提高云安全性的五個(gè)技巧

Michelle Drolet

雖然云部署率已經(jīng)到達(dá)了一個(gè)新高度，但是相應(yīng)的安全標(biāo)準(zhǔn)卻未能跟上發(fā)展步伐。由于公司需要對(duì)自己的云安全負(fù)責(zé)，因此以下這五個(gè)實(shí)用技巧將會(huì)有所幫助。

毫無疑問，云的廣泛使用促進(jìn)了更大規(guī)模的協(xié)作，推動(dòng)了創(chuàng)新與創(chuàng)造力的提升。分布在各個(gè)地方的員工可以和諧地共同工作，IT部門能夠降低昂貴的硬件與維護(hù)成本，同時(shí)企業(yè)也可從軟件工具的最新發(fā)展中受益。但是這也不可避免地產(chǎn)生了一個(gè)問題。

人們往往會(huì)在興奮之中忘記了安全。許多企業(yè)都產(chǎn)生了一個(gè)危險(xiǎn)的想法，那就是由云服務(wù)提供商負(fù)責(zé)安全性，然而為了防止發(fā)生代價(jià)高昂的數(shù)據(jù)泄露事件，企業(yè)應(yīng)當(dāng)迅速打消這種想法。由于要面對(duì)許多不同類型的云安全威脅，企業(yè)制定牢固且周密的云安全策略是至關(guān)重要的。

為此，企業(yè)可以采取以下五個(gè)措施來提升自己的云安全性。

建立完整的可見性

企業(yè)要想實(shí)現(xiàn)有序地發(fā)展，需要獲取和部署可與遺留系統(tǒng)集成在一起的新工具，并與不同供應(yīng)商和合作伙伴建立新關(guān)系。在本地服務(wù)器和多個(gè)外部云服務(wù)之間傳輸數(shù)據(jù)的混合云環(huán)境并不少見，但是日益增加的復(fù)雜性卻使得企業(yè)難以通觀全局。

在對(duì)570名網(wǎng)絡(luò)安全人員和IT專業(yè)人員進(jìn)行的一項(xiàng)調(diào)查當(dāng)中，當(dāng)被問及在保護(hù)云工作負(fù)載時(shí)遇到的最頭疼的問題是什么時(shí)，認(rèn)為是基礎(chǔ)設(shè)施安全性的可見性比例最高，為43%，其次是合規(guī)性（38%），再次為設(shè)置統(tǒng)一的安全策略（35%）。如果沒有充分映射并建立實(shí)時(shí)可見性，那么企業(yè)將無法保護(hù)自己的云環(huán)境。

培訓(xùn)員工

無論是錯(cuò)誤配置、訪問控制權(quán)不當(dāng)、網(wǎng)絡(luò)釣魚攻擊還是其他的簡單錯(cuò)誤，絕大多數(shù)數(shù)據(jù)泄露都可以追溯為人為錯(cuò)誤。這就是適當(dāng)?shù)陌踩庾R(shí)培訓(xùn)如此重要的原因。企業(yè)需要為員工提供一些知識(shí)和技能，以降低惡意軟件或未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn)，并確保他們能夠及時(shí)報(bào)告潛在事件。

確保員工具備正確配置手中工具所需技能只是其中的一部分。企業(yè)還需要培養(yǎng)員工良好的安全習(xí)慣，并制定清晰細(xì)致的規(guī)章制度，規(guī)定誰應(yīng)當(dāng)為此負(fù)責(zé)以及明確發(fā)生潛在事件時(shí)的處置程序。完全杜絕錯(cuò)誤是不可能的，但是正確的反應(yīng)可以徹底扭轉(zhuǎn)被動(dòng)局面。

盡可能早地考慮安全性

對(duì)于任何想保護(hù)云安全的人來說，部分問題在于他們常常需要為在設(shè)計(jì)時(shí)很少考慮安全性的系統(tǒng)進(jìn)行安全改造。負(fù)責(zé)安全的人往往會(huì)努力說服承受著各種壓力的設(shè)計(jì)團(tuán)隊(duì)修改他們的流程，但是部門之間的隔閡可能會(huì)導(dǎo)致設(shè)計(jì)團(tuán)隊(duì)出現(xiàn)不滿和抵制情緒。

向DevSecOps轉(zhuǎn)變的一個(gè)重要內(nèi)容就是將安全性納入開發(fā)過程中并消除隔閡，因?yàn)镈evSecOps允許從項(xiàng)目啟動(dòng)之初就將安全性納入到設(shè)計(jì)當(dāng)中。雖然這可能是一個(gè)雄心勃勃的目標(biāo)，但是無論是關(guān)于部署新工具、開發(fā)軟件還是調(diào)整云架構(gòu)，在任何討論中盡早考慮安全性這一基本原則是非常行之有效的。

持續(xù)監(jiān)控

能夠?yàn)樽约旱脑苿?chuàng)建一個(gè)快照并精準(zhǔn)映射數(shù)據(jù)在任何時(shí)間的存儲(chǔ)位置只是基礎(chǔ)，企業(yè)還需要不斷保持警惕以應(yīng)對(duì)可能出現(xiàn)的麻煩。數(shù)據(jù)應(yīng)始終處于加密狀態(tài)，訪問權(quán)限應(yīng)被嚴(yán)格控制，流量要被監(jiān)控起來，漏洞也需盡快被識(shí)別和修復(fù)。

持續(xù)監(jiān)控自己的網(wǎng)絡(luò)并連續(xù)提供有關(guān)潛在威脅的新信息至關(guān)重要。企業(yè)應(yīng)確?？梢尚袨楸粯?biāo)記出來，以便發(fā)現(xiàn)居心不良的內(nèi)部人員和未經(jīng)授權(quán)的訪問，并為所有的數(shù)據(jù)修改或刪除建立清晰的審計(jì)跟蹤。企業(yè)發(fā)現(xiàn)問題的速度越快，獲得解決問題的機(jī)會(huì)也就越佳。

定期測試

將數(shù)據(jù)遷移到云端并不會(huì)隨之將責(zé)任也轉(zhuǎn)移給云服務(wù)提供商，這與目前流行的觀點(diǎn)不同。如果發(fā)生數(shù)據(jù)丟失，企業(yè)仍要承擔(dān)監(jiān)管處罰、公信力損失以及所有其他相關(guān)后果。這就是為什么企業(yè)必須對(duì)合作伙伴進(jìn)行盡職調(diào)查并確保他們完全理解合規(guī)對(duì)企業(yè)的意義。

確保內(nèi)部和外部防御機(jī)制正常工作的唯一辦法就是測試它們。企業(yè)應(yīng)當(dāng)制定并實(shí)施定期測試程序，包括從滲透測試到模擬網(wǎng)絡(luò)釣魚攻擊的所有內(nèi)容。在測試中創(chuàng)建反饋循環(huán)并加入新興威脅是確保企業(yè)安全系統(tǒng)快速發(fā)展的最佳方法。此外，企業(yè)不要忘記將測試與可操作的補(bǔ)救建議聯(lián)系起來，以便安全團(tuán)隊(duì)能夠進(jìn)行必要的改進(jìn)。再次強(qiáng)調(diào)一下，不要忘記文檔、文檔、文檔，重要的事情說三遍！

雖然云安全還有許多東西需要進(jìn)行深入挖掘，并且每家企業(yè)的網(wǎng)絡(luò)看起來都不相同，但是上述這些指導(dǎo)原則應(yīng)該會(huì)有幫助。

本文作者M(jìn)ichelle Drolet為馬薩諸塞州弗雷明漢市數(shù)據(jù)安全服務(wù)提供商Towerwall的創(chuàng)始人，其客戶包括史密斯威森、米德塞克斯儲(chǔ)蓄銀行、WGBH公司、Covenant Healthcare以及其他許多中型公司。

原文網(wǎng)址

https：//www.csoonline.com/article/3303580/cloud-security/5-tips-for-better-cloud-security.html