Keselamatan awan ialah aspek kritikal pengkomputeran awan, kerana ia melibatkan perlindungan data, aplikasi dan infrastruktur daripada pelbagai ancaman keselamatan. Berikut ialah beberapa pertimbangan dan amalan utama yang berkaitan dengan keselamatan dan pematuhan awan:
Perlindungan Data: 1. Klasifikasi Data: Klasifikasi data berdasarkan kepekaan dan kritikalnya untuk menentukan langkah keselamatan yang sesuai. 2. Penyulitan Data: Sulitkan data semasa rehat dan dalam transit menggunakan algoritma penyulitan yang kuat untuk memastikan kerahsiaannya. 3. Sandaran dan Pemulihan: Sentiasa sandarkan data dan uji proses pemulihan untuk memastikan ketersediaan data dan pemulihan sekiranya berlaku insiden. 4. Pencegahan Kehilangan Data (DLP): Laksanakan langkah DLP untuk mengelakkan penyusupan atau kebocoran data yang tidak dibenarkan.
Kawalan Akses: 1. Pengurusan Identiti dan Capaian (IAM): Laksanakan penyelesaian IAM untuk mengurus identiti pengguna, menguatkuasakan mekanisme pengesahan yang kukuh dan mengawal akses kepada sumber awan berdasarkan prinsip keistimewaan yang paling sedikit. 2. Multi-Factor Authentication (MFA): Memerlukan faktor pengesahan tambahan, seperti kod SMS atau pengesahan biometrik, untuk meningkatkan keselamatan akaun pengguna. 3. Kawalan Akses Berasaskan Peranan (RBAC): Berikan peranan dan kebenaran kepada pengguna berdasarkan tanggungjawab mereka dan hadkan akses kepada sumber sensitif dengan sewajarnya. 4. Pengurusan Akses Istimewa (PAM): Melaksanakan kawalan untuk mengurus dan memantau akaun istimewa dan aktivitinya.
Penyulitan: 1. Penyulitan Semasa Rehat: Sulitkan data yang disimpan dalam sistem storan awan untuk melindunginya daripada akses tanpa kebenaran sekiranya berlaku pelanggaran. 2. Penyulitan dalam Transit: Gunakan protokol komunikasi selamat (cth., TLS/SSL) untuk menyulitkan data semasa ia dihantar melalui rangkaian. 3. Pengurusan Utama: Laksanakan amalan pengurusan kunci selamat untuk melindungi kunci penyulitan yang digunakan untuk perlindungan data.
Pematuhan dengan Peraturan: 1. Peraturan Perlindungan Data Umum (GDPR): Pastikan pematuhan dengan keperluan GDPR dengan melaksanakan langkah yang sesuai untuk melindungi data peribadi, seperti penyulitan data, kawalan akses dan proses pemberitahuan pelanggaran data. 2. Akta Mudah Alih dan Akauntabiliti Insurans Kesihatan (HIPAA): Mematuhi peraturan HIPAA dengan melaksanakan langkah keselamatan untuk melindungi maklumat kesihatan yang dilindungi elektronik (ePHI), termasuk kawalan akses, jejak audit dan penyulitan. 3. Peraturan Khusus Industri: Bergantung pada industri, mungkin terdapat peraturan khusus (mis., PCI DSS untuk industri kad pembayaran) yang memerlukan pematuhan kepada piawaian keselamatan tertentu. Pastikan pematuhan dengan peraturan sedemikian semasa mengendalikan data sensitif.
Pemantauan Keselamatan dan Tindak Balas Insiden: 1. Pemantauan Keselamatan: Gunakan alat dan teknologi pemantauan keselamatan untuk mengesan dan bertindak balas terhadap insiden keselamatan dalam masa nyata. Ini termasuk analisis log, sistem pengesanan pencerobohan dan maklumat keselamatan dan penyelesaian pengurusan acara (SIEM). 2. Pelan Tindak Balas Insiden: Bangunkan pelan tindak balas insiden yang menggariskan langkah-langkah yang perlu diambil sekiranya berlaku insiden keselamatan, termasuk pengenalan, pembendungan, pembasmian dan pemulihan. 3. Penilaian Keselamatan Berkala: Jalankan penilaian keselamatan berkala, imbasan kerentanan dan ujian penembusan untuk mengenal pasti dan menangani potensi kelemahan keselamatan.
Keselamatan Penjual dan Ketekunan Wajar: 1. Penilaian Vendor: Menilai amalan keselamatan dan keupayaan pembekal perkhidmatan awan sebelum memilih pembekal. Pertimbangkan faktor seperti keselamatan pusat data, pensijilan, pematuhan dan prosedur tindak balas insiden. 2. Perjanjian Tahap Perkhidmatan (SLA): Wujudkan keperluan dan jangkaan keselamatan yang jelas dalam SLA dengan penyedia awan untuk memastikan ia memenuhi piawaian keselamatan yang diingini. 3. Audit Pihak Ketiga: Libatkan juruaudit bebas untuk menjalankan audit keselamatan dan penilaian penyedia awan untuk memastikan pematuhan mereka terhadap kawalan keselamatan.
Kesedaran dan Latihan Pekerja: 1. Program Kesedaran Keselamatan: Mendidik pekerja tentang amalan terbaik keselamatan awan, perlindungan data, ancaman kejuruteraan sosial dan tabiat pengkomputeran yang selamat. 2. Latihan dan Pensijilan: Menyediakan pekerja dengan latihan dan pensijilan yang berkaitan untuk meningkatkan pemahaman mereka tentang keperluan keselamatan dan pematuhan awan.
Adalah penting untuk ambil perhatian bahawa keselamatan dalam awan adalah tanggungjawab bersama antara pembekal awan dan pelanggan. Pembekal awan biasanya menawarkan pelbagai perkhidmatan dan ciri keselamatan, manakala pelanggan bertanggungjawab untuk melaksanakan langkah keselamatan yang sesuai dalam persekitaran awan mereka.