雲端安全如何運作?| 雲端運算安全

雖然雲端運算存在一些風險,但正確的雲端安全性策略可以在很大程度上抵消這些風險。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是雲端安全性
  • 探索雲端運算的安全性技術
  • 瞭解雲端安全性最佳做法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是雲端安全性?

雲端安全性是用於保護雲端託管的資料和應用程式的一組策略和做法。與網路安全性一樣,雲端安全性是一個非常廣泛的領域,且永遠不可能阻止每一次攻擊。但是,精心設計的雲端安全性策略可以大大降低網路攻擊的風險。

即使存在這些風險,雲端運算通常也比內部部署運算更安全。大多數雲端提供者擁有比單個企業更多的資源來確保資料安全,這使雲端提供者能夠使基礎結構保持最新狀態並儘快修補漏洞。另一方面,單個企業可能沒有足夠的資源來始終如一地執行這些任務。

注意:雲端安全性與安全即服務(SECaaS 或 SaaS)不同,後者是指託管在雲端的安全性產品。

主要的雲端安全性風險有哪些?

大多數雲端安全性風險屬於以下某一類:

  • 資料暴露或洩露
  • 來自組織外部的未經授權使用者擁有了對內部資料的存取權限
  • 內部授權使用者對內部資料的存取權限過多
  • 惡意攻擊(例如 DDoS 攻擊惡意軟體感染)削弱或損毀了雲端基礎結構

雲端安全性策略的目標是透過保護資料、管理使用者驗證和存取,以及在面對攻擊時保持運作,盡可能減少這些風險帶來的威脅。

雲端安全性的關鍵技術有哪些?

雲端安全性策略應包括以下所有技術:

加密:加密是對資料進行加擾以便只能被授權方理解的一種方式。如果攻擊者入侵公司的雲端並找到未加密的資料,他們能夠對資料執行任意數量的惡意動作:洩露、出售、使用它進行進一步的攻擊等。但是,如果公司的資料是加密的,攻擊者只會找到無法使用的加擾資料,除非他們以某種方式發現解密金鑰(這幾乎是不可能的)。這樣,即使其他安全措施失敗,加密也能協助防止資料洩露和暴露。

資料在靜態(儲存時)或傳輸中(從一個地方傳送到另一個地方時)都可以加密。雲端資料在靜態和傳輸過程中都應加密,以便攻擊者無法攔截和讀取它。加密傳輸中的資料應同時處理在雲端和使用者之間傳輸的資料,以及從一個雲端傳輸到另一個雲端的資料,就像在多雲端混合雲端環境中一樣。此外,當資料儲存在資料庫中或透過雲端儲存服務儲存時,應對其進行加密。

如果多雲端或混合雲端環境中的雲端在網路層連接,則 VPN 可以加密它們之間的流量。如果它們在應用程式層連接,則應使用SSL/TLS 加密。SSL/TLS 還應該加密使用者和雲端之間的流量(請參閱什麼是 HTTPS?)。

身分識別和存取管理 (IAM):身分識別和存取管理 (IAM) 產品會追蹤使用者是誰以及允許他們執行的操作,並在必要時授權使用者以及拒絕未經授權的使用者存取。IAM 在雲端運算中非常重要,因為使用者的身分和存取權限決定了他們是否可以存取資料,而不是使用者的使用者或位置。

IAM 有助於減少未經授權的使用者有權存取內部資產和授權使用者擁有過多存取權限的威脅。正確的 IAM 解決方案將有助於緩解多種攻擊,包括帳戶盜用攻擊內部人員威脅(使用者或員工濫用其存取權限以暴露資料的情況)。

IAM 可能包含多個不同的服務,也可能是結合了以下所有功能的單個服務:

  • 識別提供者 (IdP) 對使用者身分進行驗證
  • 單一登入 (SSO) 服務可協助針對多個應用程式驗證使用者身分,因此使用者只需登入一次即可存取其所有雲端服務
  • 多重要素驗證 (MFA) 服務增強了使用者驗證過程
  • 存取控制服務允許和限制使用者存取

防火牆:雲端防火牆透過封鎖惡意 Web 流量來圍繞雲端資產提供一層保護。與託管在本地並保護網路周邊的傳統防火牆不同,雲端防火牆託管在雲端,並在雲端基礎結構周圍形成虛擬安全屏障。

雲端防火牆可封鎖 DDoS 攻擊、惡意機器人活動和漏洞利用。這減少了網路攻擊削弱組織雲端基礎結構的可能性。

還有哪些其他做法對於確保雲端資料安全很重要?

實作上述技術(加上任何其他雲端安全性產品)本身不足以保護雲端資料。除了標準的網路安全最佳做法外,使用雲端的組織還應遵循以下雲端安全性做法:

正確配置雲端伺服器的安全性設定:當公司未正確設定其安全性設定時,可能會導致資料外洩。設定錯誤的雲端伺服器可能會將資料直接暴露給更廣泛的網際網路。正確配置雲端安全性設定要求團隊成員在使用每個遠端方面都是專家,並且可能還需要與雲端廠商密切合作。

跨所有雲端和資料中心一致的安全性原則:安全性措施必須套用至公司的整個基礎結構,包括公用雲端私人雲端和內部部署基礎結構。如果公司雲端基礎結構的一個方面(例如,用於大資料處理的公用雲端服務)不受加密和強使用者驗證的保護,攻擊者更有可能找到並瞄準薄弱環節。

備份計畫:與任何其他類型的安全性一樣,必須有一個可在出現問題時使用的計畫。為防止資料丟失或被篡改,應在另一個雲端或本地備份資料。還應該有一個容錯移轉計畫,以便在一個雲端服務發生故障時業務流程不會中斷。多雲端和混合雲端部署的優勢之一是可以將不同的雲端用作備份,例如,雲端的資料儲存空間可以備份內部部署資料庫。

使用者和員工培訓:發生資料外洩的很大一部分原因是使用者成為網路釣魚攻擊的受害者,不知不覺地安裝了惡意軟體,使用了過時且易受攻擊的裝置,或者採取不良的密碼習慣(重複使用相同的密碼、將密碼記在顯眼的位置等)。透過對內部員工進行安全教育,在雲端營運的企業可以降低發生這些事件的風險。(Cloudflare 學習中心是安全教育的良好資源。)

Cloudflare 如何提供雲端運算安全性?

Cloudflare 充當跨所有類型雲端基礎結構(包括多雲端和混合雲端環境)的統一控制平面,以實現安全性。Cloudflare 產品堆疊在橫跨 120 多個國家/地區 310 座城市的全球代理網路上執行,使公司能夠在其所有雲端中套用一致的安全性原則,同時封鎖 DDoS 攻擊和漏洞利用。使用 Cloudflare 還可以降低廠商鎖定的風險。

瞭解如何使用全球連通雲提升雲端安全性。