建立云安全架構的5個技巧

隨著組織將越來越多的數據和應用程序轉移到云端，安全架構在確保工作負載安全方面變得至關重要。云安全架構是一個框架，它定義了組織如何為云模型處理云安全，以及打算使用哪些解決方案和技術來創建安全環境。

云安全架構還必須考慮組織和基礎設施即服務（IaaS）提供商之間的共同責任，保護云提供商平臺上的數據和工作負載。

云安全挑戰

云安全為組織帶來了獨特的挑戰，以下是在設計云安全架構時應考慮的一些主要挑戰。

身份和訪問：云系統默認設置是不安全的，員工很容易在云上創建資源而無人看管。所有云提供商都提供強大的身份和訪問管理（IAM）功能，但由組織未正確設置就將其應用于所有工作負載。

不安全的API：云中的一切都有一個API，這既強大又極其危險。未充分保護或使用弱身份驗證的API可能允許攻擊者訪問和控制整個環境，API是通向云的前門，而且通常都是敞開的。

錯誤配置：云環境有大量移動部件，包括計算實例、存儲桶、數據庫、容器和無服務器功能。其中大部分是短暫的，每天都有新實例啟動和關閉。這些資源中的任何一個都可能被錯誤配置，從而允許攻擊者通過公共網絡訪問它們、泄露數據并對關鍵系統造成損害。

合規風險：必須確保云提供商支持所有相關的合規要求，并了解可以使用哪些控制和服務來滿足合規義務。

隱形控制平面：在云中，控制平面不受組織控制。雖然云提供商負責其基礎設施的安全，但他們不提供有關數據流和內部架構的信息，這意味著安全團隊在盲目飛行。

構建云安全架構的技巧

以下這些技巧可以幫助構建可靠的云安全架構。

進行盡職調查

在遷移到云提供商或將云部署擴展到其他云提供商之前，組織應仔細調查整個云服務提供商的安全性和彈性屬性以及他們打算使用的特定服務。

盡職調查過程應包括：

根據來自同行業組織的數據定義安全性和可用性基準;

發現云提供商的安全最佳實踐及其對組織的影響;

嘗試云提供商的安全功能，例如加密、日志記錄以及身份和訪問管理（IAM）;

了解云提供商如何幫助滿足合規義務以及獲得認證的標準;

了解云提供商的責任、共擔模型的細節以及組織負責哪些安全元素;

評估第一方安全服務（由云平臺提供）并將它們與第三方替代產品進行比較;

評估現有的安全工具是否與新的云環境相關。

確定哪些數據最敏感

對于大多數組織而言，對所有數據應用嚴格的安全措施是不可行的，但必須確定需要保護哪些數據類別以防止違規。使用數據檢測需要保護的內容至關重要。

這通常使用自動數據分類引擎來實現，這些工具旨在跨網絡、端點、數據庫和云查找敏感內容，使組織能夠識別敏感數據并建立必要的安全控制。

讓員工云使用走出陰影

擁有企業云安全策略并不意味著員工會遵守，在使用常見的云服務（例如Dropbox或基于網絡的電子郵件）之前，員工很少咨詢IT部門。

組織的Web代理、防火墻和SIEM日志是衡量員工對影子云使用情況的資源，這些可以提供有關正在使用哪些服務以及由哪些員工使用的全面視圖。在發現影子云使用情況時，可以根據服務帶來的風險評估服務的附加價值，可以選擇“合法化”影子云服務，也可以進行打擊并采取措施禁止它們。

影子使用的另一個方面是從不受信任的端點設備訪問合法的云資源。由于連接Internet的任何設備都可以訪問云服務，因此個人移動設備可能會在安全策略中造成差距。為了防止數據從受信任的云服務轉移到不受管理的設備，在啟用訪問之前需要對設備進行安全驗證。

保護云端點

許多組織正在部署具有多層保護的端點保護平臺，包括端點檢測和響應（EDR），下一代防病毒（NGAV）以及用戶和實體行為分析（UEBA）。

端點保護在云中更為重要。在云中，端點是計算實例、存儲卷、存儲桶以及Amazon RDS等托管服務。

云部署有大量端點，它們的變化比本地更頻繁，因此需要更高級別的可見性。端點保護工具可以幫助組織控制云工作負載并保護其最薄弱的環節。

了解您在合規義務中的作用

合規性最終是組織的唯一責任。無論將多少業務功能轉移到云端，都可以選擇+云架構平臺來幫助您遵守適用于所在行業的監管標準，無論是PCI DSS、GDPR、HIPAA和CCPA還是任何其他標準或法規。

了解云提供商提供的工具和服務以確保合規性，以及可以使用哪些第三方工具來創建合規的云系統。

構建云安全架構并非易事。需要為云環境解決組織的安全策略、相關合規標準和安全最佳實踐，同時還要應對云基礎架構的高度復雜性和動態性這里提供了5個技巧：

在使用云提供商或云服務之前，對安全性和合規性影響進行調查;

確定存儲在云環境中的哪些數據是敏感的、需要保護的;

通過“合法化”阻止云服務，讓員工了解云使用情況并防止影子IT;

使用與云兼容的端點保護技術，保護云中的端點;

了解組織和云提供商之間在合規義務方面的責任分擔，并確保盡自己的一份力量。