设备安全指南—内置云服务
2021-10-26
来源:祺印说信安
在智能手机、平板电脑、笔记本电脑和台式电脑上安全使用内置云服务。
大多数现代设备和浏览器都能够使用内置云服务 跨设备同步用户数据和设置。微软、苹果和谷歌都提供了以这种方式同步数据的能力。
本文将帮助使用设备的任何人评估这些服务和功能的好处,以及它们可能带来的安全风险。
对于组织,我们讨论了防止数据通过这些服务泄露到外部世界所需的额外安全控制。
为什么要保护内置云服务?
内置云服务通常允许跨设备同步用户数据和设置,还可以通过在线界面进行访问。它们还提供一些远程设备管理功能,包括在设备丢失或被盗时远程锁定或远程擦除。
对于个人而言,内置云服务可以提供安全优势。例如,Edge、Chrome和Safari等浏览器包含可“开箱即用”的内置密码管理器。结合云服务,这些允许跨设备同步密码,以帮助个人应对帐户密码管理的挑战。此外,如果设备丢失或被盗,设备所有者远程锁定或擦除设备的能力可以防止未经授权访问设备及其数据。
组织可能希望限制或控制这些服务的使用,以防止将公司数据同步到个人帐户。对于拥有和发行设备的组织,使用移动设备管理应用技术控制可以限制或阻止使用内置云服务。
如果对设备使用自带设备 (BYOD)策略,则限制对这些服务的访问会更加复杂。在这些情况下,很可能可以在同一设备上访问工作和个人帐户和数据。这为组织保持工作和个人资料、帐户、应用程序和数据之间的分离提出了更大的挑战。
为安全使用内置云服务做准备
在设备上使用内置云服务时,下面列出的许多注意事项与个人和组织同样相关。但是,选择可能会有所不同。
对于组织而言,还有一些重要的额外考虑因素。在此处的选择将取决于业务需求、数据的隔离和分离以及设备的所有权模型。
我们在下面列出了一些问题,可以帮助评估是否允许使用内置云服务。
对于个人
设备内置了哪些云服务?
如何设置和配置基于云的服务和帐户?
有哪些数据同步和备份服务?
哪些设备设置可用于配置内置云服务?
在哪里以及如何访问数据?
如何防止未经授权访问我存储在云中的数据备份?
如果设备上存储的数据丢失或被盗,我如何保护对它的访问?
对于组织:
用户是否需要访问设备上的内置云服务?
组织内使用的设备内置了哪些云服务?
设备上的哪些附加功能可能会因登录内置云服务(例如查找我的设备)而启用。结果会产生什么风险?
哪些设备设置可用于配置内置云服务?
哪些设备设置可用于隔离工作和个人数据,以防止数据泄露到组织外部?
可以使用移动设备管理控制和强制执行哪些内置云服务和数据隔离策略的设备设置?
如果使用 BYOD 策略部署设备,个人数据和企业数据很可能会存储在同一设备上,用户需要访问内置云服务供个人使用。这提出了一个特别复杂的挑战。可以在我们的自带设备页面上找到更多指导。
如何安全地使用内置云服务
对于个人:
选择在设备上启用或禁用哪些服务以进行云备份和同步。
为用于登录内置云服务和注册新设备的账户设置并启用多重身份验证。
内置密码管理器通常支持跨受信任设备同步密码,更轻松地安全使用密码。
启用远程管理功能,允许在设备丢失或被盗时远程锁定和擦除设备。
对于组织:
确定在设备上使用内置云服务的组织策略。
如果部署企业拥有和管理的设备,请尽可能使用移动设备管理来禁用使用个人账户的内置云服务,将降低数据泄露到企业之外的风险。
一些制造商允许企业创建可由拥有组织管理的账户。例如,Apple Managed ID和Google Managed Accounts可用于帮助更有效地管理风险。
如果要求员工在同一设备上访问个人和工作数据,则在可能的情况下应用技术控制来提供工作和个人资料的分离,最好使用移动设备管理来控制、监控和强制执行这种分离。
更多信息
对于个人
我们在下面提供了有关当今最流行的设备(包括Windows 10、iOS、macOS、Android和Chrome 操作系统)的内置服务的详细信息的链接。
对于组织
在设备需要访问工作和个人数据的场景中,用户(至少对于个人账户)很可能需要访问使用内置云服务的权限。大多数设备制造商提供了隔离工作和个人数据的机制,可以使用 MDM 进行管理。
我们在下面提供了一些链接,详细了解Windows 10、iOS和Android提供的控件。
请务必注意,如果设备上存在恶意软件,则可以绕过这些技术控制。可以在自带设备指南中找到更广泛的信息。