云安全：启用安全云部署

组织需要了解在私有云、公共云、混合云和多云环境中确保云计算安全的可操作步骤，而其采用的云平台可以通过适当的策略来确保安全。云计算安全是技术专业人士十分关注的问题。有些人认为云计算本身是安全的，甚至比数据中心还要安全；其他人认为云计算本身并不安全，因此不要将它们用于关键任务的工作负载。

组织需要了解在私有云、公共云、混合云和多云环境中确保云计算安全的可操作步骤，而其采用的云平台可以通过适当的策略来确保安全。

云计算安全是技术专业人士十分关注的问题。有些人认为云计算本身是安全的，甚至比数据中心还要安全；其他人认为云计算本身并不安全，因此不要将它们用于关键任务的工作负载。

事实上，云计算环境是否比数据中心更安全，具体取决于它们的实施方式。认真对待云计算安全的组织应该努力了解云计算公司提供的详细信息，因为这对完善云计算安全管理是必要的。

底线：对于组织来说，云计算安全应该是最重要的事项，因为他们的企业声誉、运营业务和财务安全都依赖于云计算安全。

什么是云计算安全？

简而言之，云计算安全包括两个主要因素：

•云计算安全性是一组公司创建的指南，用于阻止任何可能的数据丢失、泄露或不可用的形式。

•云计算安全性也是一种专用的附加云计算服务，可确保云计算环境及其中存储的数据安全。

云计算本身安全吗？

如果云计算提供商和安全厂商无法很好地保护其客户的数据，那么这些公司的经营和发展很难长久。但是，组织必须自己决定他们需要哪些安全功能，因为这可能不是一个万能的主张。例如，基本的云计算服务往往包括基本安全功能。但是，企业需要企业级安全选项。

组织将业务迁移到云端时，安全和IT专业人员需要明智地了解他们公司的风险偏好和安全状况，因此他们知道哪些基于云计算的控制是必要的。例如：

•可能需要遵守的法规。如果是这样，组织将需要合规性控制。

•所需数据安全性的有效性应该是可验证的。

•基于云计算的控制至少应该与内部部署控制一样强大。

•云计算提供商应具备物理安全性，以确保不法分子无法访问其设备。

为了让客户放心，云计算提供商提供IT和安全专业人员可以使用的管理控制台，以确保：

•他们的数据和托管数据的云计算环境是安全的。

•他们对当前的安全状况有最新的了解。

•他们及时收到有关情况和值得注意的事件的通知。

•他们可以确定问题的根本原因并加以纠正。

鉴于数据量的快速增长，技术创新的加速发展以及不断出现的黑帽策略，依靠云计算的安全性是一个合理的选择。这是因为，如果管理得当，它可以提供比内部部署数据中心更大的弹性和安全性。但要实现这一点，云计算安全管理和安全管理应该协调一致。

虽然云计算安全性很复杂，但以上三个准则提供了一个坚实的起点。

云计算中的安全问题

如上所述，云计算可能比本地数据中心更安全，但本质上并不一定如此。其差异取决于企业自身的安全实践。例如，完全有可能以导致安全漏洞的方式错误配置云中的虚拟资产，即使该公司订阅了云安全选项。这就是IT和安全团队应该对云计算挑战有深刻理解的原因。

与传统网络环境不同，传统网络环境试图使用防火墙等外围防御来保护公司，云计算环境本质上与第三方环境相连，第三方环境可能包括受损的应用程序编程接口(API)和未正确设置和管理的访问控制。

此外，不同类型的云计算环境也代表着独特的挑战。例如：

私有云

私有云通常驻留在数据中心内，因此企业拥有并管理所有硬件和软件。数据中心安全性中已存在的安全实践中的弱点都可能转移到私有云。管理员必须了解云计算和内部部署软件之间的区别：内部部署软件是企业自己管理的，而云计算软件则由其他公司管理。然而，任何人都不能忘记它，两者都必须得到管理。

公共云

公共云具有多租户架构，这意味着企业可以与其他人共享计算或存储资源。当然，云计算提供商已设置虚拟障碍，将企业的云计算环境与其他客户的环境分开。仍然可能存在数据损坏的情况。

此外，云计算提供商的使用条款要求用户在合同中同意不做任何可能对其他客户产生负面影响的事情，但不是每个用户都会始终遵守这一承诺。除了恶意行为者的可能性之外，其邻近客户可能会无意中做一些事情，从而导致诸如分布式拒绝服务(DDoS)攻击等不良后果。

混合云

大多数组织都采用混合云，它涉及数据中心、公共云和/或私有云的某种组合。这里的风险是针对不同的环境采用不同的安全策略，实际上，这些策略具有三种难以管理和协调的不同安全策略。此外，工作人员有时会忘记在作为漏洞点的各种物理和虚拟资产之间存在连接点。

多云

大多数组织也采用多云策略，这往往意味着他们使用多种类型的公共云服务提供商。两个最受欢迎的多云的选项是Amazon Web Services和Microsoft Azure。在这种情况下，应该完全理解每个提供的安全功能。

真正的云计算安全性要求在整个系统中集成云安全策略。

云安全架构

云安全架构会影响云计算安全的有效性。以下是一些可操作的安全管理技巧，可用于强化云计算环境。

预防

防止攻击的最佳方法是需要持续：

•识别漏洞。

•根据攻击严重程度、威胁情报和受攻击影响的资产确定优先级。

•通过修补它们来修复优先级漏洞。

不幸的是，大多数组织都没有按照应有的方式持续管理安全漏洞。大多数组织也很难确定漏洞的优先级，因为漏洞可能很多。

检测

预防是最好的安全防御之一。组织应有适当的检测控制措施，以确定问题并在必要时提醒安保人员。检测控制倾向于与校正控制协同工作，校正控制可以是自动的、手动的，或两者的组合，这取决于情况是由轻微错误、网络攻击还是其他类型的事件引起的。

安全措施

无论采取何种安全控制措施，都会发生安全事件。在它们发生之前，应该有适当的纠正控制措施，以尽量减少居心不良的人可能造成的伤害。例如，如果黑客获得对数据库或敏感文件的访问权限，接下来会发生什么?如果数据被销毁，是否有适当的灾难恢复选项?

云计算安全软件和服务

以下是企业应考虑的一些云计算安全软件和服务选项：

•IaaS或PaaS云安全选项-这些是附加服务，为企业提供比基本云计算选项更广泛的安全选项。

•身份和访问管理(IAM)-这些工具确保只有授权方才能访问数据和计算资源。

•物理安全 - 除数字安全外，IaaS/PaaS提供商还应拥有物理安全性(例如门锁、检查点)，以确保其IT资产保持安全。

•加密-加密静止和运动中的数据。

•渗透测试-外部顾问被聘为“白帽”，以闯入企业的系统，目的是识别弱点。

•合规控制-确保遵守HIPPA、GDPR等法规。

（来源：企业网D1net）