云計(jì)算安全是技術(shù)專業(yè)人士十分關(guān)注的問題。有些人認(rèn)為云計(jì)算本身是安全的,甚至比數(shù)據(jù)中心還要安全;其他人認(rèn)為云計(jì)算本身并不安全,因此不要將它們用于關(guān)鍵任務(wù)的工作負(fù)載。
事實(shí)上,云計(jì)算環(huán)境是否比數(shù)據(jù)中心更安全,具體取決于它們的實(shí)施方式。認(rèn)真對待云計(jì)算安全的組織應(yīng)該努力了解云計(jì)算公司提供的詳細(xì)信息,因?yàn)檫@對完善云計(jì)算安全管理是必要的。
底線:對于組織來說,云計(jì)算安全應(yīng)該是最重要的事項(xiàng),因?yàn)樗麄兊钠髽I(yè)聲譽(yù)、運(yùn)營業(yè)務(wù)和財(cái)務(wù)安全都依賴于云計(jì)算安全。
什么是云計(jì)算安全?
簡而言之,云計(jì)算安全包括兩個(gè)主要因素:
•云計(jì)算安全性是一組公司創(chuàng)建的指南,用于阻止任何可能的數(shù)據(jù)丟失、泄露或不可用的形式。
•云計(jì)算安全性也是一種專用的附加云計(jì)算服務(wù),可確保云計(jì)算環(huán)境及其中存儲(chǔ)的數(shù)據(jù)安全。
云計(jì)算本身安全嗎?
如果云計(jì)算提供商和安全廠商無法很好地保護(hù)其客戶的數(shù)據(jù),那么這些公司的經(jīng)營和發(fā)展很難長久。但是,組織必須自己決定他們需要哪些安全功能,因?yàn)檫@可能不是一個(gè)萬能的主張。例如,基本的云計(jì)算服務(wù)往往包括基本安全功能。但是,企業(yè)需要企業(yè)級安全選項(xiàng)。
組織將業(yè)務(wù)遷移到云端時(shí),安全和IT專業(yè)人員需要明智地了解他們公司的風(fēng)險(xiǎn)偏好和安全狀況,因此他們知道哪些基于云計(jì)算的控制是必要的。例如:
•可能需要遵守的法規(guī)。如果是這樣,組織將需要合規(guī)性控制。
•所需數(shù)據(jù)安全性的有效性應(yīng)該是可驗(yàn)證的。
•基于云計(jì)算的控制至少應(yīng)該與內(nèi)部部署控制一樣強(qiáng)大。
•云計(jì)算提供商應(yīng)具備物理安全性,以確保不法分子無法訪問其設(shè)備。
為了讓客戶放心,云計(jì)算提供商提供IT和安全專業(yè)人員可以使用的管理控制臺(tái),以確保:
•他們的數(shù)據(jù)和托管數(shù)據(jù)的云計(jì)算環(huán)境是安全的。
•他們對當(dāng)前的安全狀況有最新的了解。
•他們及時(shí)收到有關(guān)情況和值得注意的事件的通知。
•他們可以確定問題的根本原因并加以糾正。
鑒于數(shù)據(jù)量的快速增長,技術(shù)創(chuàng)新的加速發(fā)展以及不斷出現(xiàn)的黑帽策略,依靠云計(jì)算的安全性是一個(gè)合理的選擇。這是因?yàn)椋绻芾淼卯?dāng),它可以提供比內(nèi)部部署數(shù)據(jù)中心更大的彈性和安全性。但要實(shí)現(xiàn)這一點(diǎn),云計(jì)算安全管理和安全管理應(yīng)該協(xié)調(diào)一致。
雖然云計(jì)算安全性很復(fù)雜,但以上三個(gè)準(zhǔn)則提供了一個(gè)堅(jiān)實(shí)的起點(diǎn)。
云計(jì)算中的安全問題
如上所述,云計(jì)算可能比本地?cái)?shù)據(jù)中心更安全,但本質(zhì)上并不一定如此。其差異取決于企業(yè)自身的安全實(shí)踐。例如,完全有可能以導(dǎo)致安全漏洞的方式錯(cuò)誤配置云中的虛擬資產(chǎn),即使該公司訂閱了云安全選項(xiàng)。這就是IT和安全團(tuán)隊(duì)?wèi)?yīng)該對云計(jì)算挑戰(zhàn)有深刻理解的原因。
與傳統(tǒng)網(wǎng)絡(luò)環(huán)境不同,傳統(tǒng)網(wǎng)絡(luò)環(huán)境試圖使用防火墻等外圍防御來保護(hù)公司,云計(jì)算環(huán)境本質(zhì)上與第三方環(huán)境相連,第三方環(huán)境可能包括受損的應(yīng)用程序編程接口(API)和未正確設(shè)置和管理的訪問控制。
此外,不同類型的云計(jì)算環(huán)境也代表著獨(dú)特的挑戰(zhàn)。例如:
私有云
私有云通常駐留在數(shù)據(jù)中心內(nèi),因此企業(yè)擁有并管理所有硬件和軟件。數(shù)據(jù)中心安全性中已存在的安全實(shí)踐中的弱點(diǎn)都可能轉(zhuǎn)移到私有云。管理員必須了解云計(jì)算和內(nèi)部部署軟件之間的區(qū)別:內(nèi)部部署軟件是企業(yè)自己管理的,而云計(jì)算軟件則由其他公司管理。然而,任何人都不能忘記它,兩者都必須得到管理。
公共云
公共云具有多租戶架構(gòu),這意味著企業(yè)可以與其他人共享計(jì)算或存儲(chǔ)資源。當(dāng)然,云計(jì)算提供商已設(shè)置虛擬障礙,將企業(yè)的云計(jì)算環(huán)境與其他客戶的環(huán)境分開。仍然可能存在數(shù)據(jù)損壞的情況。
此外,云計(jì)算提供商的使用條款要求用戶在合同中同意不做任何可能對其他客戶產(chǎn)生負(fù)面影響的事情,但不是每個(gè)用戶都會(huì)始終遵守這一承諾。除了惡意行為者的可能性之外,其鄰近客戶可能會(huì)無意中做一些事情,從而導(dǎo)致諸如分布式拒絕服務(wù)(DDoS)攻擊等不良后果。
混合云
大多數(shù)組織都采用混合云,它涉及數(shù)據(jù)中心、公共云和/或私有云的某種組合。這里的風(fēng)險(xiǎn)是針對不同的環(huán)境采用不同的安全策略,實(shí)際上,這些策略具有三種難以管理和協(xié)調(diào)的不同安全策略。此外,工作人員有時(shí)會(huì)忘記在作為漏洞點(diǎn)的各種物理和虛擬資產(chǎn)之間存在連接點(diǎn)。
多云
大多數(shù)組織也采用多云策略,這往往意味著他們使用多種類型的公共云服務(wù)提供商。兩個(gè)最受歡迎的多云的選項(xiàng)是Amazon Web Services和Microsoft Azure。在這種情況下,應(yīng)該完全理解每個(gè)提供的安全功能。
真正的云計(jì)算安全性要求在整個(gè)系統(tǒng)中集成云安全策略。
云安全架構(gòu)
云安全架構(gòu)會(huì)影響云計(jì)算安全的有效性。以下是一些可操作的安全管理技巧,可用于強(qiáng)化云計(jì)算環(huán)境。
預(yù)防
防止攻擊的最佳方法是需要持續(xù):
•識(shí)別漏洞。
•根據(jù)攻擊嚴(yán)重程度、威脅情報(bào)和受攻擊影響的資產(chǎn)確定優(yōu)先級。
•通過修補(bǔ)它們來修復(fù)優(yōu)先級漏洞。
不幸的是,大多數(shù)組織都沒有按照應(yīng)有的方式持續(xù)管理安全漏洞。大多數(shù)組織也很難確定漏洞的優(yōu)先級,因?yàn)槁┒纯赡芎芏唷?/div>
檢測
預(yù)防是最好的安全防御之一。組織應(yīng)有適當(dāng)?shù)臋z測控制措施,以確定問題并在必要時(shí)提醒安保人員。檢測控制傾向于與校正控制協(xié)同工作,校正控制可以是自動(dòng)的、手動(dòng)的,或兩者的組合,這取決于情況是由輕微錯(cuò)誤、網(wǎng)絡(luò)攻擊還是其他類型的事件引起的。
安全措施
無論采取何種安全控制措施,都會(huì)發(fā)生安全事件。在它們發(fā)生之前,應(yīng)該有適當(dāng)?shù)募m正控制措施,以盡量減少居心不良的人可能造成的傷害。例如,如果黑客獲得對數(shù)據(jù)庫或敏感文件的訪問權(quán)限,接下來會(huì)發(fā)生什么?如果數(shù)據(jù)被銷毀,是否有適當(dāng)?shù)臑?zāi)難恢復(fù)選項(xiàng)?
云計(jì)算安全軟件和服務(wù)
以下是企業(yè)應(yīng)考慮的一些云計(jì)算安全軟件和服務(wù)選項(xiàng):
•IaaS或PaaS云安全選項(xiàng)-這些是附加服務(wù),為企業(yè)提供比基本云計(jì)算選項(xiàng)更廣泛的安全選項(xiàng)。
•身份和訪問管理(IAM)-這些工具確保只有授權(quán)方才能訪問數(shù)據(jù)和計(jì)算資源。
•物理安全 - 除數(shù)字安全外,IaaS/PaaS提供商還應(yīng)擁有物理安全性(例如門鎖、檢查點(diǎn)),以確保其IT資產(chǎn)保持安全。
•加密-加密靜止和運(yùn)動(dòng)中的數(shù)據(jù)。
•滲透測試-外部顧問被聘為“白帽”,以闖入企業(yè)的系統(tǒng),目的是識(shí)別弱點(diǎn)。
•合規(guī)控制-確保遵守HIPPA、GDPR等法規(guī)。
關(guān)鍵字:云安全
京公網(wǎng)安備 11010502049343號