云安全是一組用于保護托管在云中的數據和應用程序的策略和實踐。與網絡安全一樣，云安全是一個非常廣泛的領域，永遠不可能阻止各種攻擊。但是，精心設計的云安全策略可以大大降低網絡攻擊的風險。

即使存在這些風險，云計算通常也比本地計算更安全。大多數云提供商擁有比單個企業更多的資源來確保數據安全，這讓云提供商可以讓基礎設施保持最新并盡快修補漏洞。另一方面，單個企業可能沒有足夠的資源來始終如一地執行這些任務。注意：云安全與安全即服務（SECaaS 或 SaaS）不同，后者是指托管在云中的安全產品。

主要的云安全風險是什么？

大多數云安全風險屬于以下一般類別之一：

數據暴露或泄露

來自組織外部的未經授權的用戶可以訪問內部數據

內部授權用戶對內部數據的訪問權限過多

惡意攻擊（例如DDoS 攻擊或惡意軟件感染）會削弱或破壞云基礎架構

云安全策略的目標是通過保護數據、管理用戶身份驗證和訪問以及在面對攻擊時保持正常運行，盡可能減少這些風險帶來的威脅。

云安全有哪些關鍵技術？

云安全策略應包括以下所有技術：

加密： 加密是一種對數據進行加擾的方式，以便只有授權方才能理解信息。如果攻擊者侵入公司的云并找到未加密的數據，他們就可以對數據進行任意數量的惡意操作：泄露、出售、使用它進行進一步的攻擊等。但是，如果公司的數據是加密后，攻擊者只會找到無法使用的加密數據，除非他們以某種方式發現解密密鑰（這幾乎是不可能的）。通過這種方式，加密有助于防止數據泄露和暴露，即使其他安全措施失敗。

數據可以在靜態（存儲時）或傳輸中（從一個地方發送到另一個地方）進行加密。云數據應在靜態和傳輸中加密，以便攻擊者無法攔截和讀取它。加密傳輸中的數據應該解決在云和用戶之間傳輸的數據，以及從一個云到另一個云的數據傳輸，如在多云或混合云環境中。此外，當數據存儲在數據庫中或通過云存儲服務時，應加密數據。

如果多云或混合云環境中的云在網絡層連接，VPN可以加密它們之間的流量。如果它們在應用層連接，則應使用 SSL/TLS 加密。SSL / TLS還應該加密用戶和云之間的流量。

身份和訪問管理 (IAM)： 身份和訪問管理 (IAM)產品跟蹤用戶是誰以及允許他們做什么，并且它們授權用戶并在必要時拒絕未經授權的用戶訪問。IAM 在云計算中非常重要，因為用戶的身份和訪問權限決定了他們是否可以訪問數據，而不是用戶的設備或位置。

IAM 有助于減少未經授權的用戶訪問內部資產和授權用戶超出其權限的威脅。正確的 IAM 解決方案將有助于緩解多種攻擊，包括帳戶接管和內部攻擊（當用戶或員工濫用其訪問權限以暴露數據時）。

IAM 可能包括幾個不同的服務，或者它可能是結合了以下所有功能的單一服務：

• 身份提供者 (IdP)驗證用戶身份
• 單點登錄 (SSO)服務有助于驗證多個應用程序的用戶身份，因此用戶只需登錄一次即可訪問其所有云服務
• 多因素身份驗證 (MFA)服務加強了用戶身份驗證過程

訪問控制服務允許和限制用戶訪問

防火墻：一個云防火墻通過阻止惡意網絡流量提供了圍繞云資產的保護層。與托管在本地并保護網絡外圍的傳統防火墻不同，云防火墻托管在云中，并在云基礎設施周圍形成虛擬安全屏障。大多數Web 應用程序防火墻都屬于這一類。云防火墻阻止 DDoS 攻擊、惡意機器人活動和漏洞利用。這減少了網絡攻擊破壞組織的云基礎設施的機會。

還有哪些其他做法對于保持云數據安全很重要？

僅靠實施上述技術（以及任何其他云安全產品）不足以保護云數據。除了標準的網絡安全最佳實踐之外，使用云的組織還應遵循以下云安全實踐：

正確配置云服務器的安全設置：當公司沒有正確設置其安全設置時，可能會導致數據泄露。配置錯誤的云服務器可以將數據直接暴露給更廣泛的互聯網。正確配置云安全設置需要團隊成員是使用每個云的專家，并且可能還需要與云供應商密切合作。

跨所有云和數據中心的一致安全策略：安全措施必須適用于公司的整個基礎架構，包括公共云、私有云和本地基礎架構。如果公司的云基礎設施的一個方面——比如他們用于大數據處理的公共云服務——沒有受到加密和強大的用戶身份驗證的保護，那么攻擊者更有可能找到并瞄準薄弱環節。

備份計劃：與任何其他類型的安全性一樣，必須有一個計劃，以應對出現問題的情況。為防止數據丟失或被篡改，應將數據備份到另一個云或本地。還應該制定故障轉移計劃，以便在一項云服務發生故障時不會中斷業務流程。多云和混合云部署的優勢之一是可以使用不同的云作為備份——例如，云中的數據存儲可以備份本地數據庫。

用戶和員工教育：很大一部分數據泄露的發生是因為用戶受到網絡釣魚攻擊、在不知情的情況下安裝了惡意軟件、使用過時且易受攻擊的設備或密碼衛生不佳（重復使用相同的密碼，將密碼寫在可見位置等）。通過對內部員工進行安全教育，在云中運營的企業可以降低發生這些事件的風險。