云安全的五個優(yōu)秀實踐
2022年10月11日
保護云中的數(shù)據(jù)和應(yīng)用程序需要采用嚴格的策略管理人員�����、流程和技術(shù)��。由于云計算出色的可靠性、可擴展性以及可以顯著降低成本���,遷移到云平臺的企業(yè)數(shù)量急劇增加��。
云安全的優(yōu)秀實踐
與一切都在傳統(tǒng)數(shù)據(jù)中心運行的時代相比���,云計算改變了應(yīng)用程序和數(shù)據(jù)的訪問和消費方式。云服務(wù)模型需要足夠的安全措施和框架來提供適當?shù)姆雷o��。這些最佳實踐的核心思想是���,云計算用戶應(yīng)該徹底熟悉他們購買的服務(wù)���,并使用云服務(wù)提供商提供的安全資源。
(1)云安全作為共享責任模型
云中的安全性是使用共享責任模型實現(xiàn)的�。簡單地說,確?�?蛻魯?shù)據(jù)和虛擬化平臺本身安全永遠是云服務(wù)提供商的工作和責任���。
云計算用戶必須了解所涉及的風險�����,并主動設(shè)計和實現(xiàn)充分的安全控制��。一些例子包括了解何時需要加密虛擬化存儲�、設(shè)置虛擬網(wǎng)絡(luò)和防火墻以及在共享和專用主機之間進行選擇。
云環(huán)境中的安全是云服務(wù)提供商和云用戶的共同責任����,在某些領(lǐng)域有一些重疊。當前許多云安全問題都源于客戶對誰負責什么問題的困惑���?�?梢悦鞔_���,是云計算用戶承擔了云安全更重要的部分,而不是云服務(wù)提供商���。
(2)提高員工技能
全球云計算市場目前以15.14%的年復(fù)合增長率增長�,預(yù)計到2027年云計算市場規(guī)模將達到9234.6億美元�。在未來幾年,云計算應(yīng)用將變得無處不在����,包括但不限于原生云軟件應(yīng)用程序開發(fā)、跨云或混合平臺的解決方案架構(gòu)等等��。對員工來說�����,以長遠的眼光為自己的職業(yè)發(fā)展做規(guī)劃是至關(guān)重要的�。
在企業(yè)工作了一段時間的員工比新員工更有優(yōu)勢,因為他們已經(jīng)熟悉企業(yè)的文化����、價值觀和流程。因為大多數(shù)現(xiàn)有的IT技能都可以很容易地重用�����,所以重新培訓比招聘更高效�����、更劃算��,而且它可以幫助滿足對以云計算為中心的IT勞動力的直接需求���。
每個企業(yè)都必須確定它將使用云計算的哪些方面���,比如運營�����、軟件開發(fā)��、網(wǎng)絡(luò)支持和基礎(chǔ)設(shè)施需求��,然后為其現(xiàn)有員工設(shè)計培訓計劃以滿足這些要求�����。
(3)實現(xiàn)身份和訪問管理
身份管理和訪問控制的安全措施包括:
應(yīng)用多因素身份驗證系統(tǒng)
當有條件訪問策略并且身份驗證由目錄服務(wù)(如LDAP或活動目錄)控制時�����,使用多因素身份驗證系統(tǒng)(MFA)�����。
訪問控制方法
在使用云服務(wù)時��,企業(yè)必須以適當?shù)脑L問級別管理對云計算資源的訪問���?��;诮巧脑L問控制是一種方法�,可用于控制誰有權(quán)訪問云平臺的哪些部分,以及他們可以對被授予訪問權(quán)限的資源做什么���。
可疑活動監(jiān)控
必須迅速查明�、隔離和消除可疑活動���。身份監(jiān)視系統(tǒng)必須具備立即發(fā)出警報的能力�����,以便采取適當?shù)拇胧?/span>
(4)加密傳輸中的和靜止的數(shù)據(jù)
沒有迫切需要開發(fā)一種新的方法來保護云端的數(shù)據(jù)�����。云計算數(shù)據(jù)保護與傳統(tǒng)數(shù)據(jù)中心的數(shù)據(jù)保護非常相似�。在云平臺中�����,可以實現(xiàn)數(shù)據(jù)保護策略,如身份和身份驗證���、加密��、訪問控制��、安全刪除�、數(shù)據(jù)屏蔽和完整性檢查�����。
云服務(wù)提供商必須保證所有已經(jīng)部署云資源的物理安全���。在信息傳輸或靜止時��,加密對于保護信息至關(guān)重要��。云服務(wù)提供商能夠?qū)崿F(xiàn)各種各樣的加密方法�,如全磁盤加密���、格式保留加密��、應(yīng)用層加密����、文件加密和數(shù)據(jù)庫加密。
企業(yè)可以通過在將數(shù)據(jù)傳輸?shù)皆破脚_之前對其進行加密或使用加密連接來保護傳輸中的數(shù)據(jù)內(nèi)容�。企業(yè)在存儲數(shù)據(jù)時要保護數(shù)據(jù),首先要做的就是對其進行加密��。
(5)實現(xiàn)入侵防御和入侵檢測
入侵檢測系統(tǒng)可以根據(jù)其起源點進一步分為基于主機和基于網(wǎng)絡(luò)的類別����。入侵檢測系統(tǒng)生成的警報使其值得使用����。
入侵檢測系統(tǒng)可以生成真實的和虛假的警告。這些入侵檢測系統(tǒng)每天產(chǎn)生大量的信號����。學術(shù)界和工業(yè)界的一些研究團隊已經(jīng)引入了大量的入侵數(shù)據(jù)集來評估新的攻擊和入侵檢測技術(shù)。這些數(shù)據(jù)集主要有三種類型:公共���、私有和網(wǎng)絡(luò)模擬��。
使用各種資源創(chuàng)建公有和私有入侵數(shù)據(jù)集���。這些數(shù)據(jù)集是在工具的幫助下生成的�,這些工具可以追蹤受害者�����、各種攻擊�、捕獲和預(yù)處理流量,并密切關(guān)注流量模式����。
結(jié)論
大多數(shù)企業(yè)為確保其內(nèi)部部署應(yīng)用程序和數(shù)據(jù)存儲的安全所做的努力,都達不到云服務(wù)所能達到的效果���。企業(yè)需要知道在使用特定云服務(wù)提供商的產(chǎn)品時期望他們采取什么安全措施��,以及如何實現(xiàn)這些措施�����。潛在的云用戶擔心信任云服務(wù)提供商來處理特定的安全任務(wù)所帶來的安全影響����。過去發(fā)生的網(wǎng)絡(luò)攻擊事件表明���,安全事件通常是由于用戶沒有正確使用可用的安全措施造成的����。
文章來源:企業(yè)網(wǎng)D1Net
