云安全是一組用于保護托管在云中的數(shù)據(jù)和應用程序的策略和實踐。與網(wǎng)絡安全一樣，云安全是一個非常廣泛的領域，永遠不可能阻止各種攻擊。但是，精心設計的云安全策略可以大大降低網(wǎng)絡攻擊的風險。

即使存在這些風險，云計算通常也比本地計算更安全。大多數(shù)云提供商擁有比單個企業(yè)更多的資源來確保數(shù)據(jù)安全，這讓云提供商可以讓基礎設施保持最新并盡快修補漏洞。另一方面，單個企業(yè)可能沒有足夠的資源來始終如一地執(zhí)行這些任務。注意：云安全與安全即服務（SECaaS 或 SaaS）不同，后者是指托管在云中的安全產(chǎn)品。

主要的云安全風險是什么？

大多數(shù)云安全風險屬于以下一般類別之一：

數(shù)據(jù)暴露或泄露

來自組織外部的未經(jīng)授權的用戶可以訪問內(nèi)部數(shù)據(jù)

內(nèi)部授權用戶對內(nèi)部數(shù)據(jù)的訪問權限過多

惡意攻擊（例如DDoS 攻擊或惡意軟件感染）會削弱或破壞云基礎架構

云安全策略的目標是通過保護數(shù)據(jù)、管理用戶身份驗證和訪問以及在面對攻擊時保持正常運行，盡可能減少這些風險帶來的威脅。

云安全有哪些關鍵技術？

云安全策略應包括以下所有技術：

加密： 加密是一種對數(shù)據(jù)進行加擾的方式，以便只有授權方才能理解信息。如果攻擊者侵入公司的云并找到未加密的數(shù)據(jù)，他們就可以對數(shù)據(jù)進行任意數(shù)量的惡意操作：泄露、出售、使用它進行進一步的攻擊等。但是，如果公司的數(shù)據(jù)是加密后，攻擊者只會找到無法使用的加密數(shù)據(jù)，除非他們以某種方式發(fā)現(xiàn)解密密鑰（這幾乎是不可能的）。通過這種方式，加密有助于防止數(shù)據(jù)泄露和暴露，即使其他安全措施失敗。

數(shù)據(jù)可以在靜態(tài)（存儲時）或傳輸中（從一個地方發(fā)送到另一個地方）進行加密。云數(shù)據(jù)應在靜態(tài)和傳輸中加密，以便攻擊者無法攔截和讀取它。加密傳輸中的數(shù)據(jù)應該解決在云和用戶之間傳輸?shù)臄?shù)據(jù)，以及從一個云到另一個云的數(shù)據(jù)傳輸，如在多云或混合云環(huán)境中。此外，當數(shù)據(jù)存儲在數(shù)據(jù)庫中或通過云存儲服務時，應加密數(shù)據(jù)。

如果多云或混合云環(huán)境中的云在網(wǎng)絡層連接，VPN可以加密它們之間的流量。如果它們在應用層連接，則應使用 SSL/TLS 加密。SSL / TLS還應該加密用戶和云之間的流量。

身份和訪問管理 (IAM)： 身份和訪問管理 (IAM)產(chǎn)品跟蹤用戶是誰以及允許他們做什么，并且它們授權用戶并在必要時拒絕未經(jīng)授權的用戶訪問。IAM 在云計算中非常重要，因為用戶的身份和訪問權限決定了他們是否可以訪問數(shù)據(jù)，而不是用戶的設備或位置。

IAM 有助于減少未經(jīng)授權的用戶訪問內(nèi)部資產(chǎn)和授權用戶超出其權限的威脅。正確的 IAM 解決方案將有助于緩解多種攻擊，包括帳戶接管和內(nèi)部攻擊（當用戶或員工濫用其訪問權限以暴露數(shù)據(jù)時）。

IAM 可能包括幾個不同的服務，或者它可能是結(jié)合了以下所有功能的單一服務：

• 身份提供者 (IdP)驗證用戶身份
• 單點登錄 (SSO)服務有助于驗證多個應用程序的用戶身份，因此用戶只需登錄一次即可訪問其所有云服務
• 多因素身份驗證 (MFA)服務加強了用戶身份驗證過程

訪問控制服務允許和限制用戶訪問

防火墻：一個云防火墻通過阻止惡意網(wǎng)絡流量提供了圍繞云資產(chǎn)的保護層。與托管在本地并保護網(wǎng)絡外圍的傳統(tǒng)防火墻不同，云防火墻托管在云中，并在云基礎設施周圍形成虛擬安全屏障。大多數(shù)Web 應用程序防火墻都屬于這一類。云防火墻阻止 DDoS 攻擊、惡意機器人活動和漏洞利用。這減少了網(wǎng)絡攻擊破壞組織的云基礎設施的機會。

還有哪些其他做法對于保持云數(shù)據(jù)安全很重要？

僅靠實施上述技術（以及任何其他云安全產(chǎn)品）不足以保護云數(shù)據(jù)。除了標準的網(wǎng)絡安全最佳實踐之外，使用云的組織還應遵循以下云安全實踐：

正確配置云服務器的安全設置：當公司沒有正確設置其安全設置時，可能會導致數(shù)據(jù)泄露。配置錯誤的云服務器可以將數(shù)據(jù)直接暴露給更廣泛的互聯(lián)網(wǎng)。正確配置云安全設置需要團隊成員是使用每個云的專家，并且可能還需要與云供應商密切合作。

跨所有云和數(shù)據(jù)中心的一致安全策略：安全措施必須適用于公司的整個基礎架構，包括公共云、私有云和本地基礎架構。如果公司的云基礎設施的一個方面——比如他們用于大數(shù)據(jù)處理的公共云服務——沒有受到加密和強大的用戶身份驗證的保護，那么攻擊者更有可能找到并瞄準薄弱環(huán)節(jié)。

備份計劃：與任何其他類型的安全性一樣，必須有一個計劃，以應對出現(xiàn)問題的情況。為防止數(shù)據(jù)丟失或被篡改，應將數(shù)據(jù)備份到另一個云或本地。還應該制定故障轉(zhuǎn)移計劃，以便在一項云服務發(fā)生故障時不會中斷業(yè)務流程。多云和混合云部署的優(yōu)勢之一是可以使用不同的云作為備份——例如，云中的數(shù)據(jù)存儲可以備份本地數(shù)據(jù)庫。

用戶和員工教育：很大一部分數(shù)據(jù)泄露的發(fā)生是因為用戶受到網(wǎng)絡釣魚攻擊、在不知情的情況下安裝了惡意軟件、使用過時且易受攻擊的設備或密碼衛(wèi)生不佳（重復使用相同的密碼，將密碼寫在可見位置等）。通過對內(nèi)部員工進行安全教育，在云中運營的企業(yè)可以降低發(fā)生這些事件的風險。