云安全是一組用于保護托管在云中的數(shù)據(jù)和應(yīng)用程序的策略和實踐。與網(wǎng)絡(luò)安全一樣,云安全是一個非常廣泛的領(lǐng)域,永遠不可能阻止各種攻擊。但是,精心設(shè)計的云安全策略可以大大降低網(wǎng)絡(luò)攻擊的風險。
即使存在這些風險,云計算通常也比本地計算更安全。大多數(shù)云提供商擁有比單個企業(yè)更多的資源來確保數(shù)據(jù)安全,這讓云提供商可以讓基礎(chǔ)設(shè)施保持最新并盡快修補漏洞。另一方面,單個企業(yè)可能沒有足夠的資源來始終如一地執(zhí)行這些任務(wù)。注意:云安全與安全即服務(wù)(SECaaS 或 SaaS)不同,后者是指托管在云中的安全產(chǎn)品。
主要的云安全風險是什么?
大多數(shù)云安全風險屬于以下一般類別之一:
數(shù)據(jù)暴露或泄露
來自組織外部的未經(jīng)授權(quán)的用戶可以訪問內(nèi)部數(shù)據(jù)
內(nèi)部授權(quán)用戶對內(nèi)部數(shù)據(jù)的訪問權(quán)限過多
惡意攻擊(例如DDoS 攻擊或惡意軟件感染)會削弱或破壞云基礎(chǔ)架構(gòu)
云安全策略的目標是通過保護數(shù)據(jù)、管理用戶身份驗證和訪問以及在面對攻擊時保持正常運行,盡可能減少這些風險帶來的威脅。
云安全有哪些關(guān)鍵技術(shù)?
云安全策略應(yīng)包括以下所有技術(shù):
加密: 加密是一種對數(shù)據(jù)進行加擾的方式,以便只有授權(quán)方才能理解信息。如果攻擊者侵入公司的云并找到未加密的數(shù)據(jù),他們就可以對數(shù)據(jù)進行任意數(shù)量的惡意操作:泄露、出售、使用它進行進一步的攻擊等。但是,如果公司的數(shù)據(jù)是加密后,攻擊者只會找到無法使用的加密數(shù)據(jù),除非他們以某種方式發(fā)現(xiàn)解密密鑰(這幾乎是不可能的)。通過這種方式,加密有助于防止數(shù)據(jù)泄露和暴露,即使其他安全措施失敗。
數(shù)據(jù)可以在靜態(tài)(存儲時)或傳輸中(從一個地方發(fā)送到另一個地方)進行加密。云數(shù)據(jù)應(yīng)在靜態(tài)和傳輸中加密,以便攻擊者無法攔截和讀取它。加密傳輸中的數(shù)據(jù)應(yīng)該解決在云和用戶之間傳輸?shù)臄?shù)據(jù),以及從一個云到另一個云的數(shù)據(jù)傳輸,如在多云或混合云環(huán)境中。此外,當數(shù)據(jù)存儲在數(shù)據(jù)庫中或通過云存儲服務(wù)時,應(yīng)加密數(shù)據(jù)。
如果多云或混合云環(huán)境中的云在網(wǎng)絡(luò)層連接,VPN可以加密它們之間的流量。如果它們在應(yīng)用層連接,則應(yīng)使用 SSL/TLS 加密。SSL / TLS還應(yīng)該加密用戶和云之間的流量。
身份和訪問管理 (IAM): 身份和訪問管理 (IAM)產(chǎn)品跟蹤用戶是誰以及允許他們做什么,并且它們授權(quán)用戶并在必要時拒絕未經(jīng)授權(quán)的用戶訪問。IAM 在云計算中非常重要,因為用戶的身份和訪問權(quán)限決定了他們是否可以訪問數(shù)據(jù),而不是用戶的設(shè)備或位置。
IAM 有助于減少未經(jīng)授權(quán)的用戶訪問內(nèi)部資產(chǎn)和授權(quán)用戶超出其權(quán)限的威脅。正確的 IAM 解決方案將有助于緩解多種攻擊,包括帳戶接管和內(nèi)部攻擊(當用戶或員工濫用其訪問權(quán)限以暴露數(shù)據(jù)時)。
IAM 可能包括幾個不同的服務(wù),或者它可能是結(jié)合了以下所有功能的單一服務(wù):
- 身份提供者 (IdP)驗證用戶身份
- 單點登錄 (SSO)服務(wù)有助于驗證多個應(yīng)用程序的用戶身份,因此用戶只需登錄一次即可訪問其所有云服務(wù)
- 多因素身份驗證 (MFA)服務(wù)加強了用戶身份驗證過程
訪問控制服務(wù)允許和限制用戶訪問
防火墻:一個云防火墻通過阻止惡意網(wǎng)絡(luò)流量提供了圍繞云資產(chǎn)的保護層。與托管在本地并保護網(wǎng)絡(luò)外圍的傳統(tǒng)防火墻不同,云防火墻托管在云中,并在云基礎(chǔ)設(shè)施周圍形成虛擬安全屏障。大多數(shù)Web 應(yīng)用程序防火墻都屬于這一類。云防火墻阻止 DDoS 攻擊、惡意機器人活動和漏洞利用。這減少了網(wǎng)絡(luò)攻擊破壞組織的云基礎(chǔ)設(shè)施的機會。
還有哪些其他做法對于保持云數(shù)據(jù)安全很重要?
僅靠實施上述技術(shù)(以及任何其他云安全產(chǎn)品)不足以保護云數(shù)據(jù)。除了標準的網(wǎng)絡(luò)安全最佳實踐之外,使用云的組織還應(yīng)遵循以下云安全實踐:
正確配置云服務(wù)器的安全設(shè)置:當公司沒有正確設(shè)置其安全設(shè)置時,可能會導(dǎo)致數(shù)據(jù)泄露。配置錯誤的云服務(wù)器可以將數(shù)據(jù)直接暴露給更廣泛的互聯(lián)網(wǎng)。正確配置云安全設(shè)置需要團隊成員是使用每個云的專家,并且可能還需要與云供應(yīng)商密切合作。
跨所有云和數(shù)據(jù)中心的一致安全策略:安全措施必須適用于公司的整個基礎(chǔ)架構(gòu),包括公共云、私有云和本地基礎(chǔ)架構(gòu)。如果公司的云基礎(chǔ)設(shè)施的一個方面——比如他們用于大數(shù)據(jù)處理的公共云服務(wù)——沒有受到加密和強大的用戶身份驗證的保護,那么攻擊者更有可能找到并瞄準薄弱環(huán)節(jié)。
備份計劃:與任何其他類型的安全性一樣,必須有一個計劃,以應(yīng)對出現(xiàn)問題的情況。為防止數(shù)據(jù)丟失或被篡改,應(yīng)將數(shù)據(jù)備份到另一個云或本地。還應(yīng)該制定故障轉(zhuǎn)移計劃,以便在一項云服務(wù)發(fā)生故障時不會中斷業(yè)務(wù)流程。多云和混合云部署的優(yōu)勢之一是可以使用不同的云作為備份——例如,云中的數(shù)據(jù)存儲可以備份本地數(shù)據(jù)庫。
用戶和員工教育:很大一部分數(shù)據(jù)泄露的發(fā)生是因為用戶受到網(wǎng)絡(luò)釣魚攻擊、在不知情的情況下安裝了惡意軟件、使用過時且易受攻擊的設(shè)備或密碼衛(wèi)生不佳(重復(fù)使用相同的密碼,將密碼寫在可見位置等)。通過對內(nèi)部員工進行安全教育,在云中運營的企業(yè)可以降低發(fā)生這些事件的風險。
