5 NAJWAŻNIEJSZYCH ZASAD NCSC CLOUD SECURITY DOTYCZĄCYCH ZGODNOŚCI 0
Top 5 NCSC Cloud Security Principles for Compliance

5 najważniejszych zasad NCSC Cloud Security dotyczących zgodności

Istnieje wiele ważnych czynników, które należy wziąć pod uwagę przy wyborze dostawcy chmury dla przypadków użycia chmury. Dla organizacji z branż silnie regulowanych, zgodność z odpowiednimi przepisami jest jedną z najważniejszych rzeczy, o których należy myśleć. Niezależnie od tego, czy planujesz pojedyncze obciążenie w chmurze, czy hybrydową konfigurację wielu chmur, zachowanie zgodności dla wrażliwych danych w chmurze jest niezbędne.

14 zasad bezpieczeństwa w chmurze wydanych przez National Cyber Security Center (NCSC) stanowi wytyczne dla organizacji w Wielkiej Brytanii podczas oceny dostawców usług w chmurze. Ten artykuł koncentruje się na pięciu głównych zasadach bezpieczeństwa, które należy rozważyć z perspektywy zgodności, aby pomóc firmie wybrać odpowiedniego dostawcę usług w chmurze.

Zasada 1: Ochrona danych w trakcie przesyłania

Infrastruktury IT nowoczesnych firm są złożone, a dane regularnie przemieszczają się pomiędzy różnymi elementami sieci. Ochrona wrażliwych danych należących do klientów i pracowników w trakcie ich przemieszczania się między aplikacjami/urządzeniami biznesowymi a chmurą ma krytyczne znaczenie. Konieczne jest również, aby dostawca chmury chronił dane podczas tranzytu wewnątrz chmury, np. gdy dane są replikowane do innego regionu w celu zapewnienia wysokiej dostępności. Niektóre kluczowe kwestie, na które należy zwrócić uwagę i zapewnić zgodność z
przepisami w kontekście danych w tranzycie to:
- Twój dostawca chmury wymusza szyfrowanie, które uniemożliwia osobom
   trzecim odczytanie poufnych danych.
- Dostawca chmury korzysta z połączeń światłowodowych, aby połączyć centra
  danych w sposób prywatny.
- Dostawca korzysta z najnowszej wersji TLS, aby zapewnić uwierzytelnianie,
  integralność i szyfrowanie danych w tranzycie.

Zasada 2: Ochrona i odporność aktywów

Zasada ta mówi, że dostawcy usług w chmurze powinni chronić dane firmy przed fizyczną ingerencją, utratą lub uszkodzeniem. W kontekście zgodności, ważnym aspektem tej zasady jest potrzeba wiedzy o tym, gdzie dane są przechowywane, przetwarzane i zarządzane. Różne przepisy mają różne wymagania dotyczące miejsca przechowywania chronionych danych. Na przykład, niektóre przepisy stanowią, że dane mogą być przekazywane tylko do firm o wystarczającym poziomie ochrony w zakresie przetwarzania danych osobowych. Jeśli Twoja firma zdecyduje się na dostawcę usług w chmurze, który nie zapewnia przejrzystości w zakresie lokalizacji danych, możesz nieświadomie naruszyć przepisy.

Zasada 3: Rozdzielenie klientów

Ostatnią rzeczą, jakiej pragnie Państwa firma, jest korzystanie z usługi chmury publicznej tylko po to, aby dowiedzieć się, że złośliwy haker uzyskał dostęp do Państwa wrażliwych danych, narażając najpierw innego klienta. Ten rodzaj scenariusza dotyczącego niezgodności może się zdarzyć, gdy nie ma wystarczającej separacji pomiędzy różnymi klientami usługi w chmurze.

Inną prawdopodobną sytuacją jest ta, w której konkurent aktywnie stara się wykorzystać Twoje dane. Konkurent może wiedzieć, że korzystacie z tej samej usługi w chmurze i że dostawca nie oddziela odpowiednio różnych klientów. Przed wyborem dostawcy usług, due diligence jest krytyczna pod względem posiadania pewności, że Twoje dane są oddzielone od danych innych klientów. Ta pewność może pochodzić od dostawcy, który może pokazać wyniki niezależnego testu penetracyjnego na swoich usługach. Aby uzyskać dodatkową pewność, być może warto zdecydować się na jedną z dużych nazw zamiast wybierać nowego i niesprawdzonego dostawcę usług w chmurze.

Zasada 10: Tożsamość i uwierzytelnianie

Sprawdzanie, czy użytkownicy są tymi, za których się podają, jest niezbędne dla celów zgodności z przepisami. Gdy ktokolwiek w firmie z dostępem do chmury próbuje z niej korzystać, powinno być wdrożone silne uwierzytelnianie i kontrola dostępu. Należy zwrócić uwagę na co najmniej następujące funkcje uwierzytelniania:
- Uwierzytelnianie wieloczynnikowe, aby użytkownicy usługi nie mogli logować się
  po prostu za pomocą pary nazwa użytkownika-hasło.
- Możliwość korzystania z prywatnych połączeń sieciowych w celu uzyskania
  dostępu do usługi w chmurze.
- Możliwość ograniczenia czasu trwania sesji logowania.
- Zastosowanie blokowania lub ograniczania kont, na których wykryto próby
logowania metodą brute force.

Zasada 14: Bezpieczne korzystanie z usługi przez Klienta

Ta zasada w mniejszym stopniu dotyczy dostawcy, a w większym - sposobu, w jaki firma korzysta z usług w chmurze. Wybrany przez Ciebie dostawca usług może mieć silną pozycję w zakresie bezpieczeństwa informacji, ale niewłaściwe korzystanie z usługi w chmurze przez pracownika może łatwo doprowadzić do naruszenia danych i kar za nieprzestrzeganie przepisów. Błąd ludzki pozostaje zdumiewająco częstą przyczyną naruszeń danych. W jednym z raportów stwierdzono, że 88 procent przypadków naruszenia danych wynika z błędów popełnionych przez pracowników. W walce z tym ryzykiem i zapewnieniu zgodności z przepisami powinny pomóc poniższe praktyki:

- Zmień kulturę firmy na taką, która stawia bezpieczeństwo na pierwszym miejscu,
  dbając o ciągłą świadomość bezpieczeństwa cybernetycznego.
- Przekazać pracownikom, że mają obowiązek bezpiecznego korzystania z usług w
  chmurze.
- Szkolić wszystkich, jak bezpiecznie korzystać z usług w chmurze w sposób, który
  nie narusza zgodności z przepisami.
- Wykrywaj błędne konfiguracje chmury za pomocą rozwiązania do zarządzania
  konfiguracją, takiego jak Tripwire's Configuration Manager. Błędne konfiguracje
  są częstą przyczyną naruszeń danych w chmurze.

Myśli końcowe

Przedsiębiorstwa każdej wielkości muszą przestrzegać rosnącej liczby przepisów wdrażanych w celu ochrony wrażliwych informacji cyfrowych. Jeśli planujesz przenieść się do chmury, dokładnie przeanalizuj zasady bezpieczeństwa chmury NCSC, aby zapewnić sobie ochronę przed wysokimi karami związanymi z naruszeniem zgodności. I do walki z rozwiązaniem do zarządzania konfiguracją. Configuration Manager firmy Tripwire może pomóc w wykrywaniu błędnych konfiguracji w środowiskach wielochmurowych.

Komentarze do wpisu (0)

Wersje językowe
Kategorie blog
Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl