस कर सकें। सुविधाजनक रूप से, क्योंकि यह इंटरनेट से भी जुड़ा है, आप इंटरनेट पर कहीं से भी अपना व्यक्तिगत डेटा एक्सेस कर सकते हैं। सुविधा के साथ जोखिम भी आता है।

एक समझौता स्थिति

इस साल की शुरुआत में हैकर्स ने वेस्टर्न में सेंध लगाई Digitalके सिस्टम और लगभग 10 टीबी डेटा डाउनलोड करने में सक्षम थे। इसके बाद ब्लैक मेलर्स ने फिरौती के लिए डेटा अपने पास रखा और डेटा की सुरक्षित वापसी के लिए 10,000,000 अमेरिकी डॉलर के सौदे पर बातचीत करने की कोशिश की। डेटा तेल की तरह है. या शायद सोना एक बेहतर सादृश्य है. हैकर्स में से एक ने नाम न छापने की शर्त पर बात की। हा! TechCrunch जब वह इस व्यापारिक सौदे की प्रक्रिया में थे तो उन्होंने उनका साक्षात्कार लिया। दिलचस्प बात यह है कि जिस डेटा से समझौता किया गया उसमें पश्चिमी भी शामिल था Digitalका कोड-हस्ताक्षर प्रमाणपत्र। यह रेटिना स्कैन का तकनीकी समकक्ष है। प्रमाणपत्र का उद्देश्य स्वामी या धारक की सकारात्मक पहचान करना है। इस वर्चुअल रेटिना स्कैन के साथ, "सुरक्षित" डेटा तक पहुंच के लिए किसी पासवर्ड की आवश्यकता नहीं है। दूसरे शब्दों में, इस प्रमाणपत्र के साथ यह ब्लैक हैट व्यवसायी ठीक सामने वाले दरवाजे पर चल सकता है digital महल।

पश्चिमी Digital हैकर के इस दावे के जवाब में टिप्पणी करने से इनकार कर दिया कि वे अभी भी WD के नेटवर्क में हैं। अनाम हैकर ने वेस्टर्न के प्रतिनिधियों पर निराशा व्यक्त की Digital उसकी कॉल वापस नहीं करेगा. आधिकारिक तौर पर, ए में प्रेस विज्ञप्ति, पश्चिमी Digital घोषणा की कि, "आज तक की जांच के आधार पर, कंपनी का मानना ​​है कि अनधिकृत पार्टी ने उसके सिस्टम से कुछ डेटा प्राप्त किया है और वह उस डेटा की प्रकृति और दायरे को समझने के लिए काम कर रही है।" तो, पश्चिमी Digital माँ है, लेकिन हैकर बकवास कर रहा है। जहां तक ​​यह सवाल है कि उन्होंने यह कैसे किया, हैकर बताता है कि कैसे उन्होंने ज्ञात कमजोरियों का फायदा उठाया और एक वैश्विक प्रशासक के रूप में क्लाउड में डेटा तक पहुंच हासिल करने में सक्षम हुए।

एक वैश्विक प्रशासक की, भूमिका की प्रकृति के अनुसार, हर चीज़ तक पहुंच होती है। उसे आपके पासवर्ड की आवश्यकता नहीं है. उसके पास मास्टर चाबी है।

पश्चिमी Digital अकेले नहीं है

A सर्वेक्षण पिछले साल पाया गया कि सर्वेक्षण में शामिल 83% कंपनियों ने ऐसा किया था एक से अधिक डेटा उल्लंघन, जिनमें से 45% क्लाउड-आधारित थे। औसत संयुक्त राज्य अमेरिका में डेटा उल्लंघन की लागत 9.44 मिलियन अमेरिकी डॉलर थी। लागतों को चार लागत श्रेणियों में विभाजित किया गया था - खोया हुआ व्यवसाय, पता लगाना और वृद्धि, अधिसूचना और उल्लंघन के बाद की प्रतिक्रिया। (मुझे यकीन नहीं है कि डेटा फिरौती किस श्रेणी में है। यह स्पष्ट नहीं है कि उत्तरदाताओं में से किसी ने फिरौती की मांग का भुगतान किया है या नहीं।) किसी संगठन को डेटा उल्लंघन की पहचान करने और उसका जवाब देने में औसत समय लगभग 9 महीने लगता है। फिर, यह कोई आश्चर्य की बात नहीं है कि वेस्टर्न के कई महीने बाद Digital पहले डेटा उल्लंघन को स्वीकार किया, वे अभी भी जांच कर रहे हैं।

यह कहना कठिन है कि कितनी कंपनियों के डेटा उल्लंघन हुए हैं। मैं निजी स्वामित्व वाली एक बड़ी कंपनी को जानता हूं जिस पर रैंसमवेयर द्वारा हमला किया गया था। मालिकों ने बातचीत करने से इनकार कर दिया और भुगतान नहीं किया। इसके बजाय, इसका मतलब ईमेल और डेटा फ़ाइलें खो जाना था। उन्होंने असंक्रमित बैकअप से सब कुछ फिर से बनाने और सॉफ़्टवेयर को फिर से इंस्टॉल करने का विकल्प चुना। महत्वपूर्ण डाउन-टाइम और उत्पादकता में कमी आई। यह घटना कभी मीडिया में नहीं आई। वह कंपनी भाग्यशाली थी क्योंकि 66% तक छोटी से मध्यम आकार की कंपनियां जिन पर रैंसमवेयर का हमला होता है, वे 6 महीने के भीतर कारोबार से बाहर हो जाती हैं।

• 30,000 वेबसाइटें हैं hacked दैनिक
• 4 मिलियन फ़ाइलें हैं चुराया प्रतिदिन
• 22 अरब रिकॉर्ड थे का उल्लंघन 2021 में

यदि आपने कभी कैपिटल वन, मैरियट, इक्विफैक्स, टारगेट या उबर के साथ व्यापार किया है या उनकी सेवाओं का उपयोग किया है, तो संभव है कि आपके पासवर्ड से छेड़छाड़ की गई हो। इनमें से प्रत्येक प्रमुख कंपनी को महत्वपूर्ण डेटा उल्लंघन का सामना करना पड़ा।

• कैपिटल वन: एक हैकर ने कंपनी के क्लाउड इंफ्रास्ट्रक्चर में भेद्यता का फायदा उठाकर 100 मिलियन ग्राहकों और आवेदकों तक पहुंच प्राप्त की।
• मैरियट: एक डेटा उल्लंघन से 500 मिलियन ग्राहकों की जानकारी उजागर हो गई (यह उल्लंघन 4 वर्षों तक अज्ञात रहा)।
• इक्विफैक्स: 147 मिलियन ग्राहकों की क्लाउड में व्यक्तिगत जानकारी उजागर हुई।
• लक्ष्य: साइबर अपराधियों ने 40 मिलियन क्रेडिट कार्ड नंबरों तक पहुंच बनाई।
• उबर: हैकर्स ने एक डेवलपर के लैपटॉप से ​​छेड़छाड़ की और 57 मिलियन उपयोगकर्ताओं और 600,000 ड्राइवरों तक पहुंच प्राप्त की।
• LastPass^[1]: हैकर्स ने इस पासवर्ड मैनेजर कंपनी के लिए क्लाउड स्टोरेज में सेंध लगाकर 33 मिलियन ग्राहकों का वॉल्ट डेटा चुरा लिया। हमलावर ने अपने डेवलपर परिवेश से चुराई गई "क्लाउड स्टोरेज एक्सेस कुंजी और दोहरी स्टोरेज कंटेनर डिक्रिप्शन कुंजी" का उपयोग करके लास्टपास के क्लाउड स्टोरेज तक पहुंच प्राप्त की।

आप इस वेबसाइट पर यह देखने के लिए जांच कर सकते हैं कि क्या आप किसी डेटा उल्लंघन में उजागर हुए हैं: क्या मुझे पेंडा गया है? अपना ईमेल पता टाइप करें और यह आपको दिखाएगा कि ईमेल पता कितने डेटा उल्लंघनों में पाया गया है। उदाहरण के लिए, मैंने अपना एक व्यक्तिगत ईमेल पता टाइप किया और पाया कि यह 25 अलग-अलग डेटा उल्लंघनों का हिस्सा था, जिसमें एविट भी शामिल था। , ड्रॉपबॉक्स, एडोब, लिंक्डइन और ट्विटर।

अवांछित धोखेबाज़ों को विफल करना

पश्चिमी देशों द्वारा कभी भी सार्वजनिक स्वीकृति नहीं दी जा सकती Digital वास्तव में क्या हुआ। यह घटना दो चीजों को स्पष्ट करती है: क्लाउड में डेटा उतना ही सुरक्षित है जितना इसके रखवाले और चाबियों के रखवालों को विशेष रूप से सावधान रहने की जरूरत है। पीटर पार्कर सिद्धांत की व्याख्या करने के लिए, रूट एक्सेस के साथ बड़ी जिम्मेदारी आती है।

अधिक सटीक रूप से कहें तो, एक रूट उपयोगकर्ता और एक वैश्विक प्रशासक बिल्कुल एक जैसे नहीं होते हैं। दोनों में बहुत शक्ति है लेकिन अलग-अलग खाते होने चाहिए। रूट उपयोगकर्ता न्यूनतम स्तर पर कॉर्पोरेट क्लाउड खाते का स्वामी है और उसकी उस तक पहुंच है। इस प्रकार, यह खाता सभी डेटा, वीएम, ग्राहक जानकारी को हटा सकता है - वह सब कुछ जो किसी व्यवसाय ने क्लाउड में सुरक्षित किया है। AWS में, केवल हैं 10 कार्यों, जिसमें आपके AWS खाते को स्थापित करना और बंद करना शामिल है, जिसके लिए वास्तव में रूट एक्सेस की आवश्यकता होती है।

प्रशासनिक कार्य करने के लिए प्रशासक खाते बनाए जाने चाहिए (डुह)। आमतौर पर कई प्रशासक खाते होते हैं जो एकल रूट खाते के विपरीत, आमतौर पर व्यक्ति-आधारित होते हैं। क्योंकि प्रशासक खाते एक व्यक्ति से जुड़े होते हैं, आप आसानी से निगरानी कर सकते हैं कि किसने वातावरण में क्या परिवर्तन किए हैं।

अधिकतम सुरक्षा के लिए न्यूनतम विशेषाधिकार

डेटा उल्लंघन सर्वेक्षण में डेटा उल्लंघन की गंभीरता पर 28 कारकों के प्रभाव का अध्ययन किया गया। एआई सुरक्षा का उपयोग, DevSecOps दृष्टिकोण, कर्मचारी प्रशिक्षण, पहचान और पहुंच प्रबंधन, एमएफए, सुरक्षा विश्लेषण सभी का एक घटना में खोई गई औसत डॉलर राशि को कम करने में सकारात्मक प्रभाव पड़ा। जबकि, अनुपालन विफलताएं, सुरक्षा प्रणाली जटिलता, सुरक्षा कौशल की कमी और क्लाउड माइग्रेशन ऐसे कारक थे जिन्होंने डेटा उल्लंघन की औसत लागत में उच्च शुद्ध वृद्धि में योगदान दिया।

जैसे-जैसे आप क्लाउड पर माइग्रेट होते हैं, आपको अपने डेटा की सुरक्षा के लिए पहले से कहीं अधिक सतर्क रहने की आवश्यकता होती है। आपके जोखिम को कम करने और सुरक्षित वातावरण चलाने के कुछ अतिरिक्त तरीके यहां दिए गए हैं सुरक्षा दृष्टिकोण:

1. मुली-कारक प्रमाणीकरण: रूट और सभी प्रशासक खातों के लिए एमएफए लागू करें। इससे भी बेहतर, भौतिक हार्डवेयर एमएफए डिवाइस का उपयोग करें। एक संभावित हैकर को न केवल खाता नाम और पासवर्ड की आवश्यकता होगी, बल्कि भौतिक एमएफए की भी आवश्यकता होगी जो एक सिंक्रनाइज़ कोड उत्पन्न करता है।

2. कम संख्या में शक्ति: सीमित करें कि रूट तक किसकी पहुंच है। कुछ सुरक्षा विशेषज्ञ 3 से अधिक उपयोगकर्ताओं का सुझाव नहीं देते हैं। रूट उपयोगकर्ता पहुंच को परिश्रमपूर्वक प्रबंधित करें। यदि आप पहचान प्रबंधन और ऑफ-बोर्डिंग कहीं और नहीं करते हैं, तो यहां करें। यदि विश्वास के दायरे में कोई व्यक्ति संगठन छोड़ देता है, तो रूट पासवर्ड बदलें। एमएफए डिवाइस पुनर्प्राप्त करें।

3. डिफ़ॉल्ट खाता विशेषाधिकार: नए उपयोगकर्ता खातों या भूमिकाओं का प्रावधान करते समय, सुनिश्चित करें कि उन्हें डिफ़ॉल्ट रूप से न्यूनतम विशेषाधिकार दिए गए हैं। न्यूनतम पहुँच नीति से प्रारंभ करें और फिर आवश्यकतानुसार अतिरिक्त अनुमतियाँ प्रदान करें। किसी कार्य को पूरा करने के लिए कम से कम सुरक्षा प्रदान करने का सिद्धांत एक ऐसा मॉडल है जो SOC2 सुरक्षा अनुपालन मानकों को पारित करेगा। अवधारणा यह है कि किसी भी उपयोगकर्ता या एप्लिकेशन के पास आवश्यक कार्य करने के लिए आवश्यक न्यूनतम सुरक्षा होनी चाहिए। जितना अधिक विशेषाधिकार से समझौता किया जाएगा, जोखिम उतना ही अधिक होगा। इसके विपरीत, जितना कम विशेषाधिकार उजागर होगा, जोखिम उतना ही कम होगा।

4. लेखापरीक्षा विशेषाधिकार: अपने क्लाउड परिवेश में उपयोगकर्ताओं, भूमिकाओं और खातों को दिए गए विशेषाधिकारों का नियमित रूप से ऑडिट और समीक्षा करें। यह सुनिश्चित करता है कि व्यक्तियों के पास अपने निर्दिष्ट कार्य करने के लिए केवल आवश्यक अनुमति है।

5. पहचान प्रबंधन और उचित समय पर विशेषाधिकार: अनधिकृत पहुंच के जोखिम को कम करने के लिए किसी भी अत्यधिक या अप्रयुक्त विशेषाधिकार को पहचानें और रद्द करें। उपयोगकर्ताओं को केवल तभी एक्सेस अधिकार प्रदान करें जब उन्हें किसी विशिष्ट कार्य या सीमित अवधि के लिए उनकी आवश्यकता हो। यह हमले की सतह को कम करता है और संभावित सुरक्षा खतरों के लिए अवसर की खिड़की को कम करता है।

6. एंबेडेड क्रेडेंशियल्स: स्क्रिप्ट, जॉब या अन्य कोड में अनएन्क्रिप्टेड प्रमाणीकरण (उपयोगकर्ता नाम, पासवर्ड, एक्सेस कुंजी) की हार्ड-कोडिंग को प्रतिबंधित करें। इसके बजाय एक पर गौर करें रहस्य प्रबंधक जिसका उपयोग आप प्रोग्रामेटिक रूप से क्रेडेंशियल पुनर्प्राप्त करने के लिए कर सकते हैं।

7. इन्फ्रास्ट्रक्चर-एज़-कोड (IaC) कॉन्फ़िगरेशन: AWS क्लाउडफॉर्मेशन या टेराफॉर्म जैसे IaC टूल का उपयोग करके अपने क्लाउड इंफ्रास्ट्रक्चर को कॉन्फ़िगर करते समय सुरक्षा सर्वोत्तम प्रथाओं का पालन करें। डिफ़ॉल्ट रूप से सार्वजनिक पहुंच देने से बचें और संसाधनों तक पहुंच केवल विश्वसनीय नेटवर्क, उपयोगकर्ताओं या आईपी पते तक ही सीमित रखें। न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने के लिए सूक्ष्म अनुमतियों और पहुंच नियंत्रण तंत्र का उपयोग करें।

8. कार्रवाइयों की लॉगिंग: अपने क्लाउड वातावरण में कार्यों और घटनाओं की व्यापक लॉगिंग और निगरानी सक्षम करें। किसी भी असामान्य या संभावित दुर्भावनापूर्ण गतिविधियों के लिए लॉग कैप्चर करें और उनका विश्लेषण करें। सुरक्षा घटनाओं का तुरंत पता लगाने और उन पर प्रतिक्रिया देने के लिए मजबूत लॉग प्रबंधन और सुरक्षा सूचना और इवेंट प्रबंधन (एसआईईएम) समाधान लागू करें।

9. नियमित भेद्यता आकलन: अपने क्लाउड वातावरण में सुरक्षा कमजोरियों की पहचान करने के लिए नियमित रूप से भेद्यता मूल्यांकन और प्रवेश परीक्षण करें। किसी भी पहचानी गई कमजोरियों को तुरंत ठीक करें और उनका समाधान करें। अपने क्लाउड प्रदाता द्वारा जारी किए गए सुरक्षा अपडेट और पैच पर नज़र रखें और सुनिश्चित करें कि उन्हें ज्ञात खतरों से बचाने के लिए तुरंत लागू किया जाए।

10. शिक्षा और प्रशिक्षण: सुरक्षा जागरूकता की संस्कृति को बढ़ावा देना और न्यूनतम विशेषाधिकार के सिद्धांत के महत्व के बारे में कर्मचारियों को नियमित प्रशिक्षण प्रदान करना। उन्हें अत्यधिक विशेषाधिकारों से जुड़े संभावित जोखिमों और क्लाउड वातावरण के भीतर संसाधनों तक पहुंच और प्रबंधन करते समय पालन की जाने वाली सर्वोत्तम प्रथाओं के बारे में शिक्षित करें।

11. पैच और अपडेट: सभी सर्वर सॉफ़्टवेयर को नियमित रूप से अपडेट करके कमजोरियाँ कम करें। ज्ञात कमजोरियों से बचाने के लिए अपने क्लाउड इंफ्रास्ट्रक्चर और संबंधित एप्लिकेशन को अद्यतन रखें। क्लाउड प्रदाता अक्सर सुरक्षा पैच और अपडेट जारी करते हैं, इसलिए उनकी सिफारिशों के साथ अपडेट रहना महत्वपूर्ण है।

ट्रस्ट

यह विश्वास पर निर्भर करता है - अपने संगठन में केवल उन लोगों को उन कार्यों को पूरा करने का विश्वास प्रदान करना जो उन्हें अपना काम पूरा करने के लिए करने की आवश्यकता है। सुरक्षा विशेषज्ञ सलाह देते हैं जीरो ट्रस्ट. जीरो ट्रस्ट सुरक्षा मॉडल तीन प्रमुख सिद्धांतों पर आधारित है:

• स्पष्ट रूप से सत्यापित करें - उपयोगकर्ता की पहचान और पहुंच को सत्यापित करने के लिए सभी उपलब्ध डेटा बिंदुओं का उपयोग करें।
• कम-से-कम विशेषाधिकार वाली पहुंच का उपयोग करें - उचित समय पर और पर्याप्त सुरक्षा के साथ।
• उल्लंघन मानें - हर चीज़ को एन्क्रिप्ट करें, सक्रिय विश्लेषण का उपयोग करें और आपातकालीन प्रतिक्रिया रखें।

क्लाउड और क्लाउड सेवाओं के एक उपभोक्ता के रूप में, यह भरोसे पर भी निर्भर करता है। आपको खुद से पूछना होगा, "क्या मैं अपने विक्रेता पर भरोसा करता हूं कि वह मेरा कीमती डेटा क्लाउड में संग्रहीत करेगा?" इस मामले में, भरोसे का मतलब है कि आप सुरक्षा प्रबंधन के लिए उस कंपनी या उसके जैसी किसी कंपनी पर भरोसा करते हैं, जैसा कि हमने ऊपर बताया है। वैकल्पिक रूप से, यदि आप नकारात्मक उत्तर देते हैं, तो क्या आप अपने घरेलू वातावरण में उसी प्रकार की सुरक्षा प्रबंधन गतिविधि करने के लिए तैयार हैं। क्या आपको खुद पर भरोसा है?

क्लाउड में सेवाएं प्रदान करने वाली कंपनी के रूप में, ग्राहकों ने आपके क्लाउड इंफ्रास्ट्रक्चर में अपने डेटा की सुरक्षा के लिए आप पर भरोसा किया है। यह एक सतत प्रक्रिया है. उभरते खतरों के बारे में सूचित रहें, तदनुसार अपने सुरक्षा उपायों को अपनाएं, और लगातार विकसित हो रहे क्लाउड परिदृश्य में अपने व्यवसाय के लिए अत्यधिक सुरक्षा सुनिश्चित करने के लिए अनुभवी पेशेवरों या सुरक्षा सलाहकारों के साथ सहयोग करें।

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑