如今，云計算不僅成為企業(yè)運營商業(yè)案例的一種選擇，還成為降低成本、確保持續(xù)可用性和減少停機時間的一種有效手段。在過去，人們只有在配備防火墻或其他安全工具保護信息的辦公室和工作空間中，才能通過訪問帳戶、文件和業(yè)務(wù)的服務(wù)器連接到企業(yè)網(wǎng)絡(luò)。

然而，云計算應用程序的出現(xiàn)改變了這種情況，使用戶能夠遠程訪問企業(yè)應用程序、文檔和服務(wù)。根據(jù)調(diào)研機構(gòu)IDG公司的一項調(diào)查，如今有92%的企業(yè)IT環(huán)境至少有一部分部署在云平臺上。然而，云計算服務(wù)帶來了數(shù)據(jù)安全的挑戰(zhàn)和風險，這就需要新的安全工具和實踐。

對于采用公有云的企業(yè)來說，安全一直是一個主要問題。隨著企業(yè)從離線網(wǎng)絡(luò)遷移到云網(wǎng)絡(luò)，更敏感的數(shù)據(jù)面臨風險，安全性必須放在首位。

在通常情況下，云計算服務(wù)提供商負責數(shù)據(jù)中心的物理安全，并確保其系統(tǒng)免受網(wǎng)絡(luò)攻擊。但是，將數(shù)據(jù)或運行應用程序保存在不由企業(yè)直接管理的基礎(chǔ)設(shè)施上似乎是不安全的。

對于愿意保護其云計算環(huán)境的企業(yè)，以下最佳實踐可以幫助確保關(guān)鍵數(shù)據(jù)和應用程序不會落入居心不良的人之手。

云安全優(yōu)秀實踐

(1)選擇合適的云服務(wù)提供商

隨著更多的外部IT團隊和豐富的選擇，有必要根據(jù)企業(yè)的需求選擇一個云計算服務(wù)提供商。選擇合適的云服務(wù)提供商首先要符合他們的安全證書和合規(guī)性。然后，評估企業(yè)的精確安全目標，并比較各種服務(wù)提供商提供的安全措施以及他們用于保護應用程序和數(shù)據(jù)的機制。

提出與企業(yè)的用例、行業(yè)和法規(guī)要求相關(guān)的詳細問題，并表達其他明確的問題。服務(wù)提供商的架構(gòu)平臺應與適用于行業(yè)和企業(yè)的合規(guī)標準保持一致。另一個重要的考慮因素是詢問支持服務(wù)的水平和模式。

(2)理解責任共擔模型

在內(nèi)部部署數(shù)據(jù)中心，企業(yè)自己負責和處理所有數(shù)據(jù)安全問題。然而，在公共云中，供應商分擔了部分負擔。明確定義任何一方處理哪些安全操作可以導致在云計算環(huán)境中成功實施安全。

責任共擔安全模型因每個服務(wù)提供商而異，并且在使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)或平臺即服務(wù)(PaaS)時會有所不同。明確的責任共擔模型可確保系統(tǒng)的安全覆蓋范圍沒有差距。否則，企業(yè)的共同責任中的模糊不清可能會使云計算系統(tǒng)的某些區(qū)域無人看管并受到外部威脅。

(3)實施身份和訪問管理

在日益多樣化的技術(shù)環(huán)境中，身份和訪問管理(IAM)對于保護關(guān)鍵企業(yè)系統(tǒng)、資產(chǎn)和信息免受未經(jīng)授權(quán)的訪問至關(guān)重要。身份和訪問管理通過執(zhí)行不同的安全功能(例如身份驗證、授權(quán)以及存儲和驗證的配置)為云計算環(huán)境提供有效的安全性。

這一身份驗證系統(tǒng)通過驗證具有正確權(quán)限的人員是否正在訪問存儲在云計算應用程序上的信息來幫助管理訪問權(quán)限。驗證機制可能包括物理或數(shù)字方法，例如公鑰基礎(chǔ)設(shè)施(PKI)。此外，設(shè)置訪問級別將進一步幫助控制一個人即使在獲得訪問權(quán)限后也可以更改或查看多少數(shù)據(jù)。

(4)加密數(shù)據(jù)

使用基于云的應用程序的主要好處之一是存儲和傳輸數(shù)據(jù)變得容易。但是，企業(yè)需要確保他們不會簡單地將數(shù)據(jù)上傳到云平臺上而忘記它。另一個步驟是保護上傳到云上的數(shù)據(jù)，稱為加密。

加密通過將數(shù)據(jù)轉(zhuǎn)換為另一種形式或代碼來使未經(jīng)授權(quán)的用戶隱藏數(shù)據(jù)。企業(yè)不僅應該在公共云上加密他們的數(shù)據(jù)，還應該在數(shù)據(jù)更容易受到攻擊時確保在傳輸過程中加密。這些加密服務(wù)可以得到云計算服務(wù)提供商或第三方供應商的幫助。

找到適合現(xiàn)有工作流程的加密選項是理想的，這樣就無需采取任何額外的預防措施來確保合規(guī)性。

(5)保護用戶端點

云計算服務(wù)引發(fā)了對端點安全性的更大需求。用戶必須通過網(wǎng)站瀏覽器和個人設(shè)備訪問云服務(wù)。因此，企業(yè)必須部署端點安全解決方案來保護最終用戶設(shè)備。他們可以通過啟動有效的客戶端安全性，并強制用戶定期更新瀏覽器來保護數(shù)據(jù)免受漏洞攻擊。

用戶最好采用包含訪問驗證工具、防火墻、防病毒和移動設(shè)備安全等互聯(lián)網(wǎng)安全措施的工具。此外，自動化工具還可以作為端點安全問題的系統(tǒng)解決方案。

(6)提升員工的技能

為了獲得安全的云計算體驗，教育用戶應該是增強保護的首要目標。用戶與云計算應用程序交互的方式會將環(huán)境暴露給網(wǎng)絡(luò)攻擊或保護它。

因此，企業(yè)必須對所有員工進行網(wǎng)絡(luò)安全基礎(chǔ)知識培訓，以識別異常并做出相應反應。而團隊內(nèi)部的這種高度安全意識可以防止網(wǎng)絡(luò)攻擊者獲取敏感數(shù)據(jù)和云計算工具的訪問憑據(jù)。

雖然生成強密碼或識別網(wǎng)絡(luò)釣魚電子郵件等標準實踐必須包含在他們的培訓中，但用戶還必須意識到與影子IT相關(guān)的風險?？紤]為直接參與實施云安全的更高級用戶和管理員提供高級培訓和認證。

(7)維護日志和監(jiān)控

借助云計算基礎(chǔ)設(shè)施中的日志記錄功能，可以幫助企業(yè)識別未經(jīng)授權(quán)的活動。日志記錄和監(jiān)控系統(tǒng)將使安全團隊能夠快速識別哪些人正在對云計算環(huán)境進行更改，從而更快地找到問題的根源。

當入侵者獲得對系統(tǒng)的訪問權(quán)并干預任何設(shè)置或數(shù)據(jù)時，日志將公開誰負責以及進行了何種更改，以便可以迅速采取行動。如果發(fā)生異常事件，需要確保警報設(shè)置為在它開始的那一刻發(fā)生。

確保云環(huán)境安全

隨著云計算的進步和更快的連接性，各種規(guī)模的企業(yè)都可以無縫訪問工具、數(shù)據(jù)和服務(wù)?；谠朴嬎愕墓ぷ骺臻g的好處超過了傳統(tǒng)數(shù)據(jù)中心，這帶來了一系列新的挑戰(zhàn)。但是，這不應阻止企業(yè)使用公共云服務(wù)。企業(yè)可以通過遵循最佳實踐并采用正確的工具和策略來最大程度地降低風險，并享受更大的收益。

云計算環(huán)境具有巨大的潛力，但乍一看可能并不熟悉。但是企業(yè)將逐漸適應這種環(huán)境。在這個過程中，一個關(guān)鍵的方面是尋找薄弱的安全點并不斷加強。錯誤配置的云計算基礎(chǔ)設(shè)施可能會導致幾個不可見的漏洞，從而顯著地增加企業(yè)的攻擊面。

企業(yè)和云計算服務(wù)提供商需要以透明的方式工作，并對構(gòu)建和不斷重新配置安全的云計算框架表現(xiàn)出興趣。