克服云安全挑戰(zhàn)的方法

Dawn Blizard

隨著各行各業(yè)的企業(yè)在云計算服務(wù)方面的支出越來越多，公有云提供商之間的“市場份額爭奪戰(zhàn)”日益激烈。云計算提供商采用提高用戶忠誠度的策略來爭奪市場，但這種方式往往會讓用戶面臨云安全挑戰(zhàn)。

許多用戶希望避免被某個云計算提供商鎖定，所以通過采用多云的方式將其業(yè)務(wù)遷移到云平臺。如今，越來越少的用戶采用單個公有云提供商的云平臺。數(shù)據(jù)顯示，93%的用戶采用多云，這其中大多數(shù)采用公有云、私有云以及內(nèi)部部署設(shè)施的混合部署環(huán)境。

云安全的主要挑戰(zhàn)

企業(yè)若在云安全領(lǐng)域面臨挑戰(zhàn)，意味著其安全團(tuán)隊需要針對應(yīng)用混合云或多云，設(shè)計新的策略和措施。多云和混合云策略都可能為云安全帶來威脅。云計算技術(shù)的部署使IT運營變得更加復(fù)雜，即使減少了管理物理設(shè)施的需求。采用多云策略也為企業(yè)的安全團(tuán)隊帶來了負(fù)擔(dān)，因為他們通常難以在多云環(huán)境中保持洞察力。所以，企業(yè)避免云計算提供商鎖定的做法，可能導(dǎo)致多個云計算提供商的平臺和軟件即服務(wù)（SaaS）應(yīng)用讀取大量信息，由于這些信息存儲在集成度較差的數(shù)據(jù)孤島中，便使得創(chuàng)建高效的監(jiān)視和事件響應(yīng)工作流變得非常復(fù)雜。

一些云安全挑戰(zhàn)，是緣于復(fù)雜數(shù)據(jù)導(dǎo)致的缺乏控制。當(dāng)企業(yè)使用來自多個云計算提供商的架構(gòu)和服務(wù)交付模型時，要確保全面滿足數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)所需的精細(xì)控制就變得更加困難。

在公有云的應(yīng)用中，產(chǎn)品的快速迭代已經(jīng)成為了一種常態(tài)，但這種變化會往往會產(chǎn)生一些嚴(yán)重的后果。公有云提供商不斷地改變其產(chǎn)品，通常是為了讓用戶更難將工作負(fù)載轉(zhuǎn)移到競爭對手的云平臺上，但是這種方式卻造成了用戶難以及時了解工作負(fù)載的潛在問題。如果負(fù)責(zé)監(jiān)視威脅、檢測安全事件、檢測風(fēng)險、協(xié)調(diào)工作流的團(tuán)隊無法滿足安全需求，那么不論其在任何云計算環(huán)境中，都無法真正確保安全。如果企業(yè)采取的相關(guān)措施，使工作團(tuán)隊在企業(yè)中的工作變得十分混亂，以至于導(dǎo)致錯誤或泄露云端的資源和數(shù)據(jù)，那么采取這種措施，便不能有效的節(jié)省成本。

確保云環(huán)境安全的最佳安全實踐

注意配置錯誤

配置錯誤是大多數(shù)云計算數(shù)據(jù)泄露事件中普遍存在的問題。數(shù)據(jù)顯示，2019的數(shù)據(jù)泄露事件中，超過五分之一的事件是由于配置錯誤造成的，而這些配置錯誤的現(xiàn)象，全部都是由人為錯誤導(dǎo)致?！安灰稿e誤”說起來容易，但做起卻并非易事，數(shù)據(jù)泄露事件中涉及的大多數(shù)團(tuán)隊，并沒有意識到何為其應(yīng)該解決的具體問題。

此外，產(chǎn)生人為配置錯誤的原因，是因為數(shù)據(jù)泄露事件中團(tuán)隊，缺乏審核配置的工具。所以，企業(yè)必須為IT運營人員提供相應(yīng)的技術(shù)支持和培訓(xùn)，確保安全團(tuán)隊對云計算平臺有足夠的了解?？偠灾褂迷圃ぞ?，對于監(jiān)視常見的錯誤配置（包括存儲桶風(fēng)險）問題，會有所幫助。

默認(rèn)加密

默認(rèn)加密是指，在默認(rèn)情況下，對靜態(tài)數(shù)據(jù)進(jìn)行加密。盡管加密本身并不能防止數(shù)據(jù)泄露，但它卻能保證，在發(fā)現(xiàn)漏洞的情況下，數(shù)據(jù)不會被泄露。雖然，默認(rèn)加密是一種額外的保護(hù)措施，但是它在多云供應(yīng)商的安全防護(hù)中起著關(guān)鍵作用。企業(yè)可以在自動化工具的協(xié)助下，深入了解每個云存儲桶是否啟用了加密措施。

維護(hù)身份和訪問管理控制

企業(yè)應(yīng)該仔細(xì)維護(hù)身份和訪問管理（IAM）解決方案，以解決常見的云安全問題。在基于云計算技術(shù)的混合云環(huán)境中，憑據(jù)的泄露對企業(yè)來說是重大的威脅。眾所周知，針對憑據(jù)的攻擊難以被快速的檢測。

在混合云和多云環(huán)境內(nèi)部，部署設(shè)施托管的身份和訪問管理解決方案，往往達(dá)不到理想的效果。然而，針對混合云環(huán)境（如使用輕量級目錄訪問協(xié)議（LDAP）的混合環(huán)境），部署專用的身份和訪問管理解決方案，不失為一種好的方法。

監(jiān)控環(huán)境

有效的監(jiān)控對于應(yīng)對混合部署和云安全挑戰(zhàn)至關(guān)重要。企業(yè)的安全運營流程和工作流程需要與云計算技術(shù)的發(fā)展保持同步。所以，在解決云安全問題時，企業(yè)需要為員工提供支持并幫助其提高技能。企業(yè)需要采用自動化解決方案來幫助分析師收集、監(jiān)視由云平臺創(chuàng)建的不斷增長的日志數(shù)據(jù)，避免因誤報而陷于困境。SOAR平臺（基于開源技術(shù)和標(biāo)準(zhǔn)的平臺）可以橫跨多個云計算提供商的工具和平臺使用，以此簡化事件的分類和響應(yīng)。

此外，人工智能和機(jī)器學(xué)習(xí)輔助工具還可以協(xié)助進(jìn)行數(shù)據(jù)過濾以減少警報。

權(quán)衡成本和收益

企業(yè)在針對多云提供商設(shè)計方案時，需要仔細(xì)權(quán)衡。每件事都有利弊，多云亦是如此，企業(yè)從公有云提供商中選擇云計算服務(wù)和云平臺，可以節(jié)省潛在的成本，同時開發(fā)團(tuán)隊也有機(jī)會選擇更適合優(yōu)化應(yīng)用程序性能的平臺。

此外，當(dāng)企業(yè)面臨需要在云平臺之間移動數(shù)據(jù)或管理整個生態(tài)系統(tǒng)的安全性時，其還需建立一個技能差異較大的工作流程。

企業(yè)如果采用廣泛、統(tǒng)一的混合云和多云提供商的云安全策略，可以幫助其建立一種具備安全性、易構(gòu)建、易管理維護(hù)的云計算環(huán)境。