جلوگیری از سوء استفاده از داده ها

عملکرد اساسی امنیت رایانه و شبکه ، نگه داشتن داده های حساس برای اشخاص ثالث غیرمجاز است. این سند به بررسی ویژگی های خطرات اکتشافی داده ها می پردازد و در مورد بهترین شیوه های صنعت برای تأمین داده ها بحث می کند. این توضیح می دهد که چگونه می توان از ابزارها و ویژگی های موجود در Google Cloud برای کاهش خطرات ، تشخیص داده های اکتشافی و پاسخ به وقایع تبعید استفاده کرد. در صورت امکان ، تهدیدهای امنیتی و رویکردهای دفاعی در یک زمینه مستقل از ابر توضیح داده می شود. محیط نظارتی در حال تحول ، به ویژه مقررات حفاظت از داده های عمومی اروپا (GDPR) که در سال 2018 اجباری می شود ، تأکید جدیدی برای استقرار مکانیسم های پیشگیری از اگزیلتراسیون داده ها اضافه کرده است.

تعریف مواد منفجره

در این سند ، سوء استفاده از داده ها به عنوان زمانی تعریف می شود که یک شخص مجاز داده ها را از سیستم های امن که در آن تعلق دارد ، استخراج می کند و یا آن را با اشخاص ثالث غیرمجاز به اشتراک می گذارد یا آن را به سیستم های ناامن سوق می دهد. افراد مجاز شامل کارمندان ، مدیران سیستم و کاربران قابل اعتماد هستند. سوءاستفاده از داده ها به دلیل اقدامات بازیگران مخرب یا به خطر افتاده یا به طور تصادفی می تواند رخ دهد.

برای کاهش خطر سوءاستفاده از داده ها ، سازمان ها باید آگاهی امنیتی و بهترین شیوه ها را در فرهنگ خود ادغام کنند. آنها باید به طور مداوم خطرات هر تعامل با شبکه های رایانه ای ، دستگاه ها ، برنامه ها ، داده ها و سایر کاربران را ارزیابی کنند. سازمان ها همچنین ممکن است تصمیم بگیرند که ممیزی های دوره ای را تأیید کنند تا تأیید کنند که بهترین شیوه ها دنبال می شوند.

مقابله با خطرات اکتشافی داده ها در ابر

بسیاری از استراتژی های امنیتی داده های سنتی مبتنی بر سخت شدن دفاع فیزیکی از شبکه های خصوصی است. با این حال ، شما به عنوان یک مصرف کننده ابر ، زیرساخت شبکه فیزیکی را که از خدمات خود استفاده می کند ، کنترل نمی کنید. در ابرهای عمومی ، پارچه شبکه ارائه دهنده میزبان به اشتراک گذاشته می شود و به معنای سنتی هیچ محیطی وجود ندارد. تأمین اطلاعات در ابر نیاز به رویکردهای امنیتی جدید و روشهای دسترسی به داده های حسابرسی دارد.

به عنوان یک قیاس ، در نظر بگیرید که زیرساخت های ابری عمومی از اولین شرکت در صنعت بودند که استفاده از سخت افزار کالا را در مرکز داده اتخاذ کردند. در حالی که این می تواند منجر به نرخ بالاتر از خرابی سخت افزاری شود ، از طریق افزونگی و معماری خدمات هوشمند به حداقل می رسد. در چنین محیطی ، خدمات باید بتوانند چندین شکست را با لطف جذب کنند. معماری های خدمات با تقسیم پردازش ، ذخیره سازی ، احراز هویت و سایر کارها در چندین دستگاه و جغرافیا برای خرابی سخت افزار و شبکه طراحی شده اند و از این طریق تأثیرات حاصل از هر رویداد شکست را به حداقل می رسانند. در تأمین اطلاعات خود ، باید یک رویکرد مشابه را در پیش بگیرید: یک معماری را برای به حداقل رساندن خرابی و محدود کردن اثرات به بقیه سیستم خود در صورت سازش امنیتی طراحی کنید.

برای برآورده کردن بیشترین مشتری های امنیتی ، مدل امنیت ابر عمومی این تفکر را در بر می گیرد. Google Cloud VM محافظت شده را برای ارائه یکپارچگی قابل اثبات از نمونه های ماشین مجازی موتور محاسباتی خود (VM) ارائه می دهد ، بنابراین می توانید اطمینان داشته باشید که نمونه های شما توسط بدافزار سطح بوت یا هسته به خطر افتاده است. یکپارچگی قابل تأیید VM محافظ با استفاده از بوت ایمن ، بوت اندازه گیری شده با قابلیت VTPM و نظارت بر یکپارچگی حاصل می شود.

علاوه بر این ، ارائه دهندگان می توانند عوامل تخصصی را برای تولید تله متری در مورد فعالیت کاربر و میزبان در ماشینهای مجازی مبتنی بر ابر (VMS) مستقر کنند. این امر به مرکز عملیات امنیتی (SOC) امکان مشاهده فعالیت در داخل و اطراف مرز امنیتی مکرر را فراهم می کند.

توجه: به طور پیش فرض ، Google در حال حاضر نمایندگان را نصب نمی کند تا این تله متری را در VMS تهیه کند. مشتریان در VMS خود آزاد هستند.

ارائه دهندگان همچنین برای برقراری ارتباط با ناوگان VM ها ، سرورهای پروکسی شبکه ، سرورهای Egress شبکه و شبکه های پروژه متقابل ، نقاط صریح مانند میزبان Bastion را معرفی می کنند. این اقدامات می تواند خطر ابتلا به سوءاستفاده از داده ها را کاهش دهد ، اما نمی تواند آن را به طور کامل از بین ببرد.

سازمان شما همچنین باید زیرساخت های تشخیصی و پاسخ قوی برای وقایع تبعید داده ها ایجاد کند. زیرساخت های ابر مناسب به شما امکان تشخیص سریع فعالیت های پرخطر یا نادرست را می دهد ، "شعاع انفجار" فعالیت را محدود می کند و پنجره فرصت را برای بازیگر اکتشافی به حداقل می رساند.

داده ها مقوله های رویداد اکتشافی

وقایع تبعید داده ها را می توان با ویژگی های متداول فن آوری ، سازمانی و جسمی طبقه بندی کرد. در بخش هایی که در زیر آمده است ، ما به برخی از این دسته ها نگاه خواهیم کرد و در مورد استراتژی های پیشگیری و کاهش برای هر یک صحبت خواهیم کرد.

نامه برون مرزی

در این سناریو ، بازیگران از زیرساخت های مجاز از راه دور ، مانند ایمیل تجاری یا دستگاه های تلفن همراه ، برای انتقال داده های حساس از سیستم های رایانه ای ایمن به اشخاص ثالث غیرقابل اعتماد یا سیستم های خصوصی ناامن استفاده می کنند. داده های حساس را می توان به عنوان متن ساده در یک ایمیل یا پیام متنی منتقل کرد ، یا به عنوان یک فایل ضمیمه شد. این روش اغلب برای تبعید محتویات ایمیل های سازمان ، تقویم ها ، بانکهای اطلاعاتی ، تصاویر ، اسناد برنامه ریزی ، پیش بینی های تجاری و کد منبع استفاده می شود.

بسیاری از سیستم های ایمیل و پیام رسانی پیش نویس ها را در ابر ذخیره می کنند ، بنابراین بررسی داده های حساس هنگام ارسال پیام کافی نیست. اگر شخصی به ایمیل تجاری خود یا سایر سرویس های پیام رسانی که از پیش نویس های ذخیره شده پشتیبانی می کند ، دسترسی داشته باشد ، می تواند از این ویژگی برای اکتشاف استفاده کند. این بازیگر با صرفه جویی در پیش نویس از دستگاه ها و شبکه ها با دسترسی به داده های حساس و سپس دسترسی به پیش نویس از مشتری دیگر ، از سیستم های ورود به سیستم و حسابرسی جلوگیری می کند.

پیشگیری و کاهش

این سناریو شامل سیستم های ارتباطات از راه دور انتخاب شده و مجاز سازمان شما است که گزینه های بیشتری برای تأمین امنیت داده ها در مقابل سناریوهای مربوط به ابزارهای خصوصی یا شخص ثالث به شما می دهد.

اجرای برخی از استراتژی های پیشگیری و کاهش زیر را در نظر بگیرید:

• نظارت بر حجم و فرکانس انتقال داده توسط کاربران خود از طریق ایمیل و سایر ابزارهای پیام رسانی سازمانی. اگر کاربر متوسط 5 مگابایت داده را به طور متوسط در روز ارسال کند ، کاربر ارسال 500 مگابایت باید هشدار دهد.
• یک آدرس از آدرس های استفاده شده برای ارسال ایمیل ، از چه ایمیل هایی از طریق ایمیل ارسال می شود و آدرس گیرنده ها را حفظ کنید. اینها می تواند به شما در شناسایی ماهیت و دامنه یک رویداد تبعید داده کمک کند. چک لیست امنیتی Administrator توضیح می دهد که چگونه می توان یک حساب ایمیل را برای خطرات امنیتی در Gmail Enterprise حسابرسی کرد.
• ایمیل های ارسال شده از سیستم هایی با دسترسی به داده های حساس را اسکن کنید تا اطمینان حاصل شود که آنها حاوی محتوای غیرمجاز نیستند. این کار را می توان با برچسب زدن محتوای حساس با نشانگرها ، مانند کلمات کلیدی یا هش آسانتر کرد.
• از ارسال پیام از طریق کانال های ناامن مانند استفاده از HTTP به جای HTTPS جلوگیری کنید و از تلاش های امنیتی IT خود هشدار دهید.

بارگیری به دستگاه های ناامن

این موارد زمانی اتفاق می افتد که کاربر از طریق کانال های مجاز به داده های حساس دسترسی پیدا کرده و سپس داده ها را به یک دستگاه محلی ناامن منتقل می کند. بازیگران ممکن است از لپ تاپ ، تلفن های هوشمند ، درایوهای خارجی ، دوربین یا دستگاه های تخصصی استفاده کنند تا داده های حساس را برای اگزیلتراسیون ضبط کنند. این بازیگر می تواند پرونده های موجود را از خدمات شما در ابر بارگیری کند یا داده ها را در پرونده های جدید کپی کند. اگر پرونده ها به دستگاه های بدون نظارت یا ناامن منتقل شوند ، در معرض خطر بالایی برای تبعید هستند.

پیشگیری و کاهش

شبکه های مبتنی بر ابر مزایایی در جلوگیری از این نوع رویداد دارند. روشهای بسیاری برای انتقال داده ها به یک دستگاه محلی نیاز به اتصال فیزیکی به رسانه های قابل انتقال دارد. اگر به جای آن داده ها در ابر ذخیره شود ، باید قبل از انتقال آن بارگیری شود. این بارگیری ها مشمول ویژگی های امنیتی و ردیابی سرویس میزبانی و مشتری هستند.

اجرای برخی از این سیاست ها و تکنیک ها را در نظر بگیرید:

• بارگیری داده های بسیار حساس را ممنوع کنید. بسته به نحوه استفاده و پردازش داده های شما در ابر ، کاربران هرگز نیازی به بارگیری آن در سخت افزار محلی ندارند. در صورت امکان ، تمام داده ها را در ابر نگه دارید و تمام محاسبات را در ابر انجام دهید. اگر داده ها از لحاظ فنی قابل بارگیری هستند ، سیاستی را ایجاد کنید که بارگیری ها ، طبقه بندی و برچسب داده های حساس را ممنوع کند و از داده های مورد درخواست و ارائه شده از طریق تعامل امن و تماس های API ، دسترسی به اطلاعات دسترسی داشته باشید. برای اطلاعات بیشتر ، به مستندات ورود به سیستم حسابرسی مراجعه کنید.
• از یک کارگزار امنیتی دسترسی به ابر (CASB) برای تنظیم ارتباط بین مشتریان مجاز و خدمات ابری مطابق با سیاست های امنیتی سازمان خود استفاده کنید.
• پرونده ها را با ابزارهای مدیریت حقوق دیجیتال (DRM) بسته بندی کنید. این باعث می شود که مجوزها امنیت و رمزگذاری در هر پرونده باشد.
• علامت گذاری به دینامیکی در مشتریان مجاز خود را برای ضبط کاربر مسئول تصاویر یا عکس های نمایشگرهای رایانه ای که حاوی اطلاعات حساس است ، اجرا کنید.

بارگذاری در خدمات خارجی

مشابه دسته قبلی رویدادها ، این گروه اغلب شامل بارگیری داده های حساس به زیرساخت های محلی است. این بازیگر سپس داده ها را از طریق یک مشتری مرورگر وب یا سایر نرم افزارهای بدون نظارت بر روی شخص ثالث بارگذاری می کند. خدمات شخص ثالث می تواند وب سایت هایی مانند شبکه های اجتماعی بی نظیر باشد ، جایی که این بازیگر می تواند به طور تصادفی تصاویر اشتباه را بارگذاری کند یا متن اشتباه را چسباند. بازیگران مخرب پیشرفته ممکن است بتوانند مقادیر کمی از داده های حساس مانند اعتبار کاربر یا کلیدهای رمزگذاری را به عنوان پارامترهای URL به برنامه های وب تخصصی منتقل کنند.

پیشگیری و کاهش

خطر این نوع رویداد را می توان از طریق همان محدودیت های سیاست در بارگیری هایی که در برابر کپی محلی از داده های حساس محافظت می کنند ، کاهش داد. با این حال ، یک خط مشی خطر بارگذاری تصاویر یا متن کپی شده را در رسانه های اجتماعی ، وب سایت های به اشتراک گذاری فایل یا سایر خدمات ابری از بین نمی برد.

شیوه های امنیتی که برای مبارزه با این نوع خطر در نظر گرفته می شود شامل موارد زیر است:

• هرگونه داده را از بارگیری ممنوع کنید. تمام داده ها را در ابر نگه دارید و تمام محاسبات را در ابر انجام دهید. داده ها باید توسط تعامل API ایمن و وارد شده درخواست و ارائه شوند. برای اطلاعات بیشتر ، به مستندات ورود به سیستم حسابرسی مراجعه کنید.
• از نصب نرم افزارهای ناامن شخص ثالث ، مانند برنامه های رسانه های اجتماعی یا افزونه های مرورگر غیرمجاز ، در دستگاه هایی با دسترسی به داده های حساس جلوگیری کنید.
• از CASB برای تنظیم ترافیک از نقاط دسترسی به ابر و اجرای سیاست های رمزگذاری برای کلیه داده های منتقل شده به مشتری استفاده کنید.

رفتار ابر ناامن

با استفاده از سرویس های ابری ، برخی از دسته های جدید از خطرات ناشی از داده های اکتشافی که متخصصان امنیتی IT باید از آن آگاه باشند ، معرفی می کند. این موارد شامل مواردی است که کارمندان ، کاربران یا سرپرستان از ویژگی های مجموعه ارائه دهنده ابر به روش های ناامن استفاده می کنند. از هر بازیگری که توانایی لازم برای نیاز یا اصلاح ماشین های مجازی (VMS) را دارد ، کد را مستقر می کند ، یا درخواست هایی را برای ذخیره ابری یا سرویس های محاسباتی ارائه می دهد ، پتانسیل اگزیلتراسیون داده ها وجود دارد.

شبکه های ابری دارای جبهه های عمومی و امکان برقراری ارتباط با اینترنت گسترده تر هستند. تضمین و مجوز رفتار خدمات در حال اجرا در ابر برای ارائه امنیت داده ها ضروری است. بازیگران با مجوزهای کافی می توانند انتقال برون مرزی از داده های حساس را آغاز کنند ، داده های حساس را از ظروف ایمن به سمت های کمتری منتقل کنند یا به نمایندگی از یک سازمان خدمات ابری غیرمجاز ایجاد کنند.

پیشگیری و کاهش

حفظ رفتار ایمن برای سرویس های ابری شما نیازمند مجوزهای دقیق، با دامنه محدود و گزارش جامع است. تا جایی که ممکن است، بازیگران را از دسترسی به پشتیبان خدمات خود منع کنید. برای اکثر وظایفی که یک کارمند یا مدیر باید در یک VM انجام دهد، عوامل خودکار و مشتریان فرانت اند وجود دارند که ایمن و قابل نظارت هستند. از این موارد در جایی استفاده کنید که امکان محدود کردن تعداد افراد دارای دسترسی مستقیم SSH به ماشین های ابری شما وجود دارد. در صورت امکان، تمام داده های ارسال شده به اینترنت گسترده تر را اسکن کنید تا اطلاعات حساس را شناسایی کنید. برای برنامه هایی که اطلاعات کاربران یا سیستم های خارجی را پردازش می کنند، این اطلاعات را اسکن کنید تا از جمع آوری، ذخیره سازی یا اشتراک گذاری ناخواسته داده های حساس مانند اطلاعات شناسایی شخصی (PII) جلوگیری شود.

برای ماشین های مجازی در فضای ابری، این اصول امنیتی را در نظر بگیرید:

• جداول IP را روی ماشین های مجازی خود تنظیم کنید که اتصالات خروجی به آدرس های ناشناخته را ممنوع می کند. این می تواند خطر انتقال موفقیت آمیز داده های حساس به خارج از شبکه شما را کاهش دهد.
• از دادن آدرس IP عمومی به ماشین های مجازی خود اجتناب کنید و از سرویس ترجمه آدرس شبکه (NAT) برای پردازش اتصالات ورودی و خروجی استفاده کنید. برای کسب اطلاعات بیشتر، این راهنما را در مورد راه اندازی یک دروازه NAT برای Compute Engine بخوانید.
• استفاده از یک میزبان مستحکم در فضای ابری را برای میانجیگری و نظارت بر اتصالات به میزبان های دیگر در نظر بگیرید.
• نرم افزارهای مدیریت از راه دور مانند Protocol Remote Desktop (RDP) یا Windows Remote Management (WinRM) را در ماشین هایی که به آنها نیاز ندارند غیرفعال کنید.
• از دسترسی Google خصوصی برای فعال کردن نمونه های ماشین مجازی (VM) در یک زیرشبکه برای دسترسی به APIها و خدمات Google با استفاده از یک آدرس IP داخلی به جای یک آدرس IP خارجی استفاده کنید.
• شبکه های بین پروژه ای (XPN) را برای اشتراک گذاری شبکه های مجازی Google Cloud در بین پروژه های سازمان Cloud خود در نظر بگیرید.
• دسترسی مستقیم SSH به ماشین های مجازی را به افرادی که نیاز حیاتی و اجتناب ناپذیر دارند محدود کنید. Google Compute Engine ابزارهای جامع مدیریت کلید SSH را برای کنترل دسترسی به VM ها ارائه می دهد.

برای سرویس های ذخیره سازی ابری مانند Cloud Storage یا Cloud Bigtable، اقدامات زیر می تواند خطرات خروج را کاهش دهد:

• از مدیریت هویت و دسترسی (IAM) برای ارائه محدودترین مجموعه مجوزهای لازم برای دسترسی به داده ها به کاربران و برنامه ها استفاده کنید. داده ها را با حساسیت ها و الزامات دسترسی متفاوت در ظروف مختلف ذخیره کنید تا مجوزها تا حد امکان جزئی باشد.
• میزان خواندن داده ها را از منابع ذخیره سازی شما نظارت و محدود کنید. در صورت وجود تلاش برای جابجایی داده های بسیار بیشتر از آنچه انتظار می رود در مورد استفاده عادی وجود داشته باشد ، از عوامل نظارت برای هشدار دادن به تیم امنیتی خود استفاده کنید.
• به داده های بسیار حساس موقت و در معرض بررسی و ابطال مکرر قرار بگیرید. به عنوان مثال ، سهمیه موتور برنامه در اینجا می تواند مفید باشد.
• یک تیم انسانی داشته باشید که مرتباً مجموعه ای از افراد را که به ظروف بسیار حساس دسترسی دارند ، ممیزی کنید.
• از همه دسترسی به خدمات ذخیره سازی خود ، سیاهههای مربوطه را نگه دارید. در حالت ایده آل ، مجموعه افرادی که به خدمات ذخیره سازی دسترسی پیدا می کنند ، از مجموعه افراد با دسترسی به سیاههها جدا خواهند بود. این امر باعث کاهش خطر در سیاهههای مربوط توسط بازیگران مخرب می شود. برای نوشتن داده های ورود به سیستم در یک سطل ذخیره سازی جداگانه ، از برنامه های کاربردی دسترسی به ذخیره سازی ابری استفاده کنید.

اجرای پیروی از سیاست های امنیتی

زیرساخت های غنی ارائه شده توسط Google Cloud فرصت های مختلفی را برای مشتریان ایجاد می کند تا راه حل هایی را که نیازهای آنها را هدف قرار می دهد ، تهیه کنند. در عین حال ، زیرساخت های غنی همچنین چالش های جدیدی مانند اجرای سیاست های امنیتی مورد نظر را در پروژه های مختلف در یک سازمان به وجود می آورد. برای ساده سازی مدیریت امنیتی ، Google Cloud سلسله مراتبی از اشخاص را معرفی کرد که در آن همه منابع ساکن هستند. این سلسله مراتب ریشه در مفهوم سازمانها دارد. سازمان ها ممکن است به صورت اختیاری شامل پوشه ها یا پروژه ها باشند. پوشه ها ممکن است به صورت اختیاری حاوی زیرمجموعه یا پروژه باشند. تمام منابع خدمات Google Cloud متعلق به یک پروژه است.

Using this hierarchy, Organization > Folder > Project > Google Cloud Service >منابع ، سیاستهای امنیتی می توانند در هر سطح از سلسله مراتب تنظیم شوند و در سطوح پایین سلسله مراتب به ارث برده شوند. سیاست های امنیتی از بالا به پایین در سلسله مراتب منابع ارزیابی می شود و به محض دستیابی به پاسخ "اجازه" ، دسترسی به منبع اعطا می شود.

اجرای انطباق

با استفاده از سلسله مراتب منابع و وراثت سیاست های امنیتی ، حسابرسی را ساده می کند تا اطمینان حاصل شود که سیاست های امنیتی مورد نظر به طور یکنواخت دنبال می شوند. به دلیل خاصیت وراثت ، مدیران می توانند نشان دهند که ، به عنوان مثال ، تمام پروژه ها به همان مجموعه از حسابرسان اجازه می دهند تا داده های خود را بازرسی کنند. آنها با داشتن چنین سیاست امنیتی در سطح سازمان ، این امر را به دست می آورند و هرگز آن را در سطح پایین تر غلبه نمی کنند. این خط مشی های امنیتی در فعالیت های حسابرسی نرم افزاری مشخص شده است و تأیید آنها می تواند به صورت خودکار انجام شود.

شناسایی و بازسازی داده های حساس

یکی از اولین مراحل مدیریت داده های حساس دانستن کجاست. پس از شناسایی ، شما برای تنظیم کنترل دسترسی و استفاده مناسب و استفاده از تکنیک ها برای کاهش حساسیت از طریق کاهش ، ماسک زدن یا شناسایی اطلاعاتی از داده ها ، بهتر است که کنترل دسترسی را تنظیم کنید. هنگامی که داده ها به صورت مجدداً تغییر یافته اند ، از انتقال ماهیت حساس آن ، مانند داشتن یک شماره خاص تأمین اجتماعی ، شماره کارت اعتباری معتبر یا اطلاعات شخصی که شخصاً (PII) است ، متوقف می شود.

چالش سنتی در کاهش مقادیر زیادی از داده های متنوع ، نیاز به خودکار سازی شناخت ، طبقه بندی و کاهش مناسب است. پیشرفت این است که پشتیبانی سیستم را برای استدلال در مورد محتوا در قسمت های داده به صورت خودکار داشته باشد. این سطح از دید خودکار در جریان داده های دلخواه به برنامه ها اجازه می دهد تا تصمیم بگیرند که چه داده هایی را به کدام نقاط پایانی منتقل می کنند ، کدام سیستم ها برای ذخیره انواع مختلفی از داده های مدیریت شده و چه زمانی در مورد انواع خاصی از داده ها هشدار می دهندبشر

پیشگیری و کاهش

در Google Cloud ، پیشگیری از دست دادن داده ها (DLP) به شما امکان می دهد داده های حساس را درک و مدیریت کنید. این طبقه بندی سریع ، مقیاس پذیر و بازپرداخت اختیاری را برای عناصر داده حساس مانند شماره کارت های اعتباری ، نام ، شماره تأمین اجتماعی ، شماره گذرنامه ، شماره مجوزهای بین المللی ایالات متحده و انتخاب شده بین المللی و شماره تلفن فراهم می کند. Cloud DLP از متن ، داده های ساختاری و تصاویر پشتیبانی می کند - فقط داده ها را به Cloud DLP ارسال کنید یا داده های ذخیره شده در نمونه های ذخیره سازی ابر ، BigQuery و Datastore را مشخص کنید. از یافته های Cloud DLP می توان برای نظارت خودکار یا اطلاع رسانی پیکربندی تنظیمات IAM ، اقامت داده ها یا خط مشی های دیگر استفاده کرد. Cloud DLP همچنین می تواند به شما در کاهش یا ماسک قسمت های خاصی از این داده ها کمک کند تا حساسیت را کاهش دهد یا به به حداقل رساندن داده ها به عنوان بخشی از سیاست کم ارزش یا نیاز به آگاهی کمک کند. تکنیک های موجود عبارتند از نقاب زدن ، رمزگذاری ، رمزگذاری با فرمت ، نشانه گذاری و سطل در بین داده های ساختاری یا متن رایگان.

مدیران سرکش

با طراحی ، بیشتر سیستم های رایانه ای به مدیران تعیین شده قدرت کنترل نشده را اعطا می کنند. مدیران مخرب یا به خطر افتاده مجوزهای کافی برای ارتکاب هر یک از سناریوهای مورد بحث در این سند دارند و علاوه بر این بیشترین توانایی را برای از بین بردن سیاهههای مربوط و شواهد اقدامات خود دارند. کاهش این خطرات مستلزم جدایی اختیارات و اقتدار بر بخش هایی از شبکه شما است و به مدیران این امکان را می دهد تا یکدیگر را تحت نظر داشته باشند.

پیشگیری و کاهش

محدود کردن اقتدار هر بازیگر واحد برای کاهش خطرات ارائه شده توسط یک مدیر سرکش ضروری است.

به منظور انجام وظایف اختصاص یافته خود ، مدیران توانایی تبعید داده ها را خواهند داشت ، اما از اصول زیر می توان برای کاهش دامنه و بزرگی چنین رویدادهایی در صورت بروز آنها استفاده کرد:

• با ورود به سیستم اقدامات مدیران در مکانی که نمی توانند به آنها دسترسی پیدا کنند ، شبکه بزرگی را در برابر سوء استفاده از سرپرست تأمین کنید. برای مدیریت خدمات نظارت و ورود به سیستم از یک تیم امنیتی جداگانه استفاده کنید.
• در نظر بگیرید که همه مدیر با یک دوره انقضاء کوتاه به موقت دسترسی پیدا کنید. در بسیاری از شبکه ها ، مدیران نیازی به دسترسی مداوم ندارند.
• برای تصویب اقدامات اداری به چندین بازیگر نیاز دارید. با درمان کلیه اقدامات اداری مانند کد منبع که نیاز به تصویب دارد ، می توانید خطرات ارائه شده توسط یک بازیگر واحد را کاهش دهید.

خاتمه کارمندان

تیم واکنش اضطراری رایانه (CERT) در انستیتوی مهندسی نرم افزار دانشگاه کارنگی ملون ، مقاله ای در سال 2011 تولید کرد که نشان می دهد کارمندان هنگام پیش بینی خاتمه قریب الوقوع ، بیشتر درگیر اطلاعات هستند. خاتمه کار در انتظار کار ، دوره ای از افزایش خطر است که توجه بیشتری به تیم های امنیتی فناوری اطلاعات می کند.

پیشگیری و کاهش

برای شبکه هایی که دارای داده های بسیار حساس هستند ، اتصال سیستم های ورود و نظارت به نرم افزار HR را در نظر بگیرید که خاتمه آینده را ثبت می کند و آستانه های محافظه کارانه تری را برای هشدار دادن به تیم های امنیتی به رفتار غیرطبیعی توسط این کاربران تعیین می کند.

نتیجه

انعطاف پذیری ، صرفه جویی در هزینه و قدرت استفاده از زیرساخت های ابری عمومی نیاز به افزایش هوشیاری و رویکردهای جدید برای تأمین داده های موجود از اکسل دارد. شما می توانید با استفاده از تکنیک های شرح داده شده در این مقاله ، سیاست ها و پیاده سازی های سازمان خود را معمار کنید:

• "شعاع انفجار" از وقایع تبعید داده ها را از طریق محاسبات داده ها به حداقل برسانید.
• برای افزایش مسئولیت پذیری ، افزونگی و مصوبات را در گردش کار مدیر سیستم ایجاد کنید.
• از مجوزهای دانه ای استفاده کرده و فقط به کسانی که عملکرد شغلی آنها به آن نیاز دارد ، به داده های حساس دسترسی پیدا کنید.
• برای افزایش شفافیت در دسترسی و حرکت داده ها در سازمان خود از ورود به سیستم استفاده کنید.
• با استفاده از قوانین شبکه ، هویت و مدیریت دسترسی (IAM) و میزبان Bastion ، ورود و نظارت بر دستگاه های سازمان خود را محدود و نظارت کنید.
• پایه ای از جریان داده های عادی ، مانند مقادیر داده های دسترسی یا منتقل شده ، و مکان های جغرافیایی دسترسی که در برابر آنها برای مقایسه رفتارهای غیرطبیعی ایجاد می شود ، ایجاد کنید.

مراحل بعدی

• در مورد خدمات سیاست سازمان بخوانید.
• در مورد پیشگیری از دست دادن داده ها (DLP) بخوانید.
• نمای کلی امنیت Google Cloud را بخوانید.
• برای کسب اطلاعات در مورد شرکای Cloud Cloud امنیت محور ، به صفحه اکوسیستم شریک امنیتی مراجعه کنید.
• به صفحه Google Cloud & GDPR مراجعه کنید.

به جز آنچه در غیر این صورت ذکر شد ، محتوای این صفحه تحت مجوز Creative Commons Attribution 4. 0 مجوز دارد و نمونه های کد تحت مجوز Apache 2. 0 مجوز دارند. برای جزئیات بیشتر ، به سیاست های سایت Google Developers مراجعه کنید. جاوا یک علامت تجاری ثبت شده اوراکل و/یا شرکت های وابسته به آن است.

آخرین به روز شده 2023-04-13 UTC.< Span> پایه ای از جریان داده های عادی ، مانند مقادیر داده های دسترسی یا منتقل شده و مکان های جغرافیایی دسترسی را برای مقایسه رفتارهای غیر طبیعی ایجاد کنید.