【51CTO.com快譯】遷移到云端可以幫助企業(yè)加快IT交付、提高業(yè)務敏捷性，但是可能也會帶來敞開的安全漏洞，讓公司暴露在網絡攻擊面前。這意味著在云端運作的企業(yè)組織現在必須解答這些問題：“什么云服務器遭到了攻擊，我如何才能知道?”

[[149761]]

遺憾的是，答案并不容易獲得。像防火墻和入侵檢測系統(tǒng)這些傳統(tǒng)的安全工具在企業(yè)組織內部使用時效果很好，可是面對云環(huán)境時，它們沒有多大幫助。虛擬基礎設施具有的彈性和動態(tài)性使得安全團隊很難看到云端發(fā)生的情況。而要是沒有這種可見性，它們不可能執(zhí)行一致的政策、發(fā)現漏洞，并迅速應對異常行為。

想得到云服務提供商的幫助?那只能為你解決一部分問題。云服務提供商通常不保護虛擬機管理程序層之上的任何系統(tǒng)，所以做好安全主要是你的責任。假設你想在云端啟用一臺Windows 2000服務器或紅帽Linux。為那些實例確保安全是你的工作，而不是云服務提供商的工作。

這就是所謂的“分擔責任”模式，所有云服務提供商無不在大聲吆喝這種模式。亞馬遜網絡服務是這么說的：“雖然AWS管理云安全，但做好云安全是客戶的責任?？蛻羧匀豢刂浦x擇實施什么好的安全機制，保護自己的內容、平臺、應用程序、系統(tǒng)和網絡，這跟他們保護現場數據中心中的應用程序沒什么兩樣。”

似乎夠直截了當。但是許多消費者仍然感到困惑。他們認為，因為亞馬遜擁有保護直至虛擬機管理程序這一層的種種出色工具，因而自己完全安全?？墒撬麄儧]有認識到，做好他們選擇啟用的云實例的安全性永遠是自己的責任。無論你在公有云運作還是在傳統(tǒng)數據中心運作，仍需要繼續(xù)實現一些關鍵的控制目標，包括數據保護和威脅管理。

云安全薄弱釀成的后果可能很嚴重。我記得一家名為Code Spaces的公司在黑客全面訪問其托管在云端的網絡后，被迫關門歇業(yè)。黑客索要贖金，而Code Space拒絕支付。然后，黑客刪除了Code Spaces的所有重要數據，實際上搞垮了這家公司。

這就是你在云端保護自己所面臨的困境：你對看不見的東西自然無法確保其安全。因而，獲得實時可見性至關重要，對希望充分利用云基礎設施許多不同優(yōu)點的企業(yè)組織來說更是如此。而隨著企業(yè)組織使用更多的云：公有云、私有云或混合云，并與內部數據中心(不會很快就會消失)結合起來，情況就只變得更加復雜。

那么，你如何才能獲得云端可見性，并確保自己安全呢?不妨先明白這一點：做好安全是你的責任，然后堅持遵守這五個最佳實踐。

1. 持續(xù)可見性。隨時知道你的基礎設施、應用程序、數據和用戶方面出現的情況。由于現代虛擬基礎設施具有自動化、彈性、按需的性質，獲得這種可見性可能是個挑戰(zhàn)。但是如果隨時知道自己有什么及其運行情況，就能減小受攻擊面，并降低風險。

2. 風險管理。這意味著為你的可見性添加具體環(huán)境。一旦你獲得了可見性和透明性，就能成功地消除已知存在于網絡里面的明顯的安全漏洞，比如過期的工作站和移動設備。

3. 強有力的訪問控制。實際上，薄弱的訪問控制導致了最近的許多重大安全事件，包括臭名昭著的Ashley Madison黑客事件。Ashley Madison首席執(zhí)行官本人表示，內部人員實施了這起黑客行為，很可能是第三方的合同工，他被授予了過高的訪問權限。所以，確保你落實了合適的訪問管理和權限監(jiān)控機制。還要確保在不斷監(jiān)控用戶活動，保證根本沒有違反公司政策。

4. 數據保護。這是另一項必要工作。這意味著要既要保護靜態(tài)數據，又要保護傳輸中數據，還要部署數據丟失防護(DLP)之類的技術，確保萬一受到危及，你的數據無法被發(fā)送到網絡外面。

5. 威脅管理。你必須接受這一事實：哪怕再嚴格的安全做法也無法始終防范得了所有安全事件。安全事件會發(fā)生。所以準備好果真發(fā)生后，緩解風險。要落實相應的流程和技術，讓你能夠迅速應對，并且化解安全事件，以免勢態(tài)失控。在安全事件發(fā)生之前制定好行動方案，然后一旦發(fā)現了安全事件，就嚴格遵守。

如果你無法隨時迅速準確地看到你整個基礎設施上發(fā)生的情況，很可能不知道何時遭到了攻擊或危及，因而等你有所反應時已為時太晚。等到網絡已被大火夷為平地，才拿著水管去滅火無事無補。你需要持續(xù)的可見性，并且輔以全面的安全功能。這些是改善安全狀況的必要步驟，在面對具有動態(tài)性和彈性的現代云計算環(huán)境時更是如此。

原文標題：Visibility: The Key To Security In The Cloud

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】