云安全是专门保护云计算系统的网络安全学科。这包括在基于在线的基础架构、应用程序和平台上保持数据的私密和安全。保护这些系统需要云提供商和使用它们的客户的努力,无论是个人、中小型企业还是大企业使用。
云提供商通过始终在线的互联网连接将服务托管在其服务器上。由于他们的业务依赖于客户的信任,因此使用云安全方法来确保客户数据的私密和安全存储。但是,云安全也部分掌握在客户手中。理解这两个方面对于健康的云安全解决方案至关重要。
云安全的核心由以下几个类别组成:
云安全看起来像是传统的 IT 安全,但此框架实际上需要不同的方法。在深入探讨之前,我们先来看看什么是云安全。
云安全是一整套技术、协议和最佳做法的总称,旨在保护云计算环境、云中运行的应用程序和云中保存的数据。要保护云服务,首先应了解要保护的确切内容,以及必须管理的系统方面。
总的来说,针对安全漏洞的后台开发主要掌握在云服务提供商手中。除了选择具有安全意识的提供商,客户应主要注重正确的服务配置和安全的使用习惯。此外,客户应确保任何最终用户硬件和网络均受到适当保护。
全面的云安全旨在保护以下组件,无论您的责任如何:
在云计算中,这些组件的所有权可能相差很大。这可能会使客户的安全责任范围不明确。由于对云的保护可能因每个组件所有权的不同而有所不同,因此了解这些组件通常如何分组非常重要。
简单来说,从两个主要角度保护云计算组件:
1. 云服务类型 由第三方提供商提供,作为用于创建云环境的模块。根据服务类型,您可能管理不同等级的服务内组件:
2. 云环境是指部署模型,一个或多个云服务在其中为最终用户和组织创建系统。这些模型细分了客户和提供商之间的管理责任(包括安全性)。
目前使用的云环境有:
通过从这个角度进行构架,我们可以了解到,根据用户使用的云空间类型,基于云的安全性可能会有所不同。但是,个人和组织客户都会感受到这种影响。
每一项云安全措施都旨在完成以下一个或多个目标:
数据安全是云安全的一个方面,涉及威胁防御的技术端。工具和技术允许提供商和客户在敏感数据的访问权限和可见性之间插入屏障。其中,加密是目前最强大的工具之一。加密会对您的数据进行加扰,这样只有拥有加密密钥的人才能读取。如果您的数据丢失或被盗,实际上将无法读取且毫无意义。虚拟专用网 (VPN) 等数据传输保护方式也在云网络中占有更高比重。
身份和访问管理 (IAM) 与提供给用户帐户的可访问性权限有关。管理用户帐户的身份验证和授权也在此有所应用。访问控制是限制用户(合法用户和恶意用户)进入和破坏敏感数据和系统的关键。密码管理、多因素身份验证和其他方法都属于 IAM 的范畴。
治理着重于威胁预防、检测和缓解的策略。对于中小型企业和大企业,威胁情报等方面有助于跟踪威胁和确定威胁优先级,以确保基本系统受到精心保护。不过,即使个人云客户也可以从评估安全用户行为策略和培训中获益。这些策略主要适用于组织环境,但安全使用和应对威胁的规则对任何用户都有帮助。
数据保留 (DR) 和业务连续性 (BC) 规划涉及数据丢失时的技术性灾难恢复措施。任何 DR 和 BC 计划的中心都是数据冗余方法,例如备份。此外,拥有确保不间断运行的技术系统也会有所帮助。用于测试备份有效性的框架和详细的员工恢复说明对于全面的业务连续性计划同样有价值。
法律合规性以保护立法机构规定的用户隐私为主题。政府已经开始重视保护私人用户信息,防止其被人利用来牟利。同样,各组织必须按照规定遵守这些政策。一种方法是使用数据屏蔽,通过加密方法隐藏数据中的身份。
由于业界转向基于云的计算,传统 IT 安全已感受到巨大演变。虽然云模式可提供更多便利,但始终在线的连接有新的问题需要考虑以确保其安全。云安全作为现代化的网络安全解决方案,与传统 IT 模式相比有以下几个方面的优势。
数据存储:最大的区别是,较旧的 IT 模式严重依赖于现场数据存储。长期以来,各组织发现在内部构建所有 IT 框架进行详细自定义安全控制的成本高昂且死板。基于云的框架帮助节省了系统开发和维护的成本,但也去掉了用户的一些控制权。
扩展速度:同样,在扩展组织 IT 系统时,需要特别注意云安全。以云为中心的基础架构和应用非常模块化,可以快速调动。尽管此功能可以使系统针对组织的变化进行统一调整,但是当组织对升级和便利性的需求超过其跟上安全性的能力时,就会带来问题。
最终用户系统接口:对于组织和个人用户,云系统还与许多其他必须保护的系统和服务进行连接。从最终用户设备级别到软件级别甚至网络级别都必须保持访问权限。除此之外,提供商和用户必须留意他们可能通过不安全的设置和系统访问行为造成的漏洞。
与其他联网数据和系统的接近性:由于云系统是云提供商与其所有用户之间的持久连接,这种大规模网络甚至可能损害提供商自己。在网络环境中,单个弱小的设备或组件就可以被利用感染其余设备。云提供商将自己暴露在与他们互动的许多最终用户的威胁之下,无论他们提供数据存储还是其他服务。额外的网络安全责任会落在提供商身上,他们交付的产品本来只是在最终用户系统上(而不是在他们自己的系统上)运行。
解决大多数云安全问题意味着用户和云提供商(在个人和企业环境中)都必须对自己在网络安全中的角色保持主动。这种双管齐下的方法意味着用户和提供商相互必须解决:
最终,云提供商和用户必须具有透明度和责任制,才能确保双方安全。
云计算有哪些安全问题?因为如果您不了解的话,那又如何采取适当的措施?毕竟,薄弱的云安全会使用户和提供商面临各种类型的网络安全威胁。一些常见的云安全威胁包括:
云的最大风险是没有周界。传统的网络安全侧重于保护周界,但云环境是高度连接的,这意味着不安全的 API(应用程序编程接口)和帐户劫持会带来真正的问题。面对云计算安全风险,网络安全专业人员需要转向以数据为中心的方法。
互连性也给网络带来了问题。恶意行为者通常通过已泄露或薄弱的凭据入侵网络。一旦黑客成功登陆,他们就可以轻松地扩展并使用云中未得到充分保护的接口来查找不同数据库或节点上的数据。他们甚至可以将自己的云服务器作为输出和存储任何被盗数据的目的地。安全性需要在云中,而不只是保护对云数据的访问。
第三方数据存储和通过互联网访问也都构成了各自的威胁。如果这些服务由于某些原因而中断,您的数据访问权限可能会丢失。例如,电话网络中断可能意味着您无法在关键时刻访问云。或者,停电可能影响存储数据的数据中心,造成永久性数据丢失。
这种中断可能有长期影响。最近,Amazon 云数据基础设施发生了一次停电事故,导致一些客户的数据丢失,服务器也出现硬件损坏。这恰好说明了为什么至少应该对一些数据和应用程序进行本地备份。
在 20 世纪 90 年代,企业和个人数据都存储在本地,安全性也在本地。数据位于家里 PC 的内部存储中,如果您在公司工作,则数据在企业服务器上。
云技术的引入已迫使所有人重新评估网络安全性。您的数据和应用程序可能在本地和远程系统之间浮动,而且总是可以通过互联网访问。如果您在智能手机上访问 Google Docs,或者使用 Salesforce 软件管理您的客户,这些数据可能保存在任何地方。因此,与以前只是阻止不受欢迎的用户获取网络访问权限相比,保护数据变得更加困难。云安全需要调整一些以前的 IT 做法,但由于两个关键原因,这变得更加重要:
不幸的是,恶意行为者意识到基于云的目标的价值,并越来越多地探测它们的漏洞加以利用。虽然云提供商承担了客户的许多安全角色,但他们并不管理所有事情。这甚至给非技术用户带来了针对云安全进行自我教育的义务。
也就是说,在云安全责任方面,用户并不孤单。了解安全责任的范围将有助于整个系统更加安全。
相关法律已制定,帮助防止最终用户的敏感数据被出售和分享。一般数据保护条例 (GDPR) 和健康保险便利和责任法案 (HIPAA) 在保护隐私方面各尽其责,限制数据的存储和访问方式。
数据屏蔽等身份管理方法已被用于从用户数据中分离出可识别的特征,以符合 GDPR 要求。为了符合 HIPAA,医疗机构等组织必须确保其提供商在限制数据访问方面也尽到职责。
CLOUD 法案给予云提供商各自要遵守的法律限制,有可能以牺牲用户隐私为代价。美国联邦法律现在允许联邦级执法部门请求云提供商服务器上的数据。虽然这可以使调查有效进行,但是可能会规避某些隐私权,并可能造成权力滥用。
幸运的是,您可以做很多事情来保护您在云中的数据。我们来探讨一些流行的方法。
加密是保护云计算系统的最佳方法之一。使用加密有多种不同的方式,它们可能由云提供商或单独的云安全解决方案提供商提供:
在云中,移动中的数据更有被拦截的风险。当数据在一个存储位置和另一个存储位置之间移动或传输到现场应用程序时,很容易受到攻击。因此,端到端加密对于关键数据来说是最佳的云安全解决方案。使用端到端加密时,如果没有加密密钥,您的通信在任何时候都不会被外界获取。
您可以在将数据存储到云端之前自行加密,也可以使用云服务提供商来加密数据(其服务的一部分)但是,如果仅使用云来存储不敏感的数据(如公司图形或视频),则端到端加密可能有点过度。另一方面,对于财务、机密或商业敏感信息,则至关重要。
如果要使用加密,请记住,加密密钥的安全管理至关重要。保留密钥备份,最好不要保存在云端。您可能还需要定期更改加密密钥,这样即使有人获取了它们,更换后也会将它们锁定在系统之外。
配置是云安全中的另一个有力做法。许多云数据泄露来自于基本漏洞,如配置错误。通过预防这些漏洞,云安全风险将大大降低。如果您对单独执行此操作没有信心,最好考虑使用单独的云安全解决方案提供商。
以下是几个可以遵循的原则:
任何云实现都应遵循基本的网络安全提示。即使您在使用云,也不应忽略标准的网络安全做法。因此,如果您希望尽可能安全地在线,值得考虑以下事项:
云计算安全风险可影响从企业到个人消费者的每个人。例如,消费者可以使用云来存储和备份文件(使用 Dropbox 等服务),使用电子邮件和办公应用等服务,或者制作税务表格和账目。
如果您使用基于云的服务,您可能需要考虑如何与他人共享云数据,尤其是如果您的身份是顾问或自由职业者。虽然通过 Google Drive 或其他服务来共享文件可能是与客户共享工作的简单方法,但您可能需要检查您是否正确管理了权限。毕竟,您将要确保不同的客户不会看到彼此的名字或目录,也不会更改彼此的文件。
请记住,许多常用的云存储服务并不加密数据。如果您希望通过加密来保护数据安全,则需要在上传数据之前自行使用加密软件完成。然后,您必须为客户提供密钥,否则他们将无法读取文件。
选择云安全提供商时,安全性应该是考虑的重点之一。这是因为您的网络安全不再只是您的责任:云安全公司必须在创建安全的云环境和分担数据安全责任方面发挥作用。
遗憾的是,云公司不会为您提供其网络安全的蓝图。这相当于银行向您提供了其保险库的详细信息,包括保险柜的组合编号。
但是,获得一些基本问题的正确答案可以让您更有信心确定您的云资产是安全的。此外,您将更加了解您的提供商是否妥善处理了明显的云安全风险。我们建议向您的云提供商询问以下一些问题:
您还需要确保您已阅读提供商的服务条款 (TOS)。阅读服务条款对于了解您是否确实获得您所需要的服务至关重要。
一定要确认您也了解随提供商使用的所有服务。如果您的文件在 Dropbox 上,或者备份在 iCloud(Apple 的存储云)上,这很可能意味着它们实际保存在 Amazon 的服务器上。因此,您需要调查一下 AWS,以及您直接使用的服务。
对于中小企业和大企业空间的客户来说,混合云安全服务可能是非常明智的选择。它们对于中小企业和大企业应用最为可行,因为它们通常过于复杂,不适合个人使用。但是正是这些组织可以将云的规模和可访问性混合起来与特定数据的现场控制结合使用。
以下是混合云安全系统的几个安全优势:
服务分离可以帮助组织控制如何访问和存储数据。例如,将更多敏感数据放在现场,同时将其他数据、应用程序和流程分流到云中,可以帮助您适当地进行安全分层。此外,分离数据可以提高组织在法律上遵守数据法规的能力。
冗余也可以通过混合云环境来实现。通过利用公有云服务器执行日常操作,并将系统备份在本地数据服务器中,即使一个数据中心离线或感染勒索软件,组织仍可以保持正常运营。
虽然企业可以坚持使用私有云(相当于拥有自己的办公楼或园区的互联网),但个人和小型企业必须使用公有云服务进行管理。这就像与其他几百个租户合用一间办公室或住在一幢公寓楼里一样。因此,您的安全需要作为首要考虑因素。
在中小型企业应用中,您会发现云安全很大程度上取决于您使用的公有云提供商。
但是,您可以采取措施来保护自己的安全:
由于目前超过 90% 的大型企业在使用云计算,云安全已成为企业网络安全的重要组成部分。对于企业级组织来说,私有云服务和其他更昂贵的基础设施可能是可行的。但是,您仍然必须确保内部 IT 完全负责网络整个表面区域的维护。
对于大型企业的使用,如果您对基础设施进行一些投资,云安全可以更加灵活。
有几个关键要点需要注意:
因此,无论您是个人用户、中小企业用户或者企业级云用户,确保您的网络和设备尽可能安全是非常重要的。首先应在个人用户级别充分了解基本网络安全,并确保使用针对云构建的强大安全解决方案来保护您的网络和所有设备。
相关产品:
相关文章: