隨著組織將越來越多的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到云端，安全架構(gòu)在確保工作負(fù)載安全方面變得至關(guān)重要。云安全架構(gòu)是一個框架，它定義了組織如何為云模型處理云安全，以及打算使用哪些解決方案和技術(shù)來創(chuàng)建安全環(huán)境。

云安全架構(gòu)還必須考慮組織和基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供商之間的共同責(zé)任，保護(hù)云提供商平臺上的數(shù)據(jù)和工作負(fù)載。

云安全挑戰(zhàn)

云安全為組織帶來了獨(dú)特的挑戰(zhàn)，以下是在設(shè)計云安全架構(gòu)時應(yīng)考慮的一些主要挑戰(zhàn)。

身份和訪問：云系統(tǒng)默認(rèn)設(shè)置是不安全的，員工很容易在云上創(chuàng)建資源而無人看管。所有云提供商都提供強(qiáng)大的身份和訪問管理（IAM）功能，但由組織未正確設(shè)置就將其應(yīng)用于所有工作負(fù)載。

不安全的API：云中的一切都有一個API，這既強(qiáng)大又極其危險。未充分保護(hù)或使用弱身份驗證的API可能允許攻擊者訪問和控制整個環(huán)境，API是通向云的前門，而且通常都是敞開的。

錯誤配置：云環(huán)境有大量移動部件，包括計算實例、存儲桶、數(shù)據(jù)庫、容器和無服務(wù)器功能。其中大部分是短暫的，每天都有新實例啟動和關(guān)閉。這些資源中的任何一個都可能被錯誤配置，從而允許攻擊者通過公共網(wǎng)絡(luò)訪問它們、泄露數(shù)據(jù)并對關(guān)鍵系統(tǒng)造成損害。

合規(guī)風(fēng)險：必須確保云提供商支持所有相關(guān)的合規(guī)要求，并了解可以使用哪些控制和服務(wù)來滿足合規(guī)義務(wù)。

隱形控制平面：在云中，控制平面不受組織控制。雖然云提供商負(fù)責(zé)其基礎(chǔ)設(shè)施的安全，但他們不提供有關(guān)數(shù)據(jù)流和內(nèi)部架構(gòu)的信息，這意味著安全團(tuán)隊在盲目飛行。

構(gòu)建云安全架構(gòu)的技巧

以下這些技巧可以幫助構(gòu)建可靠的云安全架構(gòu)。

進(jìn)行盡職調(diào)查

在遷移到云提供商或?qū)⒃撇渴饠U(kuò)展到其他云提供商之前，組織應(yīng)仔細(xì)調(diào)查整個云服務(wù)提供商的安全性和彈性屬性以及他們打算使用的特定服務(wù)。

盡職調(diào)查過程應(yīng)包括：

根據(jù)來自同行業(yè)組織的數(shù)據(jù)定義安全性和可用性基準(zhǔn);

發(fā)現(xiàn)云提供商的安全最佳實踐及其對組織的影響;

嘗試云提供商的安全功能，例如加密、日志記錄以及身份和訪問管理（IAM）;

了解云提供商如何幫助滿足合規(guī)義務(wù)以及獲得認(rèn)證的標(biāo)準(zhǔn);

了解云提供商的責(zé)任、共擔(dān)模型的細(xì)節(jié)以及組織負(fù)責(zé)哪些安全元素;

評估第一方安全服務(wù)（由云平臺提供）并將它們與第三方替代產(chǎn)品進(jìn)行比較;

評估現(xiàn)有的安全工具是否與新的云環(huán)境相關(guān)。

確定哪些數(shù)據(jù)最敏感

對于大多數(shù)組織而言，對所有數(shù)據(jù)應(yīng)用嚴(yán)格的安全措施是不可行的，但必須確定需要保護(hù)哪些數(shù)據(jù)類別以防止違規(guī)。使用數(shù)據(jù)檢測需要保護(hù)的內(nèi)容至關(guān)重要。

這通常使用自動數(shù)據(jù)分類引擎來實現(xiàn)，這些工具旨在跨網(wǎng)絡(luò)、端點(diǎn)、數(shù)據(jù)庫和云查找敏感內(nèi)容，使組織能夠識別敏感數(shù)據(jù)并建立必要的安全控制。

讓員工云使用走出陰影

擁有企業(yè)云安全策略并不意味著員工會遵守，在使用常見的云服務(wù)（例如Dropbox或基于網(wǎng)絡(luò)的電子郵件）之前，員工很少咨詢IT部門。

組織的Web代理、防火墻和SIEM日志是衡量員工對影子云使用情況的資源，這些可以提供有關(guān)正在使用哪些服務(wù)以及由哪些員工使用的全面視圖。在發(fā)現(xiàn)影子云使用情況時，可以根據(jù)服務(wù)帶來的風(fēng)險評估服務(wù)的附加價值，可以選擇“合法化”影子云服務(wù)，也可以進(jìn)行打擊并采取措施禁止它們。

影子使用的另一個方面是從不受信任的端點(diǎn)設(shè)備訪問合法的云資源。由于連接Internet的任何設(shè)備都可以訪問云服務(wù)，因此個人移動設(shè)備可能會在安全策略中造成差距。為了防止數(shù)據(jù)從受信任的云服務(wù)轉(zhuǎn)移到不受管理的設(shè)備，在啟用訪問之前需要對設(shè)備進(jìn)行安全驗證。

保護(hù)云端點(diǎn)

許多組織正在部署具有多層保護(hù)的端點(diǎn)保護(hù)平臺，包括端點(diǎn)檢測和響應(yīng)（EDR），下一代防病毒（NGAV）以及用戶和實體行為分析（UEBA）。

端點(diǎn)保護(hù)在云中更為重要。在云中，端點(diǎn)是計算實例、存儲卷、存儲桶以及Amazon RDS等托管服務(wù)。

云部署有大量端點(diǎn)，它們的變化比本地更頻繁，因此需要更高級別的可見性。端點(diǎn)保護(hù)工具可以幫助組織控制云工作負(fù)載并保護(hù)其最薄弱的環(huán)節(jié)。

了解您在合規(guī)義務(wù)中的作用

合規(guī)性最終是組織的唯一責(zé)任。無論將多少業(yè)務(wù)功能轉(zhuǎn)移到云端，都可以選擇+云架構(gòu)平臺來幫助您遵守適用于所在行業(yè)的監(jiān)管標(biāo)準(zhǔn)，無論是PCI DSS、GDPR、HIPAA和CCPA還是任何其他標(biāo)準(zhǔn)或法規(guī)。

了解云提供商提供的工具和服務(wù)以確保合規(guī)性，以及可以使用哪些第三方工具來創(chuàng)建合規(guī)的云系統(tǒng)。

構(gòu)建云安全架構(gòu)并非易事。需要為云環(huán)境解決組織的安全策略、相關(guān)合規(guī)標(biāo)準(zhǔn)和安全最佳實踐，同時還要應(yīng)對云基礎(chǔ)架構(gòu)的高度復(fù)雜性和動態(tài)性這里提供了5個技巧：

在使用云提供商或云服務(wù)之前，對安全性和合規(guī)性影響進(jìn)行調(diào)查;

確定存儲在云環(huán)境中的哪些數(shù)據(jù)是敏感的、需要保護(hù)的;

通過“合法化”阻止云服務(wù)，讓員工了解云使用情況并防止影子IT;

使用與云兼容的端點(diǎn)保護(hù)技術(shù)，保護(hù)云中的端點(diǎn);

了解組織和云提供商之間在合規(guī)義務(wù)方面的責(zé)任分擔(dān)，并確保盡自己的一份力量。