摘要：從云計算時代開始，安全性一直是考慮云服務的企業最關心的問題。對于許多組織來說，在他們不直接管理的基礎設施上存儲數據或運行應用程序的想法似乎天生就不安全，同時還有數據通過公共互聯網往返于這些服務的風險。

      從云計算時代開始，安全性一直是考慮云服務的企業最關心的問題。對于許多組織來說，在他們不直接管理的基礎設施上存儲數據或運行應用程序的想法似乎天生就不安全，同時還有數據通過公共互聯網往返于這些服務的風險。
　　
　　根據Netwrix的《2022年云數據安全報告》，53%的組織報告稱，去年他們的云遭受了攻擊，其中大多數攻擊導致了修復安全漏洞的計劃外支出。
　　
　　不想成為統計數據一部分的企業應該了解并實施網絡安全最佳實踐和工具，以保護其云基礎設施。雖然這些措施并不能阻止每一次攻擊，但它們確實可以幫助企業加強防御，保護數據，并實施強大的云安全實踐。
　　
　　提高云安全的一個關鍵方法是確保連接到云應用程序的用戶和設備盡可能安全。Kolide(本文的發起人)與Okta合作，確保只有安全的設備才能訪問云應用程序和資源，從而實現零信任、設備信任和補丁管理。
　　
　　云安全最佳實踐
　　
　　理解你的共同責任模式
　　
　　向云提供商詢問詳細的安全問題
　　
　　•部署身份與訪問管理解決方案
　　
　　•培訓員工
　　
　　•建立和執行云安全策略
　　
　　•對動態和靜態數據進行加密
　　
　　•使用入侵檢測和防御技術
　　
　　•仔細檢查您的合規要求
　　
　　•考慮CASB或云安全解決方案
　　
　　•執行審計、滲透測試和漏洞測試
　　
　　•開啟安全日志
　　
　　理解并減少錯誤配置
　　
　　1.理解共同責任模式
　　
　　在私有數據中心中，企業全權負責所有安全問題。但在公共云中，事情要復雜得多。雖然最終的責任在于云計算客戶，但云計算提供商承擔了IT安全某些方面的責任。云和安全專家稱其為共享責任模型。
　　
　　領先的基礎設施即服務(IaaS)和平臺即服務(PaaS)供應商，如亞馬遜網絡服務(AWS)和平臺即服務(MicrosoftAzure)，為其客戶提供文檔，以便各方根據不同類型的部署了解具體的責任所在。例如，下圖顯示了應用程序級別的控制是微軟對軟件即服務(SaaS)模型的責任，而在IaaS部署中則是客戶的責任。對于PaaS模型，微軟和它的客戶共同承擔責任。
　　
　　考慮特定云供應商的企業應該首先審查其關于共享安全責任的政策，并了解誰在處理云安全的各個方面。這有助于防止溝通不暢和誤解。但是，更重要的是，明確責任可以防止由于特定安全需求而導致的安全事件。
　　
　　2.向云提供商詢問詳細的安全問題
　　
　　除了明確共同的責任外，組織還應該向其公共云供應商詢問有關其現有安全措施和流程的詳細問題。人們很容易認為領先的供應商已經處理了安全性問題，但是不同供應商之間的安全性方法和過程可能有很大的不同。
　　
　　要了解特定云提供商的比較情況，組織應該提出一系列問題，包括:
　　
　　提供商的服務器地理位置在哪里?
　　
　　提供商對可疑安全事件的協議是什么?
　　
　　提供商的災難恢復計劃是什么?
　　
　　提供商采取了哪些措施來保護各種接入組件?
　　
　　供應商愿意提供什么級別的技術支持?
　　
　　提供商最近的滲透測試結果如何?
　　
　　提供商在傳輸和靜止時對數據進行加密嗎?
　　
　　提供商中的哪些角色或個人可以訪問存儲在云中的數據?
　　
　　提供商支持哪些身份驗證方法?
　　
　　提供商支持哪些合規要求?
　　
　　3.部署身份和訪問管理解決方案
　　
　　公共云安全的另一個主要威脅是未經授權的訪問。隨著每次新的攻擊，黑客獲取敏感數據的方法變得越來越復雜，高質量的身份和訪問管理(IAM)解決方案可以幫助減輕這些威脅。
　　
　　專家建議組織尋找一種IAM解決方案，允許他們基于最少特權或零信任原則定義和執行訪問策略。這些策略還應該基于基于角色的訪問控制(RBAC)權限。此外，多因素身份驗證(MFA)可以進一步降低惡意行為者訪問敏感信息的風險。即使他們設法竊取了用戶名和密碼，他們也很難完成生物識別掃描或請求文本代碼。
　　
　　組織可能還想尋找一種可以在混合環境中工作的IAM解決方案，包括私有數據中心和云部署。這可以簡化最終用戶的身份驗證，并使安全人員更容易確保他們在所有it環境中執行一致的策略。
　　
　　4.培訓員工
　　
　　為了防止黑客獲得云計算工具的訪問憑證，組織應該培訓所有員工如何發現網絡安全威脅以及如何應對這些威脅。全面的培訓應包括基本的安全知識，如如何創建強密碼和識別可能的社會工程攻擊，以及更高級的主題，如風險管理。
　　
　　也許最重要的是，云安全培訓應該幫助員工了解影子IT的內在風險。在大多數組織中，員工很容易在沒有it部門的知識或支持的情況下實現自己的工具和系統。如果沒有對與公司數據交互的所有系統自上而下的可見性，就無法評估所有漏洞。企業需要解釋這種風險，并強調其對組織的潛在后果。
　　
　　組織還需要對其保安人員進行專門培訓。威脅形勢每天都在變化，IT安全專業人員只有不斷了解最新的威脅和潛在的對策，才能跟上形勢。
　　
　　關于良好安全實踐的頻繁對話也在同級之間以及管理人員和直接報告之間建立了更好的問責制。建立問責制看起來像:
　　
　　確保每個員工都知道公司對安全的期望。這可能看起來像是對新員工進行全面的網絡安全培訓，或者對整個公司進行季度性培訓。•
　　
　　經常討論數據隱私、適當的密碼管理和保護物理場所等主題。你談論得越多，就越難以忽視它。•
　　
　　問一些好問題。甚至像“這條規則有意義嗎?”或者“我們的組織希望人們遵守的最嚴格的安全規則是什么?”可以開啟對話，揭示為什么有些員工不愿意遵守規定。
　　
　　5.建立和執行云安全策略
　　
　　所有組織都應該制定書面指導方針，規定誰可以使用云服務、如何使用云服務以及哪些數據可以存儲在云中。他們還需要制定員工必須使用的特定安全技術，以保護云中的數據和應用程序。
　　
　　理想情況下，安全人員應該有適當的自動化解決方案，以確保每個人都遵循這些策略。在某些情況下，云供應商可能具有足以滿足組織需求的策略實施功能。在其他情況下，組織可能需要購買第三方解決方案，如提供策略實施功能的云訪問安全代理(CASB)。CASB是一個廣泛的云安全工具，可以防止數據丟失，控制訪問和設備，發現影子IT和流氓應用程序的使用，并監控IaaS配置，這是許多云數據泄露的來源，安全訪問服務邊緣(SASE)工具進一步擴展了這些保護。
　　
　　零信任工具和控件還可以通過提供對策略實施的精確控制來提供幫助。此類別中的工具與其他系統一起工作，以確定每個用戶需要多少訪問權限，他們可以使用該訪問權限做什么，以及它對更廣泛的組織意味著什么。
　　
　　6.保護您的端點
　　
　　使用云服務并不能消除對強端點安全性的需求，反而會加強這種需求。畢竟，在許多情況下，是端點直接連接到云服務。
　　
　　新的云計算項目提供了重新審視現有戰略的機會，并確保適當的保護措施足以應對不斷變化的威脅。
　　
　　包括防火墻、反惡意軟件、入侵檢測和訪問控制在內的深度防御策略長期以來一直是網絡和端點安全的標準。然而，在云時代，端點安全問題的列表變得如此復雜，以至于需要自動化工具來跟上。端點檢測和響應(EDR)工具和端點保護平臺(EPP)可以在這方面提供幫助。
　　
　　EDR和EPP解決方案將傳統的端點安全功能與持續監控和自動響應相結合。具體來說，這些工具解決了許多安全需求，包括補丁管理、端點加密、vpn和內部威脅預防等。
　　
　　7.加密動態和靜態數據
　　
　　加密是任何云安全策略的關鍵部分。組織不僅應該對公共云存儲服務中的任何數據進行加密，還應該確保數據在傳輸過程中進行加密——此時數據可能最容易受到攻擊。
　　
　　一些云計算提供商提供加密和密鑰管理服務。一些第三方云和傳統軟件公司也提供加密選項。專家建議尋找一種與現有工作流程無縫配合的加密產品，從而消除最終用戶為遵守公司加密政策而采取任何額外行動的需要。
　　
　　8.使用入侵檢測和防御技術
　　
　　入侵檢測和防御系統(IDPS)是市場上最有效的工具之一。它們監視、分析和響應網絡流量，可以作為獨立的解決方案，也可以作為幫助保護網絡(如防火墻)的其他工具的一部分。
　　
　　亞馬遜、Azure和谷歌云等主要云服務提供自己的IDPS和防火墻服務，但需要額外付費。他們還通過自己的市場銷售網絡安全公司的服務。如果您正在處理云中的敏感數據，這些附加的安全服務是物有所值的。
　　
　　9.再次檢查您的合規性要求
　　
　　收集個人身份信息(PII)的組織(包括零售、醫療保健和金融服務領域的組織)在客戶隱私和數據安全方面面臨嚴格的監管。一些位于特定地理位置的企業——或者在特定區域存儲數據的企業——也可能有來自地方或州政府的特殊遵從性要求。
　　
　　在建立新的云計算服務之前，您的組織應該審查其特定的遵從性要求，并確保服務提供商能夠滿足您的數據安全需求。保持合規是當務之急。管理機構將要求您的企業對任何違反法規的行為負責，即使安全問題源于云提供商。
　　
　　10.考慮CASB或云安全解決方案
　　
　　數十家公司提供專門用于增強云安全的解決方案或服務。如果組織的內部安全人員沒有云專業知識，或者現有的安全解決方案不支持云環境，那么可能是時候引入外部幫助了。
　　
　　云訪問安全代理(casb)是專門用于執行云安全策略的工具。隨著越來越多的組織開始使用云服務，它們變得越來越受歡迎。專家表示，CASB解決方案可能對使用來自不同供應商的多個云計算服務的組織最有意義。這些解決方案還可以監控未經授權的應用程序和訪問。
　　
　　casb涵蓋了廣泛的安全服務，包括數據丟失預防、惡意軟件檢測和法規遵從性協助。casb與多個SaaS和IaaS平臺集成，需要使用許多不同的基于云的軟件解決方案來保護組織的整個基礎設施?？紤]支持所有基于云計算的業務工具的CASB提供商。
　　
　　CASB并不是確保云環境安全的唯一解決方案。其他包括云原生應用程序保護(CNAPP)和云工作負載保護平臺(CWPP)。
　　
　　11.進行審計、滲透測試和漏洞測試
　　
　　專家表示，無論企業是選擇與外部安全公司合作，還是將安全功能保留在內部，所有企業都應該進行滲透測試和漏洞掃描。滲透測試可以幫助組織確定現有的云安全工作是否足以保護數據和應用程序，云漏洞掃描儀可以發現可能危及云環境的錯誤配置和其他缺陷。
　　
　　此外，組織應該進行定期的安全審計，包括對所有安全供應商能力的分析。這應確認它們符合商定的安全條款。還應審計訪問日志，以確保只有適當和授權的人員才能訪問云中的敏感數據和應用程序。
　　
　　12.開啟安全日志
　　
　　除了進行審計之外，組織還應該為其云解決方案啟用日志記錄功能。日志記錄幫助系統管理員跟蹤哪些用戶對環境進行了更改——這幾乎是不可能手工完成的。如果攻擊者獲得訪問權限并進行更改，則日志將顯示其所有活動，以便對其進行補救。
　　
　　錯誤配置是云安全最重要的挑戰之一，有效的日志記錄功能將有助于將導致特定漏洞的更改聯系起來，以便在將來糾正和避免這些漏洞。日志記錄還有助于識別可能擁有比實際工作所需更多訪問權限的單個用戶，因此管理員可以將這些權限調整到最低限度。
　　
　　云服務提供商提供日志記錄，也有第三方工具可用。
　　
　　13.理解并減少錯誤配置
　　
　　重要的是，不僅要記錄錯誤配置的數據，而且要減少錯誤配置。一些云服務為任何用戶提供讀取權限或管理功能，包括組織外部的人，他們可能能夠從他們的web瀏覽器訪問存儲桶。這種類型的錯誤配置為惡意行為者打開了大門，不僅可以從存儲桶中竊取數據，而且如果他們獲得了正確的信息，還可能通過存儲基礎設施橫向移動。
　　
　　此外，如果帳戶的權限配置錯誤，竊取憑證的攻擊者可能會升級該帳戶的管理權限。這允許進一步的數據盜竊和潛在的云范圍攻擊。
　　
　　即使工作很繁瑣，企業的IT、存儲或安全團隊也應該親自配置每個存儲桶或存儲桶組。接受開發團隊的幫助也是一個好主意——他們可以確保正確配置web云地址。沒有云桶應該有默認的訪問權限。確定需要訪問哪些用戶級別——是僅查看權限還是編輯權限——并相應地配置每個存儲桶。
　　
　　云安全面臨的最大威脅是什么?
　　
　　這么多公司擔心公共云環境的安全性是有原因的。將數據放在提供商的數據中心，特別是在共享托管環境中，可能會使IT和安全團隊感到失控。盡管這些擔憂并非無法克服，但它們是合理的。以下威脅削弱了企業的云安全態勢。
　　
　　云配置錯誤
　　
　　一個配置錯誤的存儲桶可能會讓互聯網上的任何人都能訪問。如果沒有將云資源的設置配置為僅限您組織中的用戶，那么來自其他組織的經過身份驗證的云用戶也可以訪問其數據。API安全性是另一個值得關注的重要云連接。
　　
　　不必要的訪問
　　
　　一些組織可能會試圖為其IT、云和存儲團隊的所有成員提供平等的訪問權限。但這為權限濫用打開了大門:并非所有團隊成員，尤其是初級團隊成員，都需要云管理權限。此外，始終存在內部威脅的可能性，為了減少內部破壞的可能性，最好將管理權限減少到少數受信任的團隊成員。此外，數據下載也應該有嚴格的控制。
　　
　　云供應商的弱點
　　
　　并非所有云提供商都具有相同的安全級別，并且在公共云托管中，一個云實例的弱點可能會影響同一主機上的所有其他云實例，即使損壞的實例來自不同的組織。企業通常對其公共云實例的安全性控制較少，因為這些實例通常位于遠程數據中心。DDoS攻擊是云服務面臨的另一個常見威脅，但是當這些攻擊發生時，他們通常會盡可能地保持訪問。
　　
　　員工的錯誤
　　
　　這些錯誤包括配置錯誤，但也包括通過在線服務以明文形式發送密碼或點擊電子郵件中的可疑鏈接等錯誤。如果用戶在設備上設置了文件同步，并且文件已損壞，那么即使下載惡意軟件到計算機上也會危及云帳戶。
　　
　　實現強大的云安全實踐
　　
　　盡管企業認為云是他們最大的漏洞之一，但它并不一定是攻擊者的開放途徑。加強訪問控制、進行定期云審計和實現強大的加密只是您的企業可以擁有云環境安全性的幾種方法。了解供應商的安全程序不僅可以幫助您選擇正確的供應商，還可以幫助您更好地管理自己的責任。
　　
　　事實上，云服務提供商通常擁有相當安全的環境，而你最大的風險將是如何連接到云并控制數據和訪問。好消息是，它將云安全置于您的手中——這使您更有理由學習云安全最佳實踐。
　　
　　編輯：Harris