Hesap Verebilirlik ve Veri Riski
Veri kaybı riski
Üçüncü Taraf Sözleşmelerinde, önceden tanımlanmış bir RACI matrisine CSP ve Tüketici sözleşmesinden bahsedin;
Şifreleme, takma adlandırma, şifreleme vb. Veri Koruma gereksinimleri;
CSP CCM dahil olmak üzere SLA’lar.
CSP Risk Değerlendirmeleri; Şifreleme: Birden çok tüketici verisinin mantıksal izolasyonu.
Kullanıcı Kimliği Federasyonu
Ele Geçirilmiş Hesaplar ve Güvenliği İhlal Edilen Kimlik Bilgileri Riski.
Kullanıcı Kimliklerini birden çok CSP’de yönetin;
Başlatma / kapama dahil olmak üzere kullanıcı yaşam döngüsü üzerinde sıkı kontroller;
Kullanıcı Sağlama, Yetkilendirme ve Kimlik Doğrulama;
CASB, Kerberos, LDAP, RADIUS, AD entegrasyonu;
Arka uç entegrasyonu için OAuth2 ve / veya SAML; tek oturum açma (SSO) için Federated Identity;
OATH-HOTP kullanarak 2 faktörlü / çok faktörlü Kimlik Doğrulama;
Dış erişim yönetimi;
CSP örnekleri ve tüketici ağı arasında VPN bağlantısı;
Erişime izin veren Hizmetlerin uygun yapılandırması.
Yasal Uygunluk
Mevzuata uyum ihlali riski
Sözleşmede, “Uygunluk sorumluluğu” ve “Coğrafi yakınlık” için CSP ile hizmet şartlarını tanımlayın;
Ayrıca, bir bulut hizmeti sağlayıcısı tarafından gizli verilerin üçüncü taraflarca zorla ifşa edilmesini Önlemek için CSP ve Tüketici Sözleşmesi.
Normal Üçüncü Taraf Değerlendirmeleri Risk Yönetimi Çerçevesi, duruma göre, Veri Yerelleştirme (Veri Egemenliği veya Veri Gizliliği).
Verileri yasal yetki alanı dışında saklamayın.
Uyumluluk hatalarını önlemek için buluta yüklemeden önce verileri takma ad verin (maskeleyin),
SOX, GDPR, HIPAA, HITECH, PCIDSS, SSAE16 / ISAE 3402, ENISA, NESA gibi Yönetmelikler ve Endüstri Standartları ile uyumluluğu izleyin. vb.
İş Sürekliliği ve Esneklik
Bulut sağlayıcısının bir tüketicinin rakibi tarafından edinilmesi riski.
CSP ile yapılan sözleşmede, CSP’nin tüketicinin rakibi tarafından edinilmesinden kaynaklanan risklerin korunması için gerekli şartları ekleyin.
Sürekliliği ve esnekliği sağlamak için gereken bilgi ve yetenek eksikliği riski.
Sertifikasyon: CSP’nin İş Sürekliliği programı “” riskini ele almak için ISO22301 sertifikasına sahip olacaktır.
Kesinti nedeniyle parasal kayıp (ve / veya ceza) riski.
Bu risk, sözleşmede belirtilen aşağıdaki iki maddeye sahip olunarak azaltılabilir:
• Kurtarma Süresi Hedefleri (RTO);
• Arıza süresi için para cezası.
Kullanıcı Gizliliği ve İkincil Veri Kullanımı
Kullanıcının izni olmadan çıkarılmış veya kullanılmış (satılan) kullanıcı kişisel verilerinin riski.
• Gizlilik ve Kabul Edilebilir Kullanım Politikası
• İkincil Kullanım Politikası
Kilitlenme ve kullanıcıların kişisel verilerini silememe riski.
• Dahil Olma ve Çıkma İzni.
Özel verilere yetkisiz kişi (ler) tarafından ve / veya yetkisiz veya uygun amaç (lar) için erişim riski.
• PII’nin kimliğinin silinmesi
• Anonimleştir
• Şifrelenme
• Güvenlik farkındalığı
• CSP için Hukuk Yükümlülüğü
• Hukuk kurumlarına anahtar emanet
• Mahkeme celbi Tasarım yoluyla Gizlilik yaklaşımını benimseyin.
Veri Koruma Etki Değerlendirmesi (DPIA) gerçekleştirin
Hizmet ve Veri Entegrasyonu
Ele Geçirilmiş trafik riski
Kullanımdaki Verileri, Bekleyen Verileri ve Hareket halindeki Verileri şifreleyin. En son TLS’yi kullanın.
Tüketiciler tarafından kullanılan savunmasız ve güvenliği ihlal edilmiş internet erişimli API’lerden Saldırıya uğramış API’ler riski.
CSP’nin yönetim API’sine veya çok kiracılığını destekleyen uygulamalara yönelik saldırılardan kaçınmak için yeterli API Güvenliği kontrolleri uygulayın.
İzinsiz bulut hizmetleri kullanımı nedeniyle artan kötü amaçlı yazılım bulaşması, veri hırsızlığı ve n / w ve veri kontrolü eksikliği riski.
Shadow IT’nin entegrasyonunu yalnızca BT aracılığıyla ve güvenlik değerlendirmesinden sonra yönlendirin.
Ara yazılım güvenlik kontrollerini uygulayın. Tasarımı ile Güvenliği benimseyin.
Çok Kiracılı ve Fiziksel Güvenlik
“Kiracılar arasında (paylaşılan sunuculardaki firmalarla) ayrımı sürdürmek için kullanılan CSP kontrollerinin başarısız olması” veya “mantıksal izolasyon kontrollerinin alt üst edilmesi” nedeniyle oluşan Veri kaybı riski.
Kötü niyetli veya Cahil kiracılar tarafından çapraz kiracı saldırıları riski: Yan kanal Saldırıları, Diğer kiracıların taranması ve dDoS;
Çoklu Kiracılık için yeterli Mantıksal Ayrımlara sahip olmak için güvenli mimari.
- Veri Şifreleme (kiracı başına anahtar yönetimi).
- Kendi Anahtarınızı Getirin (BYOK),
- Sanal Özel Bulut (VPC)
- Tahsis Edilmiş Sanal Makine (Sanal Makine) örnekleri
Paylaşılan Hizmet – Tek Nokta Arızaları
Koordine edilmemiş değişiklik kontrolleri ve yanlış yapılandırmalar riskinden kaçınmak için Kontrollü ve Koordineli Değişiklik Yönetimi.
İdari Erişimin Denetlenebilirliği
Olay Analizi ve Adli Tıp
Karmaşık ve dinamik bulut bilişim ortamında olayların zamansız / gecikmiş teşhisi ve çözülmesi riski.
Performanstan ödün vermeden kapsamlı günlük kaydı;
Ayrılmış Adli Sanal Makine Görüntüleri;
Yetki alanları genelinde olay günlüklerini işleme, değerlendirme ve ilişkilendirmeye ilişkin CSP Politikası.
CSP, güvenlik olaylarının adli analizine yardımcı olmak için sanal makine görüntülemesine (veya diğer benzer teknolojilere) sahip olacaktır.
Altyapı Güvenliği
Gelişmiş kalıcı tehditler (APT’ler), DoS ve DDoS saldırıları riski
BT altyapı varlıklarının Güvenlik Riski değerlendirmeleri;
Uygulama, DB, İşletim Sistemi ve NW Cihazlarının Güçlendirilmesi;
Yama Yönetimi; Görevlerin ayrılması;
Erişim Kontrolleri. Sağlam kimlik doğrulama. Rol tabanlı yönetici ayrıcalıkları;
Özelleştirilmiş uygulamalar için VA, IaaS ve PaaS;
Aralarında uygun güvenlik kontrolleri bulunan katmanlı mimari;
Üçüncü taraf denetimleri; SOAR / SIEM;
Tehdit İstihbaratı;
Tüketiciler, şirket içi BT için mevcut olan ağ tabanlı izleme ve günlük kaydını kullanmadan uygulamalar, hizmetler, veriler ve kullanıcılar hakkındaki bilgileri izleme ve analiz etme.
Üretim Dışı Çevre Maruziyeti
Yetkisiz bir kullanıcının üretim dışı ortamda gizli bilgilere erişim riski.
Çoklu kimlik doğrulama katmanları kullanın.
Üretim dışı ortamda Üretim verilerinin kullanılmaması;
Üretim verileriyle aynı olacak üretim dışı veriler yok.
Üretim verilerini üretim dışı ortama taşımadan önce takma adla belirtin veya şifreleyin.
Bulut ortamında çok hassas uygulama geliştirmeyin.
Ön üretim sistemi üzerinde çalışan kullanıcılar için sıkı erişim kontrolleri ve etkinlik izleme.
“Tasarım gereği gizlilik” ve “tasarım gereği güvenlik” kavramlarını benimseyin.
Tüm proje yaşam döngüsü boyunca veri koruma ilkelerini uygulayın.
.
.
.
.
Not: Owasp dökümanından çevirilmiştir. Belge orjinali linkteki gibidir.