நாங்கள் கிளவுட்டில் பாதுகாப்பைப் பற்றி பேசுகிறோம்
ஓவர் எக்ஸ்போஷர்
அதை வைத்து விடுங்கள், வெளிக்காட்டுவது பற்றி என்ன கவலை? உங்களுடைய மிகவும் மதிப்புமிக்க சொத்துக்கள் யாவை? உங்கள் சமூக பாதுகாப்பு எண்? உங்கள் வங்கிக் கணக்குத் தகவல்? தனிப்பட்ட ஆவணங்கள், அல்லது புகைப்படங்கள்? உங்கள் கிரிப்டோ விதை சொற்றொடர்? நீங்கள் ஒரு நிறுவனத்தை நிர்வகித்தால் அல்லது தரவைப் பாதுகாப்பதற்குப் பொறுப்பாக இருந்தால், அதே வகையான தகவல்கள் சமரசம் செய்யப்படுவதைப் பற்றி நீங்கள் கவலைப்படலாம்.roadஎர் அளவுகோல். உங்கள் வாடிக்கையாளர்களின் தரவைப் பாதுகாக்கும் பொறுப்பு உங்களிடம் ஒப்படைக்கப்பட்டுள்ளது.
நுகர்வோர் என்ற முறையில், எங்கள் தரவின் பாதுகாப்பை நாங்கள் சாதாரணமாக எடுத்துக்கொள்கிறோம். இந்த நாட்களில், அந்த தரவு மேகக்கணியில் சேமிக்கப்படுகிறது. பல விற்பனையாளர்கள் வாடிக்கையாளர்கள் தங்கள் உள்ளூர் கணினிகளில் இருந்து மேகக்கணிக்கு தரவை காப்புப் பிரதி எடுக்க அனுமதிக்கும் சேவைகளை வழங்குகிறார்கள். வானத்தில் ஒரு மெய்நிகர் ஹார்ட் டிரைவ் என்று நினைத்துப் பாருங்கள். உங்கள் தரவைப் பாதுகாக்க இது பாதுகாப்பான மற்றும் வசதியான வழியாக விளம்பரப்படுத்தப்படுகிறது. வசதியானது, ஆம். நீங்கள் தற்செயலாக நீக்கப்பட்ட கோப்பை மீட்டெடுக்கலாம். தரவு சிதைந்த முழு வன்வட்டத்தையும் மீட்டெடுக்கலாம்.
ஆனால் அது பாதுகாப்பானதா? உங்களுக்கு பூட்டு மற்றும் சாவி வழங்கப்பட்டுள்ளது. முக்கியமானது, பொதுவாக, ஒரு பயனர்பெயர் மற்றும் கடவுச்சொல். இது குறியாக்கம் செய்யப்பட்டு உங்களுக்கு மட்டுமே தெரியும். அதனால்தான் உங்கள் கடவுச்சொல்லைப் பாதுகாப்பாக வைத்திருக்குமாறு பாதுகாப்பு வல்லுநர்கள் பரிந்துரைக்கின்றனர். யாராவது உங்கள் கடவுச்சொல்லை அணுகினால், உங்கள் மெய்நிகர் இல்லத்திற்கான மெய்நிகர் விசை அவர்களிடம் இருக்கும்.
உங்களுக்கு இதெல்லாம் தெரியும். காப்புப்பிரதி கிளவுட் சேவைக்கான உங்கள் கடவுச்சொல் 16 எழுத்துகள் நீளமானது, இதில் பெரிய மற்றும் சிறிய எழுத்துக்கள், எண்கள் மற்றும் இரண்டு சிறப்பு எழுத்துக்கள் உள்ளன. ஒவ்வொரு ஆறு மாதங்களுக்கும் நீங்கள் அதை மாற்றுகிறீர்கள், ஏனெனில் இது ஹேக்கருக்கு கடினமாக இருக்கும். இது உங்களின் மற்ற கடவுச்சொற்களிலிருந்து வேறுபட்டது – நீங்கள் ஒரே கடவுச்சொல்லை பல தளங்களுக்கு பயன்படுத்துவதில்லை. என்ன தவறு நடக்கலாம்?
சில நிறுவனங்கள் "தனிப்பட்ட கிளவுட்" என்று முத்திரை குத்தப்பட்டதை வழங்குகின்றன. மேற்கு Digital மேகக்கணியில் உங்கள் தனிப்பட்ட இடத்தில் உங்கள் தரவை காப்புப் பிரதி எடுக்க எளிதான வழியை வழங்கும் நிறுவனங்களில் ஒன்றாகும். இது இணையத்தில் கிடைக்கும் பிணைய சேமிப்பு. இது உங்கள் வைஃபை ரூட்டரில் செருகப்படுவதால், உங்கள் நெட்வொர்க்கில் எங்கிருந்தும் அதை அணுகலாம். வசதியாக, இது இணையத்துடன் இணைக்கப்பட்டுள்ளதால், இணையத்தில் எங்கிருந்தும் உங்கள் தனிப்பட்ட தரவை அணுகலாம். வசதியுடன் ஆபத்தும் வருகிறது.
ஒரு சமரச நிலை
இந்த ஆண்டின் தொடக்கத்தில், ஹேக்கர்கள் மேற்கத்திய நாடுகளுக்குள் நுழைந்தனர் Digitalஇன் அமைப்புகள் மற்றும் தோராயமாக 10 Tb தரவைப் பதிவிறக்க முடிந்தது. பிளாக் மெயிலர்கள் பின்னர் மீட்கும் தொகைக்கான தரவை வைத்திருந்தனர் மற்றும் தரவுகளை பாதுகாப்பாக திரும்பப் பெறுவதற்காக 10,000,000 அமெரிக்க டாலர்களுக்கு வடக்கே பேரம் பேச முயன்றனர். தரவு எண்ணெய் போன்றது. அல்லது தங்கம் ஒரு சிறந்த ஒப்புமையாக இருக்கலாம். ஹேக்கர்களில் ஒருவர் பெயர் தெரியாத நிலையில் பேசினார். ஹா! டெக்க்ரஞ்ச் அவர் இந்த வணிக ஒப்பந்தத்தில் இருந்தபோது அவரை நேர்காணல் செய்தார். இதில் சுவாரசியமான விஷயம் என்னவென்றால், சமரசம் செய்யப்பட்ட தரவுகளில் மேற்கத்திய நாடுகளும் அடங்கும் Digitalஇன் குறியீடு-கையொப்பமிடும் சான்றிதழ். இது விழித்திரை ஸ்கேன் செய்வதற்கு சமமான தொழில்நுட்பமாகும். சான்றிதழானது உரிமையாளர் அல்லது தாங்கியை சாதகமாக அடையாளம் காணும் நோக்கம் கொண்டது. இந்த மெய்நிகர் விழித்திரை ஸ்கேன் மூலம், "பாதுகாக்கப்பட்ட" தரவை அணுக கடவுச்சொல் தேவையில்லை. வேறு வார்த்தைகளில் கூறுவதானால், இந்த சான்றிதழின் மூலம் இந்த கருப்பு தொப்பி தொழிலதிபர் முன் வாசலில் நடக்க முடியும் digital அரண்மனை.
மேற்கு Digital அவர்கள் இன்னும் WD இன் நெட்வொர்க்கில் இருப்பதாக ஹேக்கரின் கூற்றுகளுக்கு பதிலளிக்கும் வகையில் கருத்து தெரிவிக்க மறுத்துவிட்டனர். பெயரிடப்படாத ஹேக்கர் வெஸ்டர்ன் பிரதிநிதிகள் ஏமாற்றத்தை வெளிப்படுத்தினார் Digital அவரது அழைப்புகளைத் திரும்பப் பெறவில்லை. அதிகாரப்பூர்வமாக, ஏ செய்தி வெளியீடு, மேற்கு Digital "இதுவரையிலான விசாரணையின் அடிப்படையில், அங்கீகரிக்கப்படாத தரப்பினர் அதன் அமைப்புகளில் இருந்து சில தரவுகளைப் பெற்றுள்ளனர் என்று நிறுவனம் நம்புகிறது, மேலும் அந்தத் தரவின் தன்மை மற்றும் நோக்கத்தைப் புரிந்துகொள்வதற்காக செயல்பட்டு வருகிறது" என்று அறிவித்தது. எனவே, மேற்கத்திய Digital அம்மா, ஆனால் ஹேக்கர் வசைபாடுகிறார். அவர்கள் அதை எவ்வாறு செய்தார்கள் என்பதைப் பொறுத்தவரை, ஹேக்கர் அவர்கள் அறியப்பட்ட பாதிப்புகளை எவ்வாறு பயன்படுத்தினர் மற்றும் உலகளாவிய நிர்வாகியாக மேகக்கணியில் தரவை அணுக முடிந்தது என்பதை விவரிக்கிறார்.
ஒரு உலகளாவிய நிர்வாகி, பாத்திரத்தின் தன்மையால், எல்லாவற்றையும் அணுகலாம். அவருக்கு உங்கள் கடவுச்சொல் தேவையில்லை. அவரிடம் மாஸ்டர் கீ உள்ளது.
மேற்கு Digital தனியாக இல்லை
A கணக்கெடுப்பு கடந்த ஆண்டு கணக்கெடுக்கப்பட்ட நிறுவனங்களில் 83% இருந்தது கண்டறியப்பட்டது ஒன்றுக்கு மேற்பட்ட தரவு மீறல், இதில் 45% கிளவுட் அடிப்படையிலானவை. தி சராசரி யுனைடெட் ஸ்டேட்ஸில் தரவு மீறலின் விலை US $9.44 மில்லியன். செலவுகள் நான்கு செலவு வகைகளாகப் பிரிக்கப்பட்டன - இழந்த வணிகம், கண்டறிதல் மற்றும் அதிகரிப்பு, அறிவிப்பு மற்றும் மீறலுக்குப் பின் பதில். (தரவு மீட்கும் தொகை எந்த வகையைச் சேர்ந்தது என்று எனக்குத் தெரியவில்லை. பதிலளித்தவர்களில் எவரேனும் மீட்புக் கோரிக்கையை செலுத்தினார்களா என்பது தெளிவாகத் தெரியவில்லை.) தரவு மீறலைக் கண்டறிந்து அதற்குப் பதிலளிப்பதற்கு ஒரு நிறுவனம் எடுக்கும் சராசரி நேரம் சுமார் 9 மாதங்கள் ஆகும். மேற்கத்திய நாடுகளுக்குப் பிறகு பல மாதங்களுக்குப் பிறகு இது ஆச்சரியமல்ல Digital முதலில் ஒரு தரவு மீறலை ஒப்புக்கொண்டார், அவர்கள் இன்னும் விசாரித்து வருகின்றனர்.
எத்தனை நிறுவனங்கள் தரவு மீறல்களைச் சந்தித்துள்ளன என்பதைச் சரியாகச் சொல்வது கடினம். ransomware மூலம் தாக்கப்பட்ட ஒரு பெரிய தனியார் நிறுவனத்தை நான் அறிவேன். உரிமையாளர்கள் பேச்சுவார்த்தைக்கு மறுத்து பணம் கொடுக்கவில்லை. அதாவது, மின்னஞ்சல்கள் மற்றும் தரவு கோப்புகளை இழந்தது. பாதிக்கப்படாத காப்புப்பிரதிகள் மற்றும் மென்பொருளை மீண்டும் நிறுவுதல் போன்ற அனைத்தையும் மீண்டும் உருவாக்க அவர்கள் தேர்வு செய்தனர். குறிப்பிடத்தக்க செயலிழப்பு மற்றும் உற்பத்தி இழப்பு ஏற்பட்டது. இந்த நிகழ்வு ஊடகங்களில் வரவில்லை. அந்த நிறுவனம் அதிர்ஷ்டசாலி என்பதால் 66% ransomware தாக்குதலுக்கு உள்ளான சிறிய மற்றும் நடுத்தர நிறுவனங்களின் வணிகம் 6 மாதங்களுக்குள் வெளியேறும்.
- 30,000 இணையதளங்கள் உள்ளன ஹேக் தினசரி
- 4 மில்லியன் கோப்புகள் உள்ளன திருடப்பட்ட ஒவ்வொரு நாளும்
- 22 பில்லியன் பதிவுகள் இருந்தன மீறப்படுகின்றன 2021 உள்ள
Capital One, Marriott, Equifax, Target அல்லது Uber ஆகியவற்றின் சேவைகளை நீங்கள் எப்போதாவது வணிகம் செய்திருந்தால் அல்லது பயன்படுத்தியிருந்தால், உங்கள் கடவுச்சொல் திருடப்பட்டிருக்கலாம். இந்த பெரிய நிறுவனங்கள் ஒவ்வொன்றும் குறிப்பிடத்தக்க தரவு மீறலை சந்தித்தன.
- கேபிடல் ஒன்: நிறுவனத்தின் கிளவுட் உள்கட்டமைப்பில் உள்ள பாதிப்பை பயன்படுத்தி 100 மில்லியன் வாடிக்கையாளர்கள் மற்றும் விண்ணப்பதாரர்களை ஹேக்கர் அணுகியுள்ளார்.
- மேரியட்: தரவு மீறல் 500 மில்லியன் வாடிக்கையாளர்களின் தகவலை அம்பலப்படுத்தியது (இந்த மீறல் 4 ஆண்டுகளாக கண்டறியப்படவில்லை).
- ஈக்விஃபாக்ஸ்: 147 மில்லியன் வாடிக்கையாளர்களின் தனிப்பட்ட தகவல் மேகக்கணியில் அம்பலமானது.
- இலக்கு: சைபர் குற்றவாளிகள் 40 மில்லியன் கிரெடிட் கார்டு எண்களை அணுகினர்.
- உபெர்: ஹேக்கர்கள் டெவலப்பரின் லேப்டாப்பை சமரசம் செய்து 57 மில்லியன் பயனர்கள் மற்றும் 600,000 டிரைவர்கள் அணுகலைப் பெற்றனர்.
- LastPass [1]: இந்த கடவுச்சொல் நிர்வாகி நிறுவனத்திற்கான கிளவுட் ஸ்டோரேஜ் மீறலில் 33 மில்லியன் வாடிக்கையாளர்களின் வால்ட் டேட்டாவை ஹேக்கர்கள் திருடிவிட்டனர். தாக்குபவர் அதன் டெவலப்பர் சூழலில் இருந்து திருடப்பட்ட “கிளவுட் ஸ்டோரேஜ் அணுகல் விசை மற்றும் இரட்டை சேமிப்பக கொள்கலன் மறைகுறியாக்க விசைகளை” பயன்படுத்தி லாஸ்ட்பாஸின் கிளவுட் சேமிப்பகத்திற்கான அணுகலைப் பெற்றார்.
இந்த இணையதளத்தில் தரவு மீறலில் நீங்கள் அம்பலப்படுத்தப்பட்டிருக்கிறீர்களா என்பதைப் பார்க்கவும்: நான் pwned? உங்கள் மின்னஞ்சல் முகவரியை உள்ளிடவும், மின்னஞ்சல் முகவரி எத்தனை தரவு மீறல்களைக் கண்டறிந்துள்ளது என்பதைக் காண்பிக்கும். எடுத்துக்காட்டாக, எனது தனிப்பட்ட மின்னஞ்சல் முகவரிகளில் ஒன்றைத் தட்டச்சு செய்தேன், Evite உட்பட 25 வெவ்வேறு தரவு மீறல்களின் ஒரு பகுதியாக இது இருந்ததைக் கண்டறிந்தேன். , Dropbox, Adobe, LinkedIn மற்றும் Twitter.
தேவையற்ற சூட்டர்களை முறியடித்தல்
மேற்கத்திய நாடுகளால் ஒருபோதும் பொது அங்கீகாரம் இருக்காது Digital சரியாக என்ன நடந்தது. இந்த சம்பவம் இரண்டு விஷயங்களை விளக்குகிறது: மேகக்கணியில் உள்ள தரவு, அதன் காப்பாளர்களைப் போலவே பாதுகாப்பானது மற்றும் விசைகளை வைத்திருப்பவர்கள் குறிப்பாக கவனமாக இருக்க வேண்டும். பீட்டர் பார்க்கர் கொள்கையை சுருக்கமாக கூறுவது, ரூட் அணுகலுடன் பெரும் பொறுப்பு உள்ளது.
இன்னும் துல்லியமாகச் சொல்வதானால், ரூட் பயனரும் உலகளாவிய நிர்வாகியும் ஒரே மாதிரியாக இருப்பதில்லை. இரண்டுக்கும் அதிக சக்தி உண்டு ஆனால் தனித்தனி கணக்குகளாக இருக்க வேண்டும். கார்ப்பரேட் கிளவுட் கணக்கை மிகக் குறைந்த மட்டத்தில் ரூட் பயனருக்குச் சொந்தமானது மற்றும் அணுகலாம். எனவே, இந்தக் கணக்கு அனைத்து தரவு, VMகள், வாடிக்கையாளர் தகவல் - ஒரு வணிகம் கிளவுட்டில் பாதுகாத்த அனைத்தையும் நீக்கலாம். AWS இல், மட்டுமே உள்ளன X பணிகள், உங்கள் AWS கணக்கை அமைப்பது மற்றும் மூடுவது உட்பட, அதற்கு உண்மையிலேயே ரூட் அணுகல் தேவைப்படுகிறது.
நிர்வாகப் பணிகளைச் செய்ய நிர்வாகி கணக்குகள் உருவாக்கப்பட வேண்டும் (duh). ஒற்றை ரூட் கணக்கைப் போலன்றி, பொதுவாக தனிநபர் அடிப்படையிலான பல நிர்வாகி கணக்குகள் உள்ளன. நிர்வாகி கணக்குகள் ஒரு தனிநபருடன் இணைக்கப்பட்டுள்ளதால், சூழலில் யார் என்ன மாற்றங்களைச் செய்தார்கள் என்பதை நீங்கள் எளிதாகக் கண்காணிக்கலாம்.
அதிகபட்ச பாதுகாப்புக்கான குறைந்தபட்ச சலுகை
தரவு மீறல் கணக்கெடுப்பு தரவு மீறலின் தீவிரத்தில் 28 காரணிகளின் தாக்கத்தை ஆய்வு செய்தது. AI பாதுகாப்பு, DevSecOps அணுகுமுறை, பணியாளர் பயிற்சி, அடையாளம் மற்றும் அணுகல் மேலாண்மை, MFA, பாதுகாப்பு பகுப்பாய்வு ஆகியவை ஒரு சம்பவத்தில் இழந்த சராசரி டாலர் தொகையைக் குறைப்பதில் சாதகமான தாக்கத்தை ஏற்படுத்தியது. அதேசமயம், இணக்கத் தோல்விகள், பாதுகாப்பு அமைப்பு சிக்கலானது, பாதுகாப்பு திறன் பற்றாக்குறை மற்றும் கிளவுட் இடம்பெயர்வு ஆகியவை தரவு மீறலின் சராசரி செலவில் அதிக நிகர அதிகரிப்புக்கு பங்களித்த காரணிகளாகும். 
நீங்கள் மேகக்கணிக்குச் செல்லும்போது, உங்கள் தரவைப் பாதுகாப்பதில் முன்னெப்போதையும் விட அதிக விழிப்புடன் இருக்க வேண்டும். உங்கள் ஆபத்தைக் குறைப்பதற்கும் பாதுகாப்பான சூழலை இயக்குவதற்கும் சில கூடுதல் வழிகள் இங்கே உள்ளன பாதுகாப்பு நிலைப்பாடு:
1. முலி காரணி அங்கீகாரம்: ரூட் மற்றும் அனைத்து நிர்வாகி கணக்குகளுக்கும் MFA ஐ அமல்படுத்தவும். இன்னும் சிறப்பாக, இயற்பியல் வன்பொருள் MFA சாதனத்தைப் பயன்படுத்தவும். சாத்தியமான ஹேக்கருக்கு கணக்கு பெயர் மற்றும் கடவுச்சொல் மட்டும் தேவைப்படும், ஆனால் ஒரு ஒத்திசைக்கப்பட்ட குறியீட்டை உருவாக்கும் இயற்பியல் MFA.
2. சிறிய எண்ணிக்கையில் சக்தி: ரூட்டிற்கான அணுகலைக் கட்டுப்படுத்தவும். சில பாதுகாப்பு வல்லுநர்கள் 3 பயனர்களுக்கு மேல் இல்லை என்று பரிந்துரைக்கின்றனர். ரூட் பயனர் அணுகலை கவனமாக நிர்வகிக்கவும். வேறு எங்கும் அடையாள மேலாண்மை மற்றும் ஆஃப்-போர்டிங்கை நீங்கள் செயல்படுத்தினால், அதை இங்கே செய்யுங்கள். நம்பிக்கை வட்டத்தில் உள்ள ஒருவர் நிறுவனத்தை விட்டு வெளியேறினால், ரூட் கடவுச்சொல்லை மாற்றவும். MFA சாதனத்தை மீட்டெடுக்கவும்.
3. இயல்புநிலை கணக்கு சிறப்புரிமைகள்: புதிய பயனர் கணக்குகள் அல்லது பாத்திரங்களை வழங்கும்போது, இயல்பாக அவர்களுக்கு குறைந்தபட்ச சலுகைகள் வழங்கப்படுவதை உறுதிசெய்யவும். குறைந்தபட்ச அணுகல் கொள்கையுடன் தொடங்கவும், பின்னர் தேவைக்கேற்ப கூடுதல் அனுமதிகளை வழங்கவும். ஒரு பணியை நிறைவேற்றுவதற்கு குறைந்தபட்ச பாதுகாப்பை வழங்கும் கொள்கையானது SOC2 பாதுகாப்பு இணக்கத் தரங்களைக் கடந்து செல்லும் மாதிரியாகும். எந்தவொரு பயனரும் அல்லது பயன்பாடும் தேவையான செயல்பாட்டைச் செய்வதற்குத் தேவையான குறைந்தபட்ச பாதுகாப்பைக் கொண்டிருக்க வேண்டும் என்பது கருத்து. சமரசம் செய்யப்படும் அதிக சலுகை, அதிக ஆபத்து. மாறாக, குறைந்த சலுகை வெளிப்படும், குறைந்த ஆபத்து.
4. தணிக்கை சலுகைகள்: உங்கள் கிளவுட் சூழலில் பயனர்கள், பாத்திரங்கள் மற்றும் கணக்குகளுக்கு வழங்கப்படும் சலுகைகளை தவறாமல் தணிக்கை செய்து மதிப்பாய்வு செய்யவும். தனிநபர்கள் தங்கள் நியமிக்கப்பட்ட பணிகளைச் செய்வதற்கு தேவையான அனுமதியை மட்டுமே வைத்திருப்பதை இது உறுதி செய்கிறது.
5. அடையாள மேலாண்மை மற்றும் சரியான நேரத்தில் சிறப்புரிமைகள்: அங்கீகரிக்கப்படாத அணுகலின் அபாயத்தைக் குறைக்க, அதிகப்படியான அல்லது பயன்படுத்தப்படாத சலுகைகளைக் கண்டறிந்து ரத்துசெய்யவும். ஒரு குறிப்பிட்ட பணி அல்லது குறிப்பிட்ட காலத்திற்கு பயனர்கள் தேவைப்படும்போது மட்டுமே அணுகல் உரிமைகளை வழங்கவும். இது தாக்குதல் மேற்பரப்பைக் குறைக்கிறது மற்றும் சாத்தியமான பாதுகாப்பு அச்சுறுத்தல்களுக்கான வாய்ப்பைக் குறைக்கிறது. 
6. உட்பொதிக்கப்பட்ட நற்சான்றிதழ்கள்: ஸ்கிரிப்ட்கள், வேலைகள் அல்லது பிற குறியீட்டில் மறைகுறியாக்கப்படாத அங்கீகாரத்தின் (பயனர்பெயர், கடவுச்சொல், அணுகல் விசைகள்) கடின-குறியீடு செய்வதைத் தடைசெய்க. அதற்கு பதிலாக ஒரு இரகசிய மேலாளர் நற்சான்றிதழ்களை நிரல் ரீதியாக மீட்டெடுக்க நீங்கள் பயன்படுத்தலாம்.
7. உள்கட்டமைப்பு-குறியீடு (IaC) கட்டமைப்பு: AWS CloudFormation அல்லது Terraform போன்ற IaC கருவிகளைப் பயன்படுத்தி உங்கள் கிளவுட் உள்கட்டமைப்பை உள்ளமைக்கும் போது பாதுகாப்புச் சிறந்த நடைமுறைகளைப் பின்பற்றவும். இயல்புநிலையாக பொது அணுகலை வழங்குவதைத் தவிர்க்கவும் மற்றும் நம்பகமான நெட்வொர்க்குகள், பயனர்கள் அல்லது IP முகவரிகளுக்கு மட்டுமே ஆதாரங்களுக்கான அணுகலைக் கட்டுப்படுத்தவும். குறைந்தபட்ச சிறப்புரிமைக் கொள்கையைச் செயல்படுத்த நுணுக்கமான அனுமதிகள் மற்றும் அணுகல் கட்டுப்பாட்டு வழிமுறைகளைப் பயன்படுத்தவும்.
8. செயல்களின் பதிவு: உங்கள் கிளவுட் சூழலில் செயல்கள் மற்றும் நிகழ்வுகளின் விரிவான பதிவு மற்றும் கண்காணிப்பை இயக்கவும். ஏதேனும் வழக்கத்திற்கு மாறான அல்லது தீங்கிழைக்கும் செயல்களுக்கான பதிவுகளைப் பிடித்து பகுப்பாய்வு செய்யுங்கள். பாதுகாப்பு சம்பவங்களை உடனுக்குடன் கண்டறிந்து பதிலளிக்க வலுவான பதிவு மேலாண்மை மற்றும் பாதுகாப்பு தகவல் மற்றும் நிகழ்வு மேலாண்மை (SIEM) தீர்வுகளை செயல்படுத்தவும்.
9. வழக்கமான பாதிப்பு மதிப்பீடுகள்: உங்கள் கிளவுட் சூழலில் பாதுகாப்பு பலவீனங்களைக் கண்டறிய வழக்கமான பாதிப்பு மதிப்பீடுகள் மற்றும் ஊடுருவல் சோதனைகளைச் செய்யவும். அடையாளம் காணப்பட்ட பாதிப்புகளை உடனுக்குடன் இணைத்து சரிசெய்யவும். உங்கள் கிளவுட் வழங்குநரால் வெளியிடப்பட்ட பாதுகாப்பு புதுப்பிப்புகள் மற்றும் இணைப்புகளைக் கண்காணித்து, அறியப்பட்ட அச்சுறுத்தல்களிலிருந்து பாதுகாக்க அவை உடனடியாகப் பயன்படுத்தப்படுவதை உறுதிசெய்க.
10. கல்வி மற்றும் பயிற்சி: பாதுகாப்பு விழிப்புணர்வு கலாச்சாரத்தை ஊக்குவித்தல் மற்றும் குறைந்தபட்ச சலுகை கொள்கையின் முக்கியத்துவம் குறித்து ஊழியர்களுக்கு வழக்கமான பயிற்சி அளிக்கவும். அதிகப்படியான சலுகைகளுடன் தொடர்புடைய அபாயங்கள் மற்றும் கிளவுட் சூழலில் வளங்களை அணுகும் போது மற்றும் நிர்வகிக்கும் போது பின்பற்ற வேண்டிய சிறந்த நடைமுறைகள் பற்றி அவர்களுக்குக் கற்பிக்கவும்.
11. இணைப்புகள் மற்றும் புதுப்பிப்புகள்: அனைத்து சர்வர் மென்பொருளையும் தொடர்ந்து புதுப்பிப்பதன் மூலம் பாதிப்புகளைக் குறைக்கவும். அறியப்பட்ட பாதிப்புகளிலிருந்து பாதுகாக்க உங்கள் கிளவுட் உள்கட்டமைப்பு மற்றும் தொடர்புடைய பயன்பாடுகளை புதுப்பித்த நிலையில் வைத்திருங்கள். கிளவுட் வழங்குநர்கள் பெரும்பாலும் பாதுகாப்பு இணைப்புகளையும் புதுப்பிப்புகளையும் வெளியிடுகிறார்கள், எனவே அவர்களின் பரிந்துரைகளுடன் தொடர்ந்து இருப்பது முக்கியம்.
அறக்கட்டளை
இது நம்பிக்கைக்குக் கீழே வருகிறது - உங்கள் நிறுவனத்தில் உள்ளவர்களுக்கு மட்டுமே அவர்களின் வேலையைச் செய்ய அவர்கள் செய்ய வேண்டிய பணிகளைச் செய்வதற்கான நம்பிக்கையை வழங்குதல். பாதுகாப்பு நிபுணர்கள் பரிந்துரைக்கின்றனர் ஜீரோ டிரஸ்ட். ஜீரோ டிரஸ்ட் பாதுகாப்பு மாதிரி மூன்று முக்கிய கொள்கைகளை அடிப்படையாகக் கொண்டது:
- வெளிப்படையாகச் சரிபார்க்கவும் - பயனரின் அடையாளம் மற்றும் அணுகலைச் சரிபார்க்க, கிடைக்கக்கூடிய எல்லா தரவுப் புள்ளிகளையும் பயன்படுத்தவும்.
- குறைந்தபட்ச சலுகை அணுகலைப் பயன்படுத்தவும் - சரியான நேரத்தில் மற்றும் போதுமான பாதுகாப்பு.
- மீறலைக் கருதுங்கள் - எல்லாவற்றையும் குறியாக்கம் செய்யுங்கள், செயலில் உள்ள பகுப்பாய்வுகளைப் பயன்படுத்துங்கள் மற்றும் அவசரகால பதிலைப் பயன்படுத்துங்கள்.
கிளவுட் மற்றும் கிளவுட் சேவைகளின் நுகர்வோர் என்ற முறையில், இது நம்பிக்கைக்குக் கீழே வருகிறது. "எனது விலைமதிப்பற்ற தரவை மேகக்கணியில் சேமிக்க எனது விற்பனையாளரை நான் நம்புகிறேனா?" என்று நீங்களே கேட்டுக்கொள்ள வேண்டும். நம்பிக்கை, இந்த விஷயத்தில், நாங்கள் மேலே விவரித்தபடி பாதுகாப்பை நிர்வகிப்பதற்கு அந்த நிறுவனத்தையோ அல்லது அது போன்ற ஒன்றையோ நீங்கள் நம்பியிருக்கிறீர்கள். மாற்றாக, நீங்கள் எதிர்மறையாக பதிலளித்தால், உங்கள் வீட்டுச் சூழலில் அதே வகையான பாதுகாப்பு மேலாண்மைச் செயல்பாட்டைச் செய்ய நீங்கள் தயாரா? நீங்கள் உங்களை நம்புகிறீர்களா?
கிளவுட்டில் சேவைகளை வழங்கும் நிறுவனமாக, வாடிக்கையாளர்கள் உங்கள் கிளவுட் உள்கட்டமைப்பில் தங்கள் தரவைப் பாதுகாக்க உங்கள் மீது நம்பிக்கை வைத்துள்ளனர். இது ஒரு தொடர் செயல்முறை. வளர்ந்து வரும் அச்சுறுத்தல்களைப் பற்றி அறிந்திருங்கள், உங்கள் பாதுகாப்பு நடவடிக்கைகளை அதற்கேற்ப மாற்றியமைக்கவும், மேலும் வளர்ந்து வரும் கிளவுட் நிலப்பரப்பில் உங்கள் வணிகத்திற்கான அதிகபட்ச பாதுகாப்பை உறுதிசெய்ய அனுபவம் வாய்ந்த வல்லுநர்கள் அல்லது பாதுகாப்பு ஆலோசகர்களுடன் ஒத்துழைக்கவும்.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑
