云技術(shù)部署可謂勇猛精進(jìn)，但安全與數(shù)據(jù)隱私專家們卻很難及時拿出與之相匹配的解決方案。“我該如何確保云數(shù)據(jù)安全?”以及“我能夠放心將關(guān)鍵性業(yè)務(wù)信息交由哪款云應(yīng)用打理?”等問題一直困擾著用戶。在今天的文章中，我們將分步探討云保護(hù)方案，旨在幫助大家立足于寶貴數(shù)據(jù)建立適合的保護(hù)與違規(guī)應(yīng)對手段。

第一步：發(fā)現(xiàn)

[[165936]]

員工們是否在IT部門不知情的情況下使用軟件應(yīng)用?

利用云應(yīng)用檢測工具發(fā)現(xiàn)當(dāng)前所使用軟件(包括由誰使用及使用頻率)，同時確定業(yè)務(wù)數(shù)據(jù)是否涉入。

采用云訪問安全代理(簡稱CASB)解決方案要求供應(yīng)商提供影子IT評估意見以了解當(dāng)前企業(yè)內(nèi)部的影子IT問題嚴(yán)重程度。

第二步：風(fēng)險評估

我們是否了解當(dāng)前應(yīng)用的最大風(fēng)險?只有確切對特定應(yīng)用進(jìn)行制裁、監(jiān)控及禁止，才能構(gòu)建良好的云應(yīng)用環(huán)境。

考慮利用評級系統(tǒng)確定云應(yīng)用風(fēng)險屬性——這有助于確保我們將注意力集中在正確的層面。

提示：確保此評級與報告系統(tǒng)能夠?qū)τ白覫T進(jìn)行分析并便捷地上傳、匿名化、壓縮并緩存日志數(shù)據(jù)，從而輕松交付自動化風(fēng)險評估報告。

第三步：用戶引導(dǎo)

確保全部員工了解常見網(wǎng)絡(luò)犯罪戰(zhàn)術(shù)。

開發(fā)者與其他IT人員是否了解OWASP十大排名以及Cloud Controls Matrix?

降低未知威脅帶來的影響。未知威脅永遠(yuǎn)存在，但良好的安全意識培訓(xùn)有助于緩解其后果。

定期發(fā)布提醒并組織季度培訓(xùn)，這樣能夠輕松并以較低成本削減惡意軟件風(fēng)險。

第四步：策略執(zhí)行

安全策略執(zhí)行必須擁有高粒度與實(shí)時性。這些要求在云應(yīng)用領(lǐng)域可能較難實(shí)現(xiàn)。

根據(jù)用戶行為、所用工具及業(yè)務(wù)規(guī)則設(shè)定策略控制方案，從而立足于用戶群組、設(shè)備、位置、瀏覽器以及代理為背景設(shè)計相關(guān)內(nèi)容。

考慮使用安全網(wǎng)關(guān)(內(nèi)部、公有云或混合云)，同時配合具備數(shù)據(jù)丟失預(yù)防(簡稱DLP)功能的CASB解決方案。

第五步：隱私與治理

大家如何解決隱私與治理問題?云環(huán)境中的數(shù)據(jù)需要使用特殊的以數(shù)據(jù)為中心的安全策略。

加密機(jī)制在各類環(huán)境下皆有其必要性，但加密令牌機(jī)制在云安全領(lǐng)域的作用往往尤為突出。

提示：確保加密機(jī)制不會影響到應(yīng)用中的搜索、排序、報告以及郵件發(fā)送等功能。如果加密機(jī)制令上述功能的正常使用受到不良影響，則用戶往往會想辦法回避加密。

第六步：加密流量管理

大家如何對SSL及其它往來于云環(huán)境的加密流量進(jìn)行管理?另外，如何在出于安全原因而進(jìn)行解密的同時，繼續(xù)保持隱私安全?

大家如何量化SSL/TLS對應(yīng)用性能的影響?內(nèi)部安全專家是否能夠以可視化方式了解其載荷?

提示：對于需要過超過五成流量進(jìn)行加密的行業(yè)(例如金融服務(wù)及醫(yī)療衛(wèi)生)，基于策略的流量解密可能需要匹配專門的SSL可視化子系統(tǒng)及/或?qū)Ｓ镁W(wǎng)絡(luò)架構(gòu)。

第七步：事件響應(yīng)

大家如何發(fā)現(xiàn)并快速響應(yīng)惡意活動?

避免“汽車報警綜合癥”!車輛警報器極易被觸發(fā)，導(dǎo)致人們對這類誤報放松了警惕。

惡意軟件會刻意掩蓋其行動蹤跡，我們需要立足于低層級進(jìn)行云部署以建立直觀的人機(jī)界面，從而實(shí)現(xiàn)事件響應(yīng)(例如多種格式搜索、可視化、過濾及集成第三方SIEM系統(tǒng))。

總之，即使大家還沒有計劃在CASB解決方案身上投入資金，也應(yīng)該盡早著手管理云風(fēng)險。

原文標(biāo)題：Step-by-step Guide for Keeping Your Cloud Applications Secure

 【51CTO.com獨(dú)家譯稿，合作站點(diǎn)轉(zhuǎn)載請注明來源】