克服云安全挑戰的方法

Dawn Blizard

隨著各行各業的企業在云計算服務方面的支出越來越多，公有云提供商之間的“市場份額爭奪戰”日益激烈。云計算提供商采用提高用戶忠誠度的策略來爭奪市場，但這種方式往往會讓用戶面臨云安全挑戰。

許多用戶希望避免被某個云計算提供商鎖定，所以通過采用多云的方式將其業務遷移到云平臺。如今，越來越少的用戶采用單個公有云提供商的云平臺。數據顯示，93%的用戶采用多云，這其中大多數采用公有云、私有云以及內部部署設施的混合部署環境。

云安全的主要挑戰

企業若在云安全領域面臨挑戰，意味著其安全團隊需要針對應用混合云或多云，設計新的策略和措施。多云和混合云策略都可能為云安全帶來威脅。云計算技術的部署使IT運營變得更加復雜，即使減少了管理物理設施的需求。采用多云策略也為企業的安全團隊帶來了負擔，因為他們通常難以在多云環境中保持洞察力。所以，企業避免云計算提供商鎖定的做法，可能導致多個云計算提供商的平臺和軟件即服務（SaaS）應用讀取大量信息，由于這些信息存儲在集成度較差的數據孤島中，便使得創建高效的監視和事件響應工作流變得非常復雜。

一些云安全挑戰，是緣于復雜數據導致的缺乏控制。當企業使用來自多個云計算提供商的架構和服務交付模型時，要確保全面滿足數據保護標準所需的精細控制就變得更加困難。

在公有云的應用中，產品的快速迭代已經成為了一種常態，但這種變化會往往會產生一些嚴重的后果。公有云提供商不斷地改變其產品，通常是為了讓用戶更難將工作負載轉移到競爭對手的云平臺上，但是這種方式卻造成了用戶難以及時了解工作負載的潛在問題。如果負責監視威脅、檢測安全事件、檢測風險、協調工作流的團隊無法滿足安全需求，那么不論其在任何云計算環境中，都無法真正確保安全。如果企業采取的相關措施，使工作團隊在企業中的工作變得十分混亂，以至于導致錯誤或泄露云端的資源和數據，那么采取這種措施，便不能有效的節省成本。

確保云環境安全的最佳安全實踐

注意配置錯誤

配置錯誤是大多數云計算數據泄露事件中普遍存在的問題。數據顯示，2019的數據泄露事件中，超過五分之一的事件是由于配置錯誤造成的，而這些配置錯誤的現象，全部都是由人為錯誤導致。“不要犯錯誤”說起來容易，但做起卻并非易事，數據泄露事件中涉及的大多數團隊，并沒有意識到何為其應該解決的具體問題。

此外，產生人為配置錯誤的原因，是因為數據泄露事件中團隊，缺乏審核配置的工具。所以，企業必須為IT運營人員提供相應的技術支持和培訓，確保安全團隊對云計算平臺有足夠的了解。總而言之，使用云原生工具，對于監視常見的錯誤配置（包括存儲桶風險）問題，會有所幫助。

默認加密

默認加密是指，在默認情況下，對靜態數據進行加密。盡管加密本身并不能防止數據泄露，但它卻能保證，在發現漏洞的情況下，數據不會被泄露。雖然，默認加密是一種額外的保護措施，但是它在多云供應商的安全防護中起著關鍵作用。企業可以在自動化工具的協助下，深入了解每個云存儲桶是否啟用了加密措施。

維護身份和訪問管理控制

企業應該仔細維護身份和訪問管理（IAM）解決方案，以解決常見的云安全問題。在基于云計算技術的混合云環境中，憑據的泄露對企業來說是重大的威脅。眾所周知，針對憑據的攻擊難以被快速的檢測。

在混合云和多云環境內部，部署設施托管的身份和訪問管理解決方案，往往達不到理想的效果。然而，針對混合云環境（如使用輕量級目錄訪問協議（LDAP）的混合環境），部署專用的身份和訪問管理解決方案，不失為一種好的方法。

監控環境

有效的監控對于應對混合部署和云安全挑戰至關重要。企業的安全運營流程和工作流程需要與云計算技術的發展保持同步。所以，在解決云安全問題時，企業需要為員工提供支持并幫助其提高技能。企業需要采用自動化解決方案來幫助分析師收集、監視由云平臺創建的不斷增長的日志數據，避免因誤報而陷于困境。SOAR平臺（基于開源技術和標準的平臺）可以橫跨多個云計算提供商的工具和平臺使用，以此簡化事件的分類和響應。

此外，人工智能和機器學習輔助工具還可以協助進行數據過濾以減少警報。

權衡成本和收益

企業在針對多云提供商設計方案時，需要仔細權衡。每件事都有利弊，多云亦是如此，企業從公有云提供商中選擇云計算服務和云平臺，可以節省潛在的成本，同時開發團隊也有機會選擇更適合優化應用程序性能的平臺。

此外，當企業面臨需要在云平臺之間移動數據或管理整個生態系統的安全性時，其還需建立一個技能差異較大的工作流程。

企業如果采用廣泛、統一的混合云和多云提供商的云安全策略，可以幫助其建立一種具備安全性、易構建、易管理維護的云計算環境。