這8種方法讓你的雲環境無懈可擊 讓勒索軟體見鬼去吧！

雲計算的發展推動更快的協作和數據傳輸，同樣也讓網路罪犯快速傳播勒索軟體提供了便利條件，面對這種嚴峻形勢我們應該怎樣去做呢?別慌，學會這8步，讓你的雲環境不再懼怕勒索軟體!

保護雲計算層

Evident.io公司創始人兼首席執行官Tim Prendergast表示：「你可以做的最關鍵的事情就是保護雲計算層，這很容易自動化，對於初創公司和大型企業來說，這也容易實現。」

雲計算http://www.runtimeedu.com

保護雲計算層可確保系統和數據的可用性，並防止攻擊者利用你的計算能力來推動惡意軟體的傳播。在最開始，可通過向個人發送SSH密鑰來確保安全登錄。

分離數據存儲

Shpantzer建議了解正式和非正式資產所在位置—這是解決勒索軟體攻擊常見但重要的步驟。

他解釋說，很多開發人員在雲端啟用伺服器進行快速測試，但他們並沒有完全了解這樣做的安全及合規風險。有時候，他們會暴露生產資料庫的完整副本，除了勒索軟體和可用性問題外，這還會增加保密性問題。

Shpantzer稱：「了解你的資產情況，以及影子IT，並學習如何緩解這個問題。」

對於恢復，他建議使用便宜的雲存儲來抓取快照、文件、文件夾以及重新恢復操作所需的任何東西。這些信息可存儲在單獨受MFA保護的雲賬戶中。

「這是關於災難恢復，而不只是入侵事件—即有人複製個人身份信息但網路和數據都沒有受到影響。」

Reavis還建議分離數據存儲，特別是離線備份，以便在勒索攻擊時保持安全。

「我們都在使用實時雲備份，這非常好，」他說道，「但快速同步意味著所有副本都會受到影響，因此這並不能取代定期備份。」

網路分段

Pironti表示，企業應該利用這個機會來分段他們的網路，現在的架構可允許他們做。這可限制勒索軟體攻擊的傳播速度。

混合雲http://www.runtimeedu.com

「如果我處於非分段網路，我的整個網路將在本地暴露，」他解釋說，這可以Target數據泄漏事故為例。攻擊者只需要感染HVAC系統就可進行災難性攻擊。

在雲端，Pironti稱，安全團隊可利用架構讓他們在關鍵活動之間建立「聯繫」，當出現問題時，它們可得到保護。

身份管理

Prendergast認為身份管理是僅次於保護雲計算層的第二個關鍵步驟。

雲計算http://www.runtimeedu.com

「如果沒有強大的身份管理，你就無法了解誰正在關鍵安全層外做什麼。身份管理可幫助你作出更明智的業務決策。」

身份管理變得越來越重要，因為越來越多的人利用雲計算從各個地方工作。這種分散勞動力給監控活動以及尋找異常活動的帶來巨大變化。

數據訪問管理

除了執行複雜、安全的密碼和多因素身份驗證，企業還應限制員工對敏感信息的訪問。人們應該只能訪問其工作需要的賬戶和系統，這可限制攻擊者利用賬戶可執行的攻擊。

雲計算http://www.runtimeedu.com

身份和訪問管理(IAM)政策和訪問控制列表可幫助管理和控制對雲存儲的訪問許可權。Bucket政策可根據賬戶、用戶或者IP地址及日期等允許或拒絕訪問許可權。

Pironti還強調監控用戶活動及賬戶許可權的重要性。勒索軟體攻擊者目標是獲得目標賬戶更高級別單獨許可權，如果他們獲得訪問許可權，他們可創建不應該存在的賬戶。

保護特權賬戶的挑戰可能不僅僅是安全專家與管理層之間鬥爭的挑戰。他表示：「我可能無法覆蓋數千個用戶賬戶，但我可覆蓋200個管理賬戶。」

使用跳轉主機

跳轉主機位於不同的安全區域，提供訪問系統中其他伺服器或主機的唯一方法。Prendergast稱：「從管理層面來看，這是入站訪問的一站式方法。這種方法已經出現一段時間，但還沒有被廣泛部署。」

雲安全http://www.runtimeedu.com

該主機是進入企業的單一管理入口點，它配置有標準DNS名稱和IP地址，只允許企業IP登錄才能進行更廣泛地訪問環境。

由於跳轉主機是單個入口點，這可簡化保護該伺服器以及維護嚴格訪問控制的過程。

這可將攻擊面減小到非常小的接入點，保護一台伺服器要比保護數千台更容易，特別是面對新興攻擊。

基於雲的安全即服務

最重要的考慮因素之一是意識到現在越來越難知道哪些端點容易受到勒索軟體的攻擊，更別提嘗試安裝安全軟體來保護它們。

企業雲http://www.runtimeedu.com

Reavis建議企業部署基於雲的安全即服務解決方案，共享共同的威脅情報庫以及阻止勒索軟體下載。雖然他沒有提及具體解決方案，但他表示需要Secure Web Gateway和CASB類型的功能。

設置管理程序防火牆規則

在管理程序級別管理防火牆讓安全領導者可設置規則，誰可發送、接收以及訪問入站及出站數據，哪些數據可被發送以及程度。

Linux運維http://www.runtimeedu.com

很多安全專業人員對設置出站規則感到猶豫，但這很重要，因為勒索軟體威脅著知識產權。如果你可在防火牆編寫實時監控和執行操作，可更好地在整個環境保持一致性。

Pironti稱，領導者應該進行入站和出站過濾，監控命令控制活動，只有可離開環境的數據才能離開環境。