व्यावसायिक सुरक्षा
इन गलतियों और अंधे धब्बों को दूर करके, आपका संगठन खुद को साइबर जोखिम में डाले बिना क्लाउड के उपयोग को अनुकूलित करने की दिशा में बड़े पैमाने पर कदम उठा सकता है।
जनवरी 16 2024
•
,
5 मिनट। पढ़ना
क्लाउड कंप्यूटिंग आज के डिजिटल परिदृश्य का एक अनिवार्य घटक है। आईटी अवसंरचना, प्लेटफ़ॉर्म और सॉफ़्टवेयर को पारंपरिक ऑन-प्रिमाइसेस कॉन्फ़िगरेशन की तुलना में आज एक सेवा (इसलिए क्रमशः IaaS, PaaS और SaaS) के रूप में वितरित किए जाने की अधिक संभावना है। और यह अधिकांश से अधिक छोटे और मध्यम आकार के व्यवसायों (एसएमबी) को आकर्षित करता है।
क्लाउड बड़े प्रतिद्वंद्वियों के साथ समान स्तर पर प्रतिस्पर्धा करने का अवसर प्रदान करता है, जिससे बैंक को तोड़े बिना अधिक व्यावसायिक चपलता और तेजी से पैमाने को सक्षम किया जा सकता है। शायद इसीलिए 53% वैश्विक एसएमबी ने सर्वेक्षण किया हाल ही की रिपोर्ट मान लें कि वे क्लाउड पर सालाना $1.2 मिलियन से अधिक खर्च कर रहे हैं; पिछले वर्ष 38% से अधिक।
फिर भी डिजिटल परिवर्तन के साथ जोखिम भी आता है। सुरक्षा (72%) और अनुपालन (71%) उन एसएमबी उत्तरदाताओं के लिए दूसरी और तीसरी सबसे आम तौर पर उद्धृत शीर्ष क्लाउड चुनौतियां हैं। इन चुनौतियों से निपटने के लिए पहला कदम उन मुख्य गलतियों को समझना है जो छोटे व्यवसाय अपने क्लाउड परिनियोजन के दौरान करते हैं।
शीर्ष सात क्लाउड सुरक्षा गलतियाँ जो एसएमबी करते हैं
आइए स्पष्ट करें, निम्नलिखित केवल गलतियाँ नहीं हैं जो एसएमबी क्लाउड में करते हैं। यहां तक कि सबसे बड़े और सबसे अच्छे साधन संपन्न उद्यम भी कभी-कभी बुनियादी बातें भूलने के दोषी होते हैं। लेकिन इन ब्लाइंड स्पॉट को खत्म करके, आपका संगठन संभावित रूप से गंभीर वित्तीय या प्रतिष्ठित जोखिम को उजागर किए बिना, क्लाउड के उपयोग को अनुकूलित करने की दिशा में बड़े पैमाने पर कदम उठा सकता है।
1. कोई बहु-कारक प्रमाणीकरण (एमएफए) नहीं
स्टेटिक पासवर्ड स्वाभाविक रूप से असुरक्षित होते हैं और हर व्यवसाय इसका पालन नहीं करता है ध्वनि पासवर्ड निर्माण नीति. पासवर्ड हो सकते हैं विभिन्न तरीकों से चोरी की गई, जैसे कि फ़िशिंग, क्रूर-बल विधियों या बस अनुमान के माध्यम से। इसीलिए आपको शीर्ष एमएफए पर प्रमाणीकरण की एक अतिरिक्त परत जोड़ने की आवश्यकता है, जिससे हमलावरों के लिए आपके उपयोगकर्ताओं के SaaS, IaaS या PaaS खातों के ऐप्स तक पहुंचना बहुत कठिन हो जाएगा, इस प्रकार रैंसमवेयर, डेटा चोरी और अन्य संभावित परिणामों का जोखिम कम हो जाएगा। एक अन्य विकल्प में, जहां संभव हो, प्रमाणीकरण के वैकल्पिक तरीकों पर स्विच करना शामिल है पासवर्ड रहित प्रमाणीकरण.
2. क्लाउड प्रदाता (सीएसपी) पर बहुत अधिक भरोसा करना
कई आईटी नेताओं का मानना है कि क्लाउड में निवेश करने का मतलब प्रभावी रूप से किसी विश्वसनीय तीसरे पक्ष को सब कुछ आउटसोर्स करना है। यह केवल आंशिक रूप से सच है। वास्तव में, वहाँ एक है साझा जिम्मेदारी मॉडल क्लाउड को सुरक्षित करने के लिए सीएसपी और ग्राहक के बीच विभाजन। आपको किस चीज़ का ध्यान रखना होगा यह क्लाउड सेवा के प्रकार (SaaS, IaaS या PaaS) और CSP पर निर्भर करेगा। यहां तक कि जब अधिकांश जिम्मेदारी प्रदाता की होती है (उदाहरण के लिए, SaaS में), तो उसे अतिरिक्त तृतीय-पक्ष नियंत्रणों में निवेश करने के लिए भुगतान करना पड़ सकता है।
3. बैकअप लेने में विफल
उपरोक्त के अनुसार, यह कभी न मानें कि आपका क्लाउड प्रदाता (उदाहरण के लिए, फ़ाइल-शेयरिंग/स्टोरेज सेवाओं के लिए) आपका समर्थन करता है। सबसे खराब स्थिति के लिए योजना बनाना हमेशा लाभदायक होता है, जिसमें सिस्टम विफलता या साइबर हमला होने की सबसे अधिक संभावना होती है। यह न केवल खोया हुआ डेटा है जो आपके संगठन को प्रभावित करेगा, बल्कि किसी घटना के बाद डाउनटाइम और उत्पादकता पर भी असर डाल सकता है।
4. नियमित रूप से पैच करने में असफल होना
पैच करने में विफल और आप अपने क्लाउड सिस्टम को भेद्यता शोषण के लिए उजागर कर रहे हैं। इसके परिणामस्वरूप मैलवेयर संक्रमण, डेटा उल्लंघन और बहुत कुछ हो सकता है। पैच प्रबंधन एक मुख्य सुरक्षा सर्वोत्तम अभ्यास है जो क्लाउड में उतना ही प्रासंगिक है जितना ऑन-प्रिमाइसेस में।
5. बादल गलत विन्यास
सीएसपी एक नवोन्मेषी समूह है। लेकिन ग्राहकों की प्रतिक्रिया के जवाब में उनके द्वारा लॉन्च की गई नई सुविधाओं और क्षमताओं की विशाल मात्रा कई एसएमबी के लिए अविश्वसनीय रूप से जटिल क्लाउड वातावरण बना सकती है। इससे यह जानना बहुत कठिन हो जाता है कि कौन सा कॉन्फ़िगरेशन सबसे सुरक्षित है। सामान्य गलतियों में शामिल हैं क्लाउड स्टोरेज को कॉन्फ़िगर करना इसलिए कोई भी तृतीय-पक्ष इसे एक्सेस कर सकता है, और खुले पोर्ट को ब्लॉक करने में विफल रहता है।
6. क्लाउड ट्रैफ़िक की निगरानी नहीं करना
एक आम धारणा यह है कि आज यह "अगर" का मामला नहीं है, बल्कि "कब" का मामला है कि आपके क्लाउड (IaaS/PaaS) वातावरण का उल्लंघन होता है। यदि आप किसी हमले को संगठन पर प्रभाव डालने का मौका मिलने से पहले रोकने के लिए, संकेतों को जल्दी से पहचानना चाहते हैं तो तेजी से पता लगाना और प्रतिक्रिया करना महत्वपूर्ण हो जाता है। इससे निरंतर निगरानी आवश्यक हो जाती है।
7. कॉर्पोरेट क्राउन ज्वेल्स को एन्क्रिप्ट करने में विफल होना
कोई भी पर्यावरण 100% उल्लंघन-रोधी नहीं है। तो क्या होगा यदि कोई दुर्भावनापूर्ण पार्टी आपके सबसे संवेदनशील आंतरिक डेटा या उच्च विनियमित कर्मचारी/ग्राहक की व्यक्तिगत जानकारी तक पहुंचने में सफल हो जाती है? आराम और पारगमन के दौरान इसे एन्क्रिप्ट करके, आप यह सुनिश्चित करेंगे कि इसका उपयोग नहीं किया जा सकता है, भले ही इसे प्राप्त कर लिया गया हो।
क्लाउड सुरक्षा सही हो रही है
इन क्लाउड सुरक्षा जोखिमों से निपटने के लिए पहला कदम यह समझना है कि आपकी जिम्मेदारियाँ कहाँ हैं, और सीएसपी द्वारा किन क्षेत्रों को संभाला जाएगा। फिर यह निर्णय लेने के बारे में है कि क्या आप सीएसपी के क्लाउड देशी सुरक्षा नियंत्रणों पर भरोसा करते हैं या अतिरिक्त तृतीय-पक्ष उत्पादों के साथ उन्हें बढ़ाना चाहते हैं। निम्न पर विचार करें:
- में निवेश तृतीय-पक्ष सुरक्षा समाधान दुनिया के अग्रणी क्लाउड प्रदाताओं द्वारा प्रदान की जाने वाली क्लाउड सेवाओं में निर्मित सुरक्षा सुविधाओं के शीर्ष पर आपके ईमेल, स्टोरेज और सहयोग अनुप्रयोगों के लिए आपकी क्लाउड सुरक्षा और सुरक्षा को बढ़ाने के लिए
- त्वरित घटना प्रतिक्रिया और उल्लंघन रोकथाम/उपचार के लिए विस्तारित या प्रबंधित पहचान और प्रतिक्रिया (एक्सडीआर/एमडीआर) उपकरण जोड़ें
- मजबूत परिसंपत्ति प्रबंधन पर निर्मित एक निरंतर जोखिम-आधारित पैचिंग प्रोग्राम विकसित और तैनात करें (यानी, जानें कि आपके पास कौन सी क्लाउड संपत्तियां हैं और फिर सुनिश्चित करें कि वे हमेशा अद्यतित रहें)
- यह सुनिश्चित करने के लिए कि डेटा को आराम से (डेटाबेस स्तर पर) और पारगमन में एन्क्रिप्ट किया जाए, भले ही बुरे लोगों ने इसे पकड़ लिया हो। इसके लिए प्रभावी और निरंतर डेटा खोज और वर्गीकरण की भी आवश्यकता होगी
- एक स्पष्ट अभिगम नियंत्रण नीति परिभाषित करें; विशिष्ट आईपी के लिए मजबूत पासवर्ड, एमएफए, न्यूनतम विशेषाधिकार सिद्धांत और आईपी-आधारित प्रतिबंध/अनुमति-सूची को अनिवार्य करना
- ए अपनाने पर विचार करें जीरो ट्रस्ट अप्रोच, जिसमें नेटवर्क विभाजन और अन्य नियंत्रणों के साथ-साथ उपरोक्त कई तत्व (एमएफए, एक्सडीआर, एन्क्रिप्शन) शामिल होंगे
उपरोक्त उपायों में से कई वही सर्वोत्तम प्रथाएं हैं जिन्हें कोई भी परिसर में लागू करने की अपेक्षा कर सकता है। और वे उच्च स्तर पर हैं, हालाँकि विवरण भिन्न होंगे। सबसे महत्वपूर्ण बात यह याद रखें कि क्लाउड सुरक्षा केवल प्रदाता की जिम्मेदारी नहीं है। साइबर जोखिम को बेहतर ढंग से प्रबंधित करने के लिए आज ही नियंत्रण रखें।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.welivesecurity.com/en/business-security/7-deadly-cloud-security-sins-smb/
