安全雜談概述:
| 主題 | 內容 |
|---|---|
| 數據的三種狀態 | three different states |
| 1. Data in Use | 被一個或多個用戶訪問accessed的數據being accessed by one or more users |
| 2. Data in Transit | 從一個位置傳輸到另一個位置的數據 data traveling from one point to another |
| 3. Data at Rest | 不在使用中的數據,通常存儲在物理設備上the data in your laptop is at rest. |
了解數據的三種狀態有助於安全團隊分析風險和資產管理計劃。
"An on-demand, massively scalable service, hosted on shared infrastructure, accessible via the internet."
一種按需、大規模可擴展的服務,託管在共享基礎設施上,通過互聯網可訪問
| 服務類型 | 定義/說明 | 常見用途/對象 | 常見例子 | 使用者責任範圍 |
|---|---|---|---|---|
| SaaS (Software as a Service) | 由供應商提供完整的應用程式,使用者透過網頁瀏覽器直接存取,無需安裝或維護軟體。使用者透過網頁瀏覽器訪問的前端應用程式 | 終端用戶、企業日常應用 | Gmail、Slack、Zoom | 帳號管理、資料存取權限、部分資料安全 |
| PaaS (Platform as a Service) | 提供應用程式開發與部署的平台,開發者可在雲端撰寫、測試、部署應用程式,基礎設施由供應商管理。 | 開發人員、應用程式開發團隊 | Google App Engine、Heroku、VMware Cloud Foundry. |
| 應用程式邏輯安全、帳號管理、資料處理 |
| IaaS (Infrastructure as a Service)| 提供虛擬化硬體資源(如伺服器、儲存空間、網路),用戶可自行安裝和管理作業系統、應用程式等。 | IT 管理員、企業自訂 IT 架構 | Google Cloud Platform、Microsoft Azure | 運作系統安全、應用程式安全、網路設定與資料保護 |
身份與訪問管理 (Identity and access management):這指的是對使用者身份的確認以及他們對雲端資源的存取權限。用戶需要確保他們的帳戶安全,例如透過強密碼、雙因素驗證等方式來降低未授權訪問的風險。
資源配置 (Resource configuration):這是指客戶在雲端環境中設置和配置資源(如伺服器、應用程式和數據庫)的方式。適當的配置對於確保資源不被濫用或暴露於風險中非常重要。不當的配置可能會導致數據洩漏或其他安全漏洞。
數據處理 (Data handling):這涉及到客戶如何管理和保護他們的數據,包括數據的加密、存儲和傳輸。如果客戶沒有採取適當的數據保護措施,他們的數據將面臨被竊取或損壞的威脅。
錯誤配置(Misconfiguration):
錯誤配置是雲安全中最大的擔憂之一。雲服務的客戶負責為自己的安全環境進行配置,但許多客戶僅使用預設配置,這些配置往往無法達到他們特定的安全目標。這意味著由於配置不當,潛在的安全漏洞可能會被忽視,從而導致數據洩露或其他安全事件。
雲原生漏洞(Cloud-native breaches):
由於服務配置錯誤,雲原生漏洞的風險會增加。這表示在雲環境中本身特有的漏洞,可能會因為不當配置而更容易被攻擊者利用。
3.訪問監控(Monitoring access):
根據客戶的需求和服務的層級,監控誰在訪問資料可能變得困難。這在雲服務中是一個挑戰,因為許多用戶可能同時擁有不同層級的訪問權限,而企業需要對這些訪問進行有效的監控與管理。
4.遵守規範標準(Meeting regulatory standards):
特別是在法律要求特定行業遵循的標準方面,符合規範也是一個重要問題,例如HIPAA(健康保險可攜帶性與責任法案)、PCI DSS(支付卡行業數據安全標準)和GDPR(通用資料保護法)。各個行業需要確保其雲服務能夠符合這些法律要求,以避免潛在的法律責任和罰款。
yennefer
iThome鐵人賽
看影片追技術