尽管云计算存在一些风险,但恰当的云安全策略可以在很大程度上抵消这些风险。
阅读本文后,您将能够:
复制文章链接
云安全是用于保护云中托管的数据和应用程序的一组策略和实践。如同网络安全一样,云安全是一个非常广阔的领域,而且不可能阻止每一种攻击。但是,设计考究的云安全策略可以大大降低网络攻击的风险。
即使存在这些风险,云计算通常也比内部计算更安全。与单个企业相比,大多数云提供商拥有更多的资源来确保数据安全,因此云提供商可以使基础实施保持最新状态并尽快修补漏洞。另一方面,单个企业可能没有足够的资源来一贯地执行这些任务。
注意:云安全不同于安全即服务(SECaaS 或 SaaS),后者是指托管在云中的安全产品。
大多数云安全风险一般可归入以下类别之一:
云安全策略的目标是保护数据、管理用户身份验证和访问,并在遭受攻击时保持可操作性,从而尽可能减少这些风险造成的威胁。
云安全策略应包括以下所有技术:
加密:加密是对数据进行加扰以便只能被授权方理解的一种方式。如果攻击者入侵公司的云并找到未加密的数据,则他们可以对数据进行许多恶意操作:泄密、出售,用它开展进一步攻击等。但是,如果公司的数据经过加密,攻击者只会找到无法使用的已加扰数据,除非他们以某种方式发现解密密钥(这几乎不可能)。这样,即便其他安全举措不起作用,加密也能帮助防止数据泄露和公开。
数据可以在静止期间(存储时)或传输过程中(从一处发送到另一处)进行加密。云数据应在禁止期间和传输过程中都进行加密,以使攻击者无法截获和读取它。对传输中的数据进行加密应同时处理在云和用户之间传输的数据,以及从一个云传输到另一云的数据,比如在多云或混合云环境中。此外,当数据存储在数据库中或通过云存储服务存储时,数据也应进行加密。
如果在网络层连接多云或混合云环境中的云,则 VPN 可以加密它们之间的流量。如果在应用程序层连接,则应使用 SSL/TLS 加密。SSL/TLS 也应该加密用户和云之间的流量(请参见什么是 HTTPS?)。
身份和访问管理(IAM):身份和访问管理(IAM)产品跟踪用户的身份以及他们被允许的操作,它们还根据需要将访问权限授予用户并拒绝未授权用户的访问。IAM 在云计算中非常重要,因为决定用户能不能访问数据的是用户的身份和访问权限,而不是他们的设备或位置。
IAM 有助于降低未授权用户访问内部资产和授权用户超出其权限的威胁。恰当的 IAM 解决方案将帮助缓解多种攻击,包括帐户接管和内部人员攻击(当用户或员工滥用其访问权限以泄露数据时)。
IAM 可以包含几个不同的服务,也可以是一个结合了以下所有功能的单一服务:
防火墙:云防火墙通过阻止恶意 Web 流量为云资产提供一层保护。与传统的防火墙(在内部托管并保护网络边界)不同,云防火墙在云中托管,并在云基础设施周围形成虚拟安全屏障。大多数 Web 应用程序防火墙属于这一类。
云防火墙可阻止 DDoS 攻击、恶意机器人活动和漏洞利用。这可降低网络攻击破坏组织的云基础设施的几率。
仅仅实施上述技术(以及任何其他云安全产品)并不足够,无法保护云数据。除了标准的网络安全最佳实践外,使用云的组织还应遵循以下云安全实践:
正确配置云服务器的安全设置:如果公司没有正确配置其安全设置,可能会导致数据泄露。配置不当的云服务器可能会直接将数据公开给范围更广的互联网。正确配置云安全设置需要精于处理各种云的团队成员,可能还需要与云供应商紧密合作。
在所有云和数据中心中实施一致的安全策略:安全措施必须应用于公司的整个基础设施,包括公共云、私有云和内部基础设施。如果公司云基础设施的一个方面(例如,其用于大数据处理的公共云服务)没有通过加密和强用户身份验证进行保护,攻击者有更多机会找到并瞄准薄弱的链路。
备份计划:与任何其他类型的安全性一样,必须制定计划以防万一。为防止数据丢失或篡改,数据应备份到另一个云或内部设施中。还应制定故障转移计划,以便在一个云服务发生故障时不会中断业务流程。多云和混合云部署的优势之一是可以将不同的云用作备份。例如,云端数据存储可以备份内部数据库。
用户和员工教育:很大一部分数据泄露的原因是,用户遭受网络钓鱼攻击,在不知情的情况下安装恶意软件,使用过时且易受攻击的设备,或者采取不良的密码习惯(重复使用相同的密码,将密码记在显眼的位置等)。通过对内部员工进行安全教育,在云中运营的企业可以降低发生此类情况的风险。(Cloudflare 学习中心是不错的安全教育资源。)
Cloudflare 充当统一控制平面,提供跨所有类型的云基础设施(包括多云和混合云环境)的安全性。Cloudflare 产品堆栈在横跨 100 个国家/地区的 285 个城市的全球代理网络上运行,能让公司在所有云上应用一致的安全策略,同时阻止 DDoS 攻击和漏洞利用。使用 Cloudflare 还可以降低供应商锁定的风险。