[[395324]]

云計算已經(jīng)被普遍應(yīng)用于諸多行業(yè)的信息化建設(shè)中，云安全已經(jīng)得到越來越多云服務(wù)提供商和云用戶的重視，本文從云安全挑戰(zhàn)、云安全態(tài)勢管理、云訪問安全代理、零信任模型和微隔離等角度對云安全進行分析和研究。

關(guān)于云基礎(chǔ)設(shè)施保護總覽

明確目的

網(wǎng)絡(luò)安全任務(wù)是保護集團網(wǎng)絡(luò)環(huán)境中的用戶(客戶和員工)，并使業(yè)務(wù)以安全的方式運行?；A(chǔ)設(shè)施保護的首要任務(wù)是：減少IT基礎(chǔ)架構(gòu)的風險暴露和攻擊面?？蛻艉图瘓F的職能部門進行合作，及時確定改進領(lǐng)域，并在所有項目階段支持技術(shù)解決方案的設(shè)計和實施。

制定戰(zhàn)略

安全管理戰(zhàn)略主要從如下方面考慮：終端保護、網(wǎng)絡(luò)安全、系統(tǒng)和服務(wù)器安全、可信服務(wù)、云安全、編排與控制。主要需要采用的措施包括：網(wǎng)絡(luò)安全體系結(jié)構(gòu)增強、安全遠程訪問、終端檢測和響應(yīng)&威脅搜索設(shè)置、網(wǎng)絡(luò)訪問控制增強、電子郵件安全增強、終端配置管理、攻擊面可見性和情報、支持的云技術(shù)、云基礎(chǔ)設(shè)施管理、數(shù)字密鑰管理、策略編排器、漏洞管理等。

切換視角

以人為本，培養(yǎng)團隊知識和技能、跨能力和團隊合作精神;風險觀點，采用基于風險/優(yōu)先級的方法;自動化，減少執(zhí)行時間和總體操作工作量;標準化，降低流程和技術(shù)復雜性，增強基礎(chǔ)設(shè)施的恢復能力和控制能力;回到基礎(chǔ)，建立一個堅實的基礎(chǔ)。

開展云基礎(chǔ)設(shè)施安全管理重點包括：系統(tǒng)安全、終端安全、網(wǎng)絡(luò)安全、可信服務(wù)。

整體架構(gòu)如下圖所示：

其中在云安全管理中重點需要在云安全態(tài)勢管理、云訪問安全代理、零信任和微隔離、硬件安全模塊四方面開展安全管控工作。

01. 云安全態(tài)勢管理

Cloud Security Posture Management

云安全態(tài)勢管理解決方案能夠自動連續(xù)地檢查可能導致數(shù)據(jù)泄漏的配置錯誤。這種自動化、持續(xù)性的檢測可以幫助組織進行必要的持續(xù)改進。企業(yè)應(yīng)用遷移上云，并不意味著云上安全完全由云服務(wù)商負責。云服務(wù)商對基礎(chǔ)架構(gòu)云堆棧有保護責任，但云租戶也需要負責云上環(huán)境的搭建，保護云上應(yīng)用程序和云數(shù)據(jù)的安全性。也就是說，云服務(wù)商或云用戶的任何一方的錯誤都可能導致數(shù)據(jù)泄露等安全事故。

02. 云訪問安全代理

Cloud Access Security Broker

與傳統(tǒng)網(wǎng)絡(luò)安全相比，云訪問安全代理能夠更深入地了解用戶、設(shè)備、應(yīng)用程序、事務(wù)和敏感數(shù)據(jù)，可以通過CASB將現(xiàn)有的安全策略、工作流程和安全措施擴展到云環(huán)境，在現(xiàn)有安全生態(tài)的基礎(chǔ)上提高安全能力。

云訪問安全代理常見用例：

可視化：正在使用哪些云服務(wù)，這對企業(yè)有什么風險?

影子IT安全態(tài)勢管理數(shù)據(jù)安全：如何將安全控制和策略擴展到正在使用的云服務(wù)?

數(shù)據(jù)丟失保護數(shù)據(jù)加密合規(guī)：對云服務(wù)的使用是否符合合規(guī)要求?

安全態(tài)勢管理訪問控制威脅防護：如何防御有針對性的攻擊和高級威脅?

用戶行為分析訪問控制

03. 零信任模型和微隔離

Zero trust model & Microsegmentation

零信任模型包括始終驗證訪問任何資源(軟件和基礎(chǔ)設(shè)施)的風險級別。其在網(wǎng)絡(luò)層面上的采用，使得網(wǎng)絡(luò)微觀分割與網(wǎng)絡(luò)部分的安全級別一致。零信任模型打破了傳統(tǒng)的外圍安全方法，這種方法假定在公司外圍完成的活動是可信的，并對新的連接場景作出反應(yīng)，并擴展到云外圍和第三方活動。

微隔離的優(yōu)點包括如下幾點：

阻止未經(jīng)授權(quán)的橫向移動——減慢攻擊速度實現(xiàn)全部流量的可見性基于上下文/標記而不是IP地址的規(guī)則最小化自動化部署的時間利用共有云的本機功能(例如Azure網(wǎng)絡(luò)安全組)利用正在進行的針對私有云數(shù)據(jù)中心實施的技術(shù)

04. 硬件安全模塊

Hardware Security Module

硬件安全模塊(HSM)是防篡改的硬件設(shè)備，通過生成密鑰、加密和解密數(shù)據(jù)以及創(chuàng)建和驗證數(shù)字簽名來加強加密實踐。混合架構(gòu)(共有云和自建云)中的HSM管理使得密鑰管理模型成為整個組織安全級別的關(guān)鍵決策。