云安全如何工作?| 云计算安全

尽管云计算存在一些风险,但恰当的云安全策略可以在很大程度上抵消这些风险。

学习目标

阅读本文后,您将能够:

  • 了解什么是云安全
  • 探索云计算的安全技术
  • 了解云安全最佳做法

复制文章链接

什么是云安全?

云安全是用于保护中托管的数据和应用程序的一组策略和实践。如同网络安全一样,云安全是一个非常广阔的领域,而且不可能阻止每一种攻击。但是,设计考究的云安全策略可以大大降低网络攻击的风险。

即使存在这些风险,云计算通常也比内部计算更安全。与单个企业相比,大多数云提供商拥有更多的资源来确保数据安全,因此云提供商可以使基础实施保持最新状态并尽快修补漏洞。另一方面,单个企业可能没有足够的资源来一贯地执行这些任务。

注意:云安全不同于安全即服务(SECaaS 或 SaaS),后者是指托管在云中的安全产品。

云安全风险主要有哪些?

大多数云安全风险一般可归入以下类别之一:

  • 数据暴露或泄漏
  • 组织外部的未经授权用户访问内部数据
  • 内部授权用户对内部数据的访问权限过高
  • 恶意攻击(如 DDoS 攻击恶意软件感染削弱或破坏云基础设施

云安全策略的目标是保护数据、管理用户身份验证和访问,并在遭受攻击时保持可操作性,从而尽可能减少这些风险造成的威胁。

云安全有哪些关键技术?

云安全策略应包括以下所有技术:

加密:加密是对数据进行加扰以便只能被授权方理解的一种方式。如果攻击者入侵公司的云并找到未加密的数据,则他们可以对数据进行许多恶意操作:泄密、出售,用它开展进一步攻击等。但是,如果公司的数据经过加密,攻击者只会找到无法使用的已加扰数据,除非他们以某种方式发现解密密钥(这几乎不可能)。这样,即便其他安全举措不起作用,加密也能帮助防止数据泄露和公开。

数据可以在静止期间(存储时)或传输过程中(从一处发送到另一处)进行加密。云数据应在禁止期间和传输过程中都进行加密,以使攻击者无法截获和读取它。对传输中的数据进行加密应同时处理在云和用户之间传输的数据,以及从一个云传输到另一云的数据,比如在多云混合云环境中。此外,当数据存储在数据库中或通过云存储服务存储时,数据也应进行加密。

If the clouds in a multi-cloud or hybrid cloud environment are connected at the network layer, a VPN can encrypt traffic between them. If they are connected at the application layer, SSL/TLS encryption should be used. SSL/TLS should also encrypt traffic between a user and a cloud (see What Is HTTPS?).

Identity and access management (IAM): Identity and access management (IAM) products track who a user is and what they are allowed to do, and they authorize users and deny access to unauthorized users as necessary. IAM is extremely important in cloud computing because a user's identity and access privileges determine whether they can access data, not the user's device or location.

IAM helps reduce the threats of unauthorized users gaining access to internal assets and authorized users exceeding their privileges. The right IAM solution will help mitigate several kinds of attacks, including account takeover attacks and insider threats (when a user or employee abuses their access in order to expose data).

IAM 可以包含几个不同的服务,也可以是一个结合了以下所有功能的单一服务:

  • 身份提供者 (IdP) 验证用户身份
  • 单点登录 (SSO) 服务有助于为多个应用程序验证用户身份,用户只需登录一次便可访问其所有云服务
  • 多因素身份验证 (MFA) 服务可以加强用户身份验证流程
  • 访问控制服务可允许和限制用户访问

防火墙:云防火墙通过阻止恶意 Web 流量为云资产提供一层保护。与传统的防火墙(在内部托管并保护网络边界)不同,云防火墙在云中托管,并在云基础设施周围形成虚拟安全屏障。

云防火墙可阻止 DDoS 攻击、恶意机器人活动和漏洞利用。这可降低网络攻击破坏组织的云基础设施的几率。

还有哪些其他实践对确保云数据安全很重要?

仅仅实施上述技术(以及任何其他云安全产品)并不足够,无法保护云数据。除了标准的网络安全最佳实践外,使用云的组织还应遵循以下云安全实践:

正确配置云服务器的安全设置:如果公司没有正确配置其安全设置,可能会导致数据泄露。配置不当的云服务器可能会直接将数据公开给范围更广的互联网。正确配置云安全设置需要精于处理各种云的团队成员,可能还需要与云供应商紧密合作。

在所有云和数据中心中实施一致的安全策略:安全措施必须应用于公司的整个基础设施,包括公共云私有云和内部基础设施。如果公司云基础设施的一个方面(例如,其用于大数据处理的公共云服务)没有通过加密和强用户身份验证进行保护,攻击者有更多机会找到并瞄准薄弱的链路。

备份计划:与任何其他类型的安全性一样,必须制定计划以防万一。为防止数据丢失或篡改,数据应备份到另一个云或内部设施中。还应制定故障转移计划,以便在一个云服务发生故障时不会中断业务流程。多云和混合云部署的优势之一是可以将不同的云用作备份。例如,云端数据存储可以备份内部数据库。

用户和员工教育:很大一部分数据泄露的原因是,用户遭受网络钓鱼攻击,在不知情的情况下安装恶意软件,使用过时且易受攻击的设备,或者采取不良的密码习惯(重复使用相同的密码,将密码记在显眼的位置等)。通过对内部员工进行安全教育,在云中运营的企业可以降低发生此类情况的风险。(Cloudflare 学习中心是不错的安全教育资源。)

Cloudflare 如何提供云计算安全?

Cloudflare 充当统一控制平面,提供跨所有类型的云基础设施(包括多云和混合云环境)的安全性。Cloudflare 产品堆栈在横跨 120 个国家/地区的 310 个城市的全球代理网络上运行,能让公司在所有云上应用一致的安全策略,同时阻止 DDoS 攻击和漏洞利用。使用 Cloudflare 还可以降低供应商锁定的风险。