當前位置：云計算 → 技術專區 → 正文

改善云安全性的10條規則

責任編輯：cres 作者：Thomas Segura |來源：企業網D1Net 2022-02-07 11:12:00 原創文章企業網D1Net

據估計，全球50%的企業已經將數據存儲在云中，這充分說明了這個相對年輕的行業呈爆炸性增長的原因。人們都知道推動云采用的好處：提高靈活性、易于擴展和成本效益。

但在安全性方面，事情更加微妙：對于一些人來說，將企業最有價值的資產交給第三方進行存儲或處理是一種瘋狂的想法，但對于其他人(絕大多數)來說，這是有道理的。企業可以從云計算提供商為保護其數據而部署的大量安全資源中受益，云計算提供商的工程師需要全天候工作以完成他們的使命。盡管如此，這還不是故事的結局。

以下將重點介紹云安全的基本概念，并提出改善云安全性的10條規則

責任共擔模型

云中的安全性遵循一種稱為責任共擔模型的模式，該模式規定云計算提供商只對云平臺安全負責，而客戶則對云中的數據安全負責。

這實質上意味著要在云中運行，企業自己仍然需要進行安全配置和管理。企業的承諾范圍可能會有很大差異，因為它取決于企業使用的服務：如果訂閱了基礎設施即服務(IaaS)產品，則需要負責操作系統補丁和更新。如果只需要對象存儲，其職責范圍將僅限于數據丟失防護。

盡管存在如此巨大的多樣性，但無論情況如何，都有一些適用的準則。其原因很簡單，因為所有云計算漏洞本質上都歸結為一件事：錯誤配置。云計算提供商已經為企業提供了強大的安全工具，但人們知道它們在某些時候會失效。人類會犯錯誤，很容易錯誤配置。這就是為什么需要采用安全策略的原因，以幫助減少發生錯誤的可能性和影響。

以下列出了在其安全策略中設置安全措施的10個最重要領域的列表，但首先需要解釋云安全與傳統的信息安全的不同之處。

了解云安全的3個基本概念

云計算平臺是一個不斷變化的動態環境，但安全目標保持不變：確保系統按預期工作，并且僅按預期工作。因此，許多基本概念需要重新定義：

·邊界：傳統的安全性本質上是基于保護一個受信任的邊界，即所謂的“堡壘”。然而，云計算環境的特點是分布在互聯網上，具有動態發展的端點和許多互連層。然后，任何云安全模型都應該以身份和訪問管理為中心，并專注于加強對可疑帳戶的授權(這是行為建模等技術特別強大的地方)。

·可擴展性：數據的存儲和處理是動態的，因此云安全框架也應該能夠考慮到基礎設施的演變。換句話說，它需要了解系統狀態并相應地調整其策略。

·監控：隨著新的云計算資源的堆積和新的攻擊媒介的發現，威脅形勢正在迅速發展。動態系統增加的復雜性是一種負擔：安全漏洞可能會激增，并且更難發現，網絡攻擊也更復雜。保持最新狀態需要對快速變化的安全環境做出反應。

改善云安全的10條規則

(1)規則1：不要忽視開發人員的憑證

作為每天掃描數以百萬計的公共和私人代碼存儲庫的企業，再怎么強調健全的憑證策略的重要性也不為過。企業應該確保其開發人員至少只使用短期憑證，并最終投入所需的時間來完成一個完整的設置，其中包括管理(如保險庫)和檢測。而一位安全工程師說：“如果另一家公司的員工對我說，機密檢測不是優先事項，我會問什么是更重要的優先事項，然后我會指出是采用快速的谷歌搜索，其中包含大量因泄露機密而發生的問題和數據泄露。”

這就是這一規則在這個規則列表中排名首位的原因。

(2)規則2：始終查看默認配置

云計算提供商預先配置了通用的訪問控制策略。這些策略很方便，但經常會發生變化，因為正在引入新服務，它們不一定符合企業的需求。企業可以通過選擇退出不必要或未使用的服務來減少網絡攻擊面。

(3)規則3：列出可公開訪問的存儲

很多人在新聞中了解到一些云存儲被開放并公開訪問的消息。無論企業為對象和數據選擇哪種存儲方法，需要檢查是否只有預期的組件可以公開訪問。

(4)規則4：定期審核訪問控制

如上所述，云安全與企業的身份和訪問管理策略一樣強大。基于身份的安全系統逐漸占據主導地位，形成了所謂的“零信任”策略的基礎。但就像其他事情一樣，這些政策將被修改。實施最小特權原則是一個積極的過程，涉及微調對服務、系統和網絡的訪問。企業應該定期安排人工檢查和自動檢查并嚴格執行。

(5)規則5：利用網絡結構

同樣的規則也適用于網絡：企業應該利用云計算提供商的控制來構建更好的、細粒度的策略來仔細劃分流量。

(6)規則6：預防性記錄和監控

如果沒有強大的監控和日志記錄，就無法實現良好的安全性。基于風險的日志記錄策略是必須的，但最重要的是，企業應該確保警報不僅已啟用且正常工作，而且是可操作的，而不是在安全事件發生后查看的內容。在理想情況下，企業應該能夠通過API或其他機制在其日志系統上聚合云日志。

(7)規則7：豐富資產清單

使用供應商的API來減輕庫存管理的艱巨任務固然不錯，但是通過有關所有權、用例和敏感性的額外信息來豐富這一點會更好。企業需要在策略中考慮它。

(8)規則8：防止域名劫持

云服務和DNS條目之間經常存在傳遞信任。企業需要定期檢查其DNS和云配置，以防止出現接管情況。

(9)規則9：災難恢復計劃不是可選的

云計算環境不會自動解決災難恢復(DR)問題。企業考慮什么級別的投資適合其云計算環境中的災難性事件，并且設計一個災難恢復(DR程序以從外部帳戶、提供商或語言環境中恢復。

(10)規則10：限制人工配置

利用云原生安全工具和控制意味著自動化。需要記住，漏洞源于錯誤配置，而錯誤配置就是一種錯誤。需要完成的人工工作越多，錯誤潛入的漏洞就越多。企業需要推動其團隊實現更多自動化，盡可能使用安全即代碼并逐步強制執行不變性(不再可能人工配置)。

結論

即使對于專家來說，云服務也很難管理，但它會一直存在。對于安全專業人員來說，這是一個特別大的挑戰，因為責任范圍不再是靜態的，而是不斷發展，以滿足基礎設施的需求和應對新的威脅。但這對企業來說也是一個激動人心的時刻，因為他們可以利用他們的獨創性來構建非常有效的解決方案，利用現有的云計算提供商的工具集，在安全要求和靈活性之間取得平衡。以上提供了10條規則來構建更好的云安全性，企業也可以自己制定防護措施。

關鍵字：云計算云安全