應用現(xiàn)代云計算安全的最佳實踐

George Lawton

如今，很多企業(yè)仍然擔心云計算的安全性，因為在遷移業(yè)務時可能會使其數(shù)據(jù)面臨風險。因此需要探索有助于加強云計算環(huán)境安全的現(xiàn)代方法、技術、工具。

而云計算對于組織是否更安全，也存在不一致的觀點。云計算安全性與傳統(tǒng)內(nèi)部部署數(shù)據(jù)中心的安全性之間的最大區(qū)別在于共享責任模型。AWS、微軟、谷歌等主要云計算提供商已經(jīng)投入大量資金來應對新出現(xiàn)的安全威脅。它們還提供廣泛的身份和訪問管理（IAM）基礎設施，但企業(yè)仍然需要盡其所能保障其安全。

安全軟件提供商XYPRO Technology公司首席產(chǎn)品官Steve Tcherchian表示：“企業(yè)將其應用程序遷移到云端，并不意味著可以將網(wǎng)絡安全責任轉(zhuǎn)移到云計算提供商身上?！?/p>

企業(yè)需要將相同的策略、控制和監(jiān)控部署到任何云計算基礎設施，以確保一切都得到適當?shù)谋Ｗo。然而，企業(yè)仍有責任確保云安全最佳實踐，否則它將與沒有采用保護措施的本地環(huán)境一樣不安全。

IT Harvest公司首席研究分析師、《安全云轉(zhuǎn)型：首席信息官之旅》一書的作者Richard Stiennon說，“云計算提供商在某些領域本質(zhì)上更安全?！边@其中包括分布式拒絕服務（DDoS）攻擊、更簡單的配置管理、SaaS服務的自動安全更新，以及整合的安全日志記錄和訪問管理。

例如，對托管在云計算網(wǎng)絡上的服務器進行DDoS攻擊要困難得多，因為云計算網(wǎng)絡通常擁有數(shù)百千兆位的容量，并且不容易被泛濫的數(shù)據(jù)淹沒。云計算配置也比內(nèi)部部署配置更加標準化，這也是一種簡化，使保護它們更容易。Stiennon相信使用新的安全方法（比如零信任網(wǎng)絡）可以應對對于云計算的機會性攻擊。

安全性仍然是云計算應用的首要考慮因素。總的來說，Stiennon認為對于云計算攻擊的危害比本地攻擊要小得多。在云端，其攻擊通常僅限于一個配置錯誤的服務，而最近的勒索軟件攻擊證明，本地攻擊可以影響整個基礎設施。迄今為止報告的大多數(shù)云計算漏洞都是錯誤配置的S3存儲桶，而這些存儲桶通常是由研究人員而不是攻擊者發(fā)現(xiàn)的。Stienon說，利用云計算提供商的后端可能會泄露數(shù)十億條記錄，這證明了分層防御的重要性。

Stiennon發(fā)現(xiàn)的最大安全問題是由于企業(yè)沒有利用云計算提供商的配置、日志記錄和安全工具。另一個挑戰(zhàn)來自于通過托管云中的部分基礎設施來實現(xiàn)安全性，同時維護舊數(shù)據(jù)中心中的關鍵組件，例如DNS、加密密鑰和Active Directory。

實踐中降低云計算安全性

盡管公共云具有安全優(yōu)勢，但最近的證據(jù)表明，實際上，云計算的安全性稍差。安全供應商Riskrecon公司的一份報告發(fā)現(xiàn)，60%的組織在其云計算服務中的嚴重漏洞比在其內(nèi)部部署系統(tǒng)還要多。

XYPRO Technology公司首席產(chǎn)品官Steve Tcherchian表示，網(wǎng)絡攻擊是一種機會犯罪，因此無論應用程序位于何處，都可能受到攻擊。

但是，其漏洞并不是均勻分布的。據(jù)該報告稱，在AWS和Microsoft Azure上運行工作負載的企業(yè)在云中的關鍵漏洞明顯少于本地漏洞。

Tcherchian表示，主要的云計算提供商還有很多工作要做，以幫助客戶在云中構建全面的安全性，例如教育用戶和創(chuàng)建自動化測試工具。他們還必須平衡安全顧慮和使他們的服務更加強大和靈活的需求。盡管如此，網(wǎng)絡攻擊是一種機會主義犯罪，因此無論企業(yè)的應用程序位于何處，都可能受到攻擊。

獲得可視性

企業(yè)需要一種方法來了解其環(huán)境以確保其安全。云計算可以降低企業(yè)實施高端工具的障礙，如安全儀表板和趨勢分析。ServerCentral Turing Group首席信息安全官Thomas Johnson表示，有許多系統(tǒng)可以為內(nèi)部企業(yè)系統(tǒng)提供可視性，但基于云計算的產(chǎn)品的集成性使這更容易，也相對便宜。

內(nèi)部部署系統(tǒng)和基礎設施不具備基于云計算系統(tǒng)的靈活性。例如，企業(yè)可以啟動AWS Shield Advanced等技術，以便在幾分鐘內(nèi)更好地了解攻擊。相比之下，推出新的本地解決方案可以包括新硬件，或者至少可以增加額外的虛擬機以支持新產(chǎn)品。

構建身份訪問與管理（IAM）

內(nèi)容協(xié)作平臺Egnyte公司聯(lián)合創(chuàng)始人、運營副總裁兼首席安全官Kris Lahiri說，主要的云計算提供商突出了身份訪問與管理（IAM）、治理以及其他安全工具和教程，以幫助客戶將他們的旅程映射到云端。他說：“許多這些最佳實踐，如管理加密密鑰或連續(xù)掃描云計算資源，以前都難以實現(xiàn)?！?/p>

這一點尤為重要，因為云計算需要基于身份訪問與管理（IAM）的新安全范例來替換內(nèi)部的外圍安全工具，例如防火墻和VPN。隨著企業(yè)將業(yè)務遷移到云端，他們必須通過身份訪問與管理（IAM）規(guī)則制定核心組織策略，以便創(chuàng)建更好的整體安全狀況。

進行小型審計

當應用程序和數(shù)據(jù)移動到云端以識別任何潛在的安全漏洞時，評估它們的生命周期是很重要的。數(shù)字轉(zhuǎn)型咨詢機構Step5公司的合伙人David McPherson說，企業(yè)應該進行一次小型審計，以充分了解與云計算相關流程相關的安全性。需要了解的重要信息包括：

數(shù)據(jù)位置：了解數(shù)據(jù)的托管位置、使用的服務以及對該數(shù)據(jù)負責的人員。

添加服務：確定誰正在添加和擴展服務。此外，找出誰可以添加服務，并檢查添加的條款。

離開條款：查看離開服務條款，了解當企業(yè)決定退出云端時會發(fā)生什么。

減少人為錯誤的影響

人工智能相機平臺Umbo Computer Vision公司基礎設施負責人Chun Cheng Liu表示，人工錯誤是導致云計算安全性降低的最大風險。在業(yè)務方面，這意味著確保企業(yè)員工了解最新的安全程序，并接受必要的安全培訓，無論員工在企業(yè)中的角色如何，這降低了導致安全漏洞錯誤的可能性。

例如，Umbo公司創(chuàng)建了一個安全門戶，可以在員工入職時對其進行安全策略和實踐培訓。Chun Cheng Liu說：“每個成員都會在入職之后進行安全培訓，以便在事情發(fā)生變化時可以有效應對。”

Johnson表示，錯誤配置的Amazon S3存儲桶等問題往往是缺乏產(chǎn)品知識的一個功能。對于個人而言，在安全性方面本質(zhì)上很難了解各種云計算提供商的所有細微差別。與具有目標平臺知識的專家合作是明智的，尤其是在云遷移的初期。

相關鏈接

云計算是一種新的計算方式，它依托于互聯(lián)網(wǎng)，以網(wǎng)絡技術、分布式計算為基礎，實現(xiàn)按需自服務、快速彈性構建、服務可測量等特點的新一代計算方式。然而，任何以互聯(lián)網(wǎng)為基礎的應用都存在著一定危險性，云計算也不例外，安全問題從云計算誕生那天開始就一直受人關注，其產(chǎn)生的危害和影響遠比傳統(tǒng)安全事件要大得多。依據(jù)云計算現(xiàn)狀并結合實際應用，總結出云計算可能面臨的安全風險主要包括多租戶模式，安全域無邊界;虛擬化難捕捉;數(shù)據(jù)泄漏量大;攻擊頻率急劇增大。

除此之外，不安全的接口和界面、新的攻擊方式、混亂的身份管理、高級持續(xù)性威脅、審查不充分、惡意SaaS應用、共享技術問題等，都是云計算要面臨的安全威脅。