根據調研機構Gartner公司的調查,在云端發生的所有數據泄漏中,80%是由于IT部門的錯誤配置、賬戶管理和其他錯誤造成的,而不是來自云計算提供商云平臺的漏洞。因此,IT企業必須關注其內部業務流程和人員培訓,以加強整體安全。
另一項研究表明,64%的企業認為云計算基礎設施比傳統數據中心更安全。在采用云計算的企業中,75%的企業在云計算提供商提供的保護措施之外采取了額外的保護措施。而對于這些額外的安全措施,61%的企業采用數據加密,52%的企業采用更嚴格的訪問策略,48%的企業采用頻繁的系統審計。
網絡攻擊者并不關心數據是位于虛擬機還是物理機上,他們的目標是采用任何方式獲取訪問權限。因此,為了保護云中的數據,企業希望可以使用數據中心具有的相同工具。安全專家確定了保證云計算安全的三個主要措施:數據加密、有限的數據訪問、發生攻擊時的數據恢復(如勒索軟件)。
另外,專家建議仔細研究API。因為開放和不受保護的接口可能成為數據保護方面的薄弱環節,也是云計算平臺的一個主要漏洞。
分析和機器學習
為了解決許多安全問題,企業可以使用人工智能(AI)技術。人工智能框架和機器學習有助于自動化數據保護,并簡化日常任務的執行。人工智能在公共云和私有云基礎架構中提供服務,以加強其安全性。
這種方法的一個例子是開源項目MineMeld,它對來自外部來源的威脅數據制定安全策略和動態調整配置。它可能在某些情況下解決所有特定公司的需求。另一個例子是Gurucul云分析平臺,該平臺使用行為分析和機器學習來檢測外部和內部威脅。
加密數據
企業沒有必要加密所有的數據。為了確保安全,企業需要一個詳細的策略。首先,確定自己的哪些數據需要位于云端,以及流量的位置。只有這樣,才能決定哪些信息值得加密。
在加強安全措施之前,企業評估其可行性。應評估引入新措施的成本,并將其與數據泄露造成的潛在損失相比較。另外,企業還應該分析加密、訪問控制、用戶身份驗證對系統性能的影響。
數據保護可以在多個層面上實施。例如,用戶發送到云端的所有數據都可以使用AES算法進行加密,該算法提供了匿名性和安全性。下一級保護是云計算存儲服務器中的數據加密。云計算提供商通常將數據存儲在多個數據中心中,通過冗余來幫助保護客戶信息。
基礎設施監控
在遷移到云端時,許多客戶需要實施新的安全策略。例如,他們必須更改其防火墻和虛擬網絡的設置。根據調研機構Sans公司進行的一項研究,數據中心用戶擔心未經授權的訪問(68%)、應用漏洞(64%)、惡意軟件感染(61%)、社交工程和不合規(59%??)以及內部威脅53%)。
與此同時,攻擊者幾乎總能找到破解系統的方法。因此,企業的主要任務是防止攻擊傳播到網絡的其他部分。如果安全系統阻止工作負載之間的未授權交互,并防止非法連接請求,則可以這樣實施。
還有許多產品可以監控數據中心的基礎設施。例如,思科公司為IT經理提供了網絡活動的完整圖景,使他們不僅可以查看誰連接到網絡,還可以設置用戶規則,并管理人們的應做事項,以及他們擁有哪些訪問權限。
采用自動化工具
另一種可以提高數據中心可靠性的方法是將安全系統與DevOps的實踐相結合。這樣做可以讓企業加快部署新的應用程序,并更快地引入更改。適應性安全體系結構應與管理工具集成在一起,使安全設置更改成為持續部署過程的一部分。
在云計算基礎設施中,安全性成為持續集成和持續部署的組成部分。它可以通過諸如Jenkins插件之類的工具提供,這些工具使代碼和安全性測試成為質量保證不可缺少的階段。用于安全測試和監控的其他DevOps工具包括靜態分析(SAST)和動態分析(DAST)解決方案。靜態分析(SAST)可以分析處于靜態狀態的應用程序的源代碼,并識別其安全漏洞。動態分析(DAST)在應用程序運行時檢測潛在的安全漏洞。
在以往,一個單獨的團隊將處理產品安全問題。但是這種方法增加了在產品上工作的時間,并不能消除所有的漏洞。如今,安全整合可以在多個方向進行,甚至使用單獨的術語:DevOpsSec,DevSecOps和SecDevOps。這些術語之間有區別。人們應該考慮產品開發所有階段的安全性,其包括云計算基礎設施。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號