云安全是一组用于保护托管在云中的数据和应用程序的策略和实践。与网络安全一样,云安全是一个非常广泛的领域,永远不可能阻止各种攻击。但是,精心设计的云安全策略可以大大降低网络攻击的风险。
即使存在这些风险,云计算通常也比本地计算更安全。大多数云提供商拥有比单个企业更多的资源来确保数据安全,这让云提供商可以让基础设施保持最新并尽快修补漏洞。另一方面,单个企业可能没有足够的资源来始终如一地执行这些任务。注意:云安全与安全即服务(SECaaS 或 SaaS)不同,后者是指托管在云中的安全产品。
主要的云安全风险是什么?
大多数云安全风险属于以下一般类别之一:
数据暴露或泄露
来自组织外部的未经授权的用户可以访问内部数据
内部授权用户对内部数据的访问权限过多
恶意攻击(例如DDoS 攻击或恶意软件感染)会削弱或破坏云基础架构
云安全策略的目标是通过保护数据、管理用户身份验证和访问以及在面对攻击时保持正常运行,尽可能减少这些风险带来的威胁。
云安全有哪些关键技术?
云安全策略应包括以下所有技术:
加密: 加密是一种对数据进行加扰的方式,以便只有授权方才能理解信息。如果攻击者侵入公司的云并找到未加密的数据,他们就可以对数据进行任意数量的恶意操作:泄露、出售、使用它进行进一步的攻击等。但是,如果公司的数据是加密后,攻击者只会找到无法使用的加密数据,除非他们以某种方式发现解密密钥(这几乎是不可能的)。通过这种方式,加密有助于防止数据泄露和暴露,即使其他安全措施失败。
数据可以在静态(存储时)或传输中(从一个地方发送到另一个地方)进行加密。云数据应在静态和传输中加密,以便攻击者无法拦截和读取它。加密传输中的数据应该解决在云和用户之间传输的数据,以及从一个云到另一个云的数据传输,如在多云或混合云环境中。此外,当数据存储在数据库中或通过云存储服务时,应加密数据。
如果多云或混合云环境中的云在网络层连接,VPN可以加密它们之间的流量。如果它们在应用层连接,则应使用 SSL/TLS 加密。SSL / TLS还应该加密用户和云之间的流量。
身份和访问管理 (IAM): 身份和访问管理 (IAM)产品跟踪用户是谁以及允许他们做什么,并且它们授权用户并在必要时拒绝未经授权的用户访问。IAM 在云计算中非常重要,因为用户的身份和访问权限决定了他们是否可以访问数据,而不是用户的设备或位置。
IAM 有助于减少未经授权的用户访问内部资产和授权用户超出其权限的威胁。正确的 IAM 解决方案将有助于缓解多种攻击,包括帐户接管和内部攻击(当用户或员工滥用其访问权限以暴露数据时)。
IAM 可能包括几个不同的服务,或者它可能是结合了以下所有功能的单一服务:
- 身份提供者 (IdP)验证用户身份
- 单点登录 (SSO)服务有助于验证多个应用程序的用户身份,因此用户只需登录一次即可访问其所有云服务
- 多因素身份验证 (MFA)服务加强了用户身份验证过程
访问控制服务允许和限制用户访问
防火墙:一个云防火墙通过阻止恶意网络流量提供了围绕云资产的保护层。与托管在本地并保护网络外围的传统防火墙不同,云防火墙托管在云中,并在云基础设施周围形成虚拟安全屏障。大多数Web 应用程序防火墙都属于这一类。云防火墙阻止 DDoS 攻击、恶意机器人活动和漏洞利用。这减少了网络攻击破坏组织的云基础设施的机会。
还有哪些其他做法对于保持云数据安全很重要?
仅靠实施上述技术(以及任何其他云安全产品)不足以保护云数据。除了标准的网络安全最佳实践之外,使用云的组织还应遵循以下云安全实践:
正确配置云服务器的安全设置:当公司没有正确设置其安全设置时,可能会导致数据泄露。配置错误的云服务器可以将数据直接暴露给更广泛的互联网。正确配置云安全设置需要团队成员是使用每个云的专家,并且可能还需要与云供应商密切合作。
跨所有云和数据中心的一致安全策略:安全措施必须适用于公司的整个基础架构,包括公共云、私有云和本地基础架构。如果公司的云基础设施的一个方面——比如他们用于大数据处理的公共云服务——没有受到加密和强大的用户身份验证的保护,那么攻击者更有可能找到并瞄准薄弱环节。
备份计划:与任何其他类型的安全性一样,必须有一个计划,以应对出现问题的情况。为防止数据丢失或被篡改,应将数据备份到另一个云或本地。还应该制定故障转移计划,以便在一项云服务发生故障时不会中断业务流程。多云和混合云部署的优势之一是可以使用不同的云作为备份——例如,云中的数据存储可以备份本地数据库。
用户和员工教育:很大一部分数据泄露的发生是因为用户受到网络钓鱼攻击、在不知情的情况下安装了恶意软件、使用过时且易受攻击的设备或密码卫生不佳(重复使用相同的密码,将密码写在可见位置等)。通过对内部员工进行安全教育,在云中运营的企业可以降低发生这些事件的风险。