怎樣應用現代云計算安全的優(yōu)秀實(shí)踐？

　　如今，很多企業(yè)仍然擔心云計算的安全性，因為在遷移業(yè)務(wù)時(shí)可能會(huì )使其數據面臨風(fēng)險。因此需要探索有助于加強云計算環(huán)境安全的現代方法、技術(shù)、工具。

　　而云計算對于組織是否更安全，也存在不一致的觀(guān)點(diǎn)。云計算安全性與傳統內部部署數據中心的安全性之間的最大區別在于共享責任模型。AWS、微軟、谷歌等主要云計算提供商已經(jīng)投入大量資金來(lái)應對新出現的安全威脅。它們還提供廣泛的身份和訪(fǎng)問(wèn)管理(IAM)基礎設施，但企業(yè)仍然需要盡其所能保障其安全。
 

 

　　安全軟件提供商XYPRO Technology公司首席產(chǎn)品官Steve Tcherchian表示，“企業(yè)將其應用程序遷移到云端，并不意味著(zhù)可以將網(wǎng)絡(luò )安全責任轉移到云計算提供商身上”。

　　企業(yè)需要將相同的策略、控制和監控部署到任何云計算基礎設施，以確保一切都得到適當的保護。然而，企業(yè)仍有責任確保云安全優(yōu)秀實(shí)踐，否則它將與沒(méi)有采用保護措施的本地環(huán)境一樣不安全。

　　IT Harvest公司首席研究分析師、《安全云轉型：首席信息官之旅》一書(shū)的作者Richard Stiennon說(shuō)，“云計算提供商在某些領(lǐng)域本質(zhì)上更安全。”這其中包括分布式拒絕服務(wù)(DDoS)攻擊、更簡(jiǎn)單的配置管理、SaaS服務(wù)的自動(dòng)安全更新，以及整合的安全日志記錄和訪(fǎng)問(wèn)管理。

　　例如，對托管在云計算網(wǎng)絡(luò )上的服務(wù)器進(jìn)行DDoS攻擊要困難得多，因為云計算網(wǎng)絡(luò )通常擁有數百千兆位的容量，并且不容易被泛濫的數據淹沒(méi)。云計算配置也比內部部署配置更加標準化，這也是一種簡(jiǎn)化，使保護它們更容易。Stiennon相信使用新的安全方法(比如零信任網(wǎng)絡(luò ))可以應對對于云計算的機會(huì )性攻擊。

　　安全性仍然是云計算應用的首要考慮因素?？偟膩?lái)說(shuō)，Stiennon認為對于云計算攻擊的危害比本地攻擊要小得多。在云端，其攻擊通常僅限于一個(gè)配置錯誤的服務(wù)，而最近的勒索軟件攻擊證明，本地攻擊可以影響整個(gè)基礎設施。迄今為止報告的大多數云計算漏洞都是錯誤配置的S3存儲桶，而這些存儲桶通常是由研究人員而不是攻擊者發(fā)現的。Stienon說(shuō)，利用云計算提供商的后端可能會(huì )泄露數十億條記錄，這證明了分層防御的重要性。

　　Stiennon發(fā)現的較大的安全問(wèn)題是由于企業(yè)沒(méi)有利用云計算提供商的配置、日志記錄和安全工具。另一個(gè)挑戰來(lái)自于通過(guò)托管云中的部分基礎設施來(lái)實(shí)現安全性，同時(shí)維護舊數據中心中的關(guān)鍵組件，例如DNS、加密密鑰和Active Directory。

　　實(shí)踐中降低云計算安全性

　　盡管公共云具有安全優(yōu)勢，但最近的證據表明，實(shí)際上，云計算的安全性稍差。安全供應商Riskrecon公司的一份報告發(fā)現，60%的組織在其云計算服務(wù)中的嚴重漏洞比在其內部部署系統還要多。

　　XYPRO Technology公司首席產(chǎn)品官Steve Tcherchian表示，網(wǎng)絡(luò )攻擊是一種機會(huì )犯罪，因此無(wú)論應用程序位于何處，都可能受到攻擊。

　　但是，其漏洞并不是均勻分布的。據該報告稱(chēng)，在A(yíng)WS和Microsoft Azure上運行工作負載的企業(yè)在云中的關(guān)鍵漏洞明顯少于本地漏洞。

　　Tcherchian表示，主要的云計算提供商還有很多工作要做，以幫助客戶(hù)在云中構建全面的安全性，例如教育用戶(hù)和創(chuàng )建自動(dòng)化測試工具。他們還必須平衡安全顧慮和使他們的服務(wù)更加強大和靈活的需求。盡管如此，網(wǎng)絡(luò )攻擊是一種機會(huì )主義犯罪，因此無(wú)論企業(yè)的應用程序位于何處，都可能受到攻擊。
 

 

　　獲得可視性

　　企業(yè)需要一種方法來(lái)了解其環(huán)境以確保其安全。云計算可以降低企業(yè)實(shí)施高端工具的障礙，如安全儀表板和趨勢分析。ServerCentral Turing Group首席信息安全官Thomas Johnson表示，有許多系統可以為內部企業(yè)系統提供可視性，但基于云計算的產(chǎn)品的集成性使這更容易，也相對便宜。

　　內部部署系統和基礎設施不具備基于云計算系統的靈活性。例如，企業(yè)可以啟動(dòng)AWS Shield Advanced等技術(shù)，以便在幾分鐘內更好地了解攻擊。相比之下，推出新的本地解決方案可以包括新硬件，或者至少可以增加額外的虛擬機以支持新產(chǎn)。

　　構建身份訪(fǎng)問(wèn)與管理(IAM)

　　內容協(xié)作平臺Egnyte公司聯(lián)合創(chuàng )始人、運營(yíng)副總裁兼首席安全官Kris Lahiri說(shuō)，主要的云計算提供商突出了身份訪(fǎng)問(wèn)與管理(IAM)、治理以及其他安全工具和教程，以幫助客戶(hù)將他們的旅程映射到云端。他說(shuō)，“許多這些優(yōu)秀實(shí)踐，如管理加密密鑰或連續掃描云計算資源，以前都難以實(shí)現。”

　　這一點(diǎn)尤為重要，因為云計算需要基于身份訪(fǎng)問(wèn)與管理(IAM)的新安全范例來(lái)替換內部的外圍安全工具，例如防火墻和VPN。隨著(zhù)企業(yè)將業(yè)務(wù)遷移到云端，他們必須通過(guò)身份訪(fǎng)問(wèn)與管理(IAM)規則制定核心組織策略，以便創(chuàng )建更好的整體安全狀況。

　　進(jìn)行小型審計

　　當應用程序和數據移動(dòng)到云端以識別任何潛在的安全漏洞時(shí)，評估它們的生命周期是很重要的。數字轉型咨詢(xún)機構Step5公司的合伙人David McPherson說(shuō)，企業(yè)應該進(jìn)行一次小型審計，以充分了解與云計算相關(guān)流程相關(guān)的安全性。需要了解的重要信息包括：

　　數據位置：了解數據的托管位置、使用的服務(wù)以及對該數據負責的人員。 添加服務(wù)：確定誰(shuí)正在添加和擴展服務(wù)。此外，找出誰(shuí)可以添加服務(wù)，并檢查添加的條款。 離開(kāi)條款：查看離開(kāi)服務(wù)條款，了解當企業(yè)決定退出云端時(shí)會(huì )發(fā)生什么。 減少人為錯誤的影響

　　人工智能相機平臺Umbo Computer Vision公司基礎設施負責人Chun Cheng Liu表示，人工錯誤是導致云計算安全性降低的最大風(fēng)險。在業(yè)務(wù)方面，這意味著(zhù)確保企業(yè)員工了解新的安全程序，并接受必要的安全培訓，無(wú)論員工在企業(yè)中的角色如何，這降低了導致安全漏洞錯誤的可能性。

　　例如，Umbo公司創(chuàng )建了一個(gè)安全門(mén)戶(hù)，可以在員工入職時(shí)對其進(jìn)行安全策略和實(shí)踐培訓。Chun Cheng Liu說(shuō)，“每個(gè)成員都會(huì )在入職之后進(jìn)行安全培訓，以便在事情發(fā)生變化時(shí)可以有效應對。”

　　Johnson表示，錯誤配置的Amazon S3存儲桶等問(wèn)題往往是缺乏產(chǎn)品知識的一個(gè)功能。對于個(gè)人而言，在安全性方面本質(zhì)上很難了解各種云計算提供商的所有細微差別。與具有目標平臺知識的專(zhuān)家合作是明智的，尤其是在云遷移的初期。