云計(jì)算技術(shù)的出現(xiàn)，改變了數(shù)據(jù)計(jì)算和存儲(chǔ)的方式，它解決了在海量數(shù)據(jù)之下，傳統(tǒng)數(shù)據(jù)存儲(chǔ)技術(shù)的性能瓶頸，越來(lái)越受到企業(yè)組織的青睞，并得以快速普及。隨著越來(lái)越多的敏感信息在線存儲(chǔ)于云上，企業(yè)對(duì)業(yè)務(wù)和數(shù)據(jù)安全性的擔(dān)憂也進(jìn)一步加大。

幸運(yùn)的是，在云時(shí)代，企業(yè)可以采取諸多措施和云安全最佳實(shí)踐來(lái)保護(hù)自己。雖然這些措施無(wú)法完全阻止每一種攻擊，但確實(shí)可以幫助企業(yè)加強(qiáng)防御、保護(hù)數(shù)據(jù)，并切實(shí)落實(shí)云安全實(shí)踐。只要企業(yè)能夠做好安全防護(hù)的基本功，實(shí)現(xiàn)云應(yīng)用的安全性或許比想象得要更加簡(jiǎn)單。

為了幫助企業(yè)更好實(shí)現(xiàn)云計(jì)算應(yīng)用的安全性，網(wǎng)絡(luò)安全知識(shí)分享社區(qū)eSecurity Planet會(huì)在Kolide與Okta公司的支持下，不定期更新發(fā)布《云安全能力建設(shè)最佳實(shí)踐》。在其不久前推出的2023版指南中，安全研究人員給出了以下進(jìn)一步加強(qiáng)云安全能力建設(shè)的建議：

1. 建立安全責(zé)任共擔(dān)模式

在云計(jì)算環(huán)境中，企業(yè)并不能完全依靠自身的能力來(lái)實(shí)現(xiàn)安全性，而安全責(zé)任共擔(dān)模式，明確了企業(yè)是云安全建設(shè)的最終責(zé)任人，而云服務(wù)提供商同樣需要承擔(dān)一定的安全責(zé)任。當(dāng)企業(yè)開啟云計(jì)算應(yīng)用之旅時(shí)，應(yīng)該全面檢查云服務(wù)商應(yīng)該具備的常見安全規(guī)則，盡量消除未來(lái)合作中的誤解，以免云安全控制過(guò)于寬松。只要企業(yè)做好充分的安全性防護(hù)和檢查，比如實(shí)施加密、正確配置連接和設(shè)置，云上的應(yīng)用和數(shù)據(jù)通常會(huì)很安全。

2. 選擇信譽(yù)良好的云服務(wù)商

企業(yè)要選擇信譽(yù)良好的云服務(wù)提供商。由于每家云服務(wù)提供商都不一樣，所以做好研究工作、找到滿足自身特定需求和安全要求的提供商很重要。企業(yè)應(yīng)該向公共云供應(yīng)商詢問(wèn)有關(guān)其現(xiàn)有安全措施和流程的詳細(xì)問(wèn)題，包括：

• 服務(wù)商有什么樣的災(zāi)難恢復(fù)計(jì)劃？
• 服務(wù)商落實(shí)了哪些措施來(lái)保護(hù)各訪問(wèn)組件？
• 服務(wù)商愿意提供什么級(jí)別的安全性技術(shù)支持？
• 服務(wù)商是否會(huì)定期進(jìn)行安全性滲透測(cè)試，測(cè)試結(jié)果如何？
• 服務(wù)商是否對(duì)傳輸中數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密？
• 服務(wù)商支持哪些身份驗(yàn)證方法？
• 服務(wù)商支持哪些合規(guī)需求？

3. 部署身份和訪問(wèn)管理解決方案

未授權(quán)訪問(wèn)是云計(jì)算應(yīng)用安全的最大挑戰(zhàn)之一，因此構(gòu)建全面的身份和訪問(wèn)管理（IAM）系統(tǒng)非常重要：

• 企業(yè)應(yīng)能夠基于最小特權(quán)和零信任概念來(lái)設(shè)計(jì)和實(shí)施訪問(wèn)控制。這需要限制用戶只能訪問(wèn)完成任務(wù)所需的內(nèi)容，并謹(jǐn)慎處理所有訪問(wèn)請(qǐng)求。特權(quán)訪問(wèn)管理（PAM）有助于保護(hù)最敏感賬戶的訪問(wèn)；
• 實(shí)施根據(jù)基于角色的訪問(wèn)控制（RBAC）提供權(quán)限的IAM策略。這可以保證用戶的訪問(wèn)是基于其在企業(yè)的獨(dú)特崗位提供的，降低不必要訪問(wèn)的可能性；
• 實(shí)施多因素身份驗(yàn)證（MFA）以提高安全性。即使惡意分子獲得用戶名和密碼等憑據(jù)，MFA也要求額外的驗(yàn)證（比如生物特征識(shí)別掃描或短信碼），從而提高了安全系數(shù)；
• 優(yōu)先部署適用于私有數(shù)據(jù)中心和云環(huán)境的IAM解決方案。這不僅簡(jiǎn)化了最終用戶身份驗(yàn)證，還能夠在各種IT環(huán)境中統(tǒng)一實(shí)施策略。

4. 加強(qiáng)員工安全意識(shí)培訓(xùn)

為了防止黑客獲得云賬戶和服務(wù)的訪問(wèn)憑據(jù)，企業(yè)必須培訓(xùn)所有員工如何識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，主要措施包括：

• 對(duì)所有員工進(jìn)行全面的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，解決這類問(wèn)題：識(shí)別網(wǎng)絡(luò)安全威脅、創(chuàng)建強(qiáng)密碼、識(shí)別社會(huì)工程攻擊以及探討風(fēng)險(xiǎn)管理等話題。
• 強(qiáng)調(diào)影子IT的潛在風(fēng)險(xiǎn)，員工可能使用未經(jīng)批準(zhǔn)的工具和應(yīng)用程序，導(dǎo)致隱藏的漏洞。
• 為安全工作人員提供專門培訓(xùn)，使他們及時(shí)了解新出現(xiàn)的威脅和對(duì)策。
• 定期討論安全實(shí)踐，鼓勵(lì)員工負(fù)起責(zé)任，比如為所有員工制定安全標(biāo)準(zhǔn)，討論數(shù)據(jù)隱私、密碼管理和物理場(chǎng)所安全等問(wèn)題，以及鼓勵(lì)公開討論安全規(guī)定和行業(yè)法規(guī)的重要性。

5. 建立統(tǒng)一的云安全策略

所有企業(yè)都應(yīng)該制定一個(gè)統(tǒng)一的云安全工作指導(dǎo)方針，規(guī)定誰(shuí)可以使用云服務(wù)、如何使用云服務(wù)以及哪些數(shù)據(jù)可以存儲(chǔ)在云端。該策略還需要闡明員工必須使用的具體安全技術(shù)，以保護(hù)云端數(shù)據(jù)和應(yīng)用程序。為了闡明有效的云安全實(shí)踐，研究人員給出了一個(gè)制定云安全策略的實(shí)例：

1. 確定范圍
2. 列出所有權(quán)和責(zé)任
3. 界定云計(jì)算服務(wù)的安全使用
4. 確定評(píng)估風(fēng)險(xiǎn)的范圍
5. 實(shí)施安全控制措施
6. 制定安全事件恢復(fù)計(jì)劃
7. 通過(guò)培訓(xùn)增強(qiáng)安全意識(shí)
8. 嚴(yán)格執(zhí)行
9. 相關(guān)文檔
10. 審核和修訂

6. 加強(qiáng)端點(diǎn)側(cè)安全防護(hù)

由于端點(diǎn)設(shè)備可以直接連接到云，因此云服務(wù)的使用加大了對(duì)有效端點(diǎn)安全的需求。新的云項(xiàng)目讓企業(yè)有機(jī)會(huì)重新審視安全技術(shù)和應(yīng)對(duì)新威脅。在企業(yè)實(shí)施的縱深化安全防御計(jì)劃中，應(yīng)該全面包括防火墻、反惡意軟件、入侵檢測(cè)和訪問(wèn)控制。在復(fù)雜的端點(diǎn)應(yīng)用環(huán)境中，應(yīng)對(duì)新型端點(diǎn)安全問(wèn)題時(shí)可以使用自動(dòng)化安全工具，例如端點(diǎn)檢測(cè)和響應(yīng)（EDR）工具以及端點(diǎn)保護(hù)平臺(tái)（EPP），也可以考慮其他控制措施包括補(bǔ)丁管理、端點(diǎn)加密、VPN和內(nèi)部威脅防護(hù)等。

7.全面的數(shù)據(jù)加密

加密是任何云安全策略的關(guān)鍵部分。企業(yè)不僅應(yīng)該對(duì)云平臺(tái)上存儲(chǔ)的任何數(shù)據(jù)進(jìn)行加密，還應(yīng)該對(duì)傳輸中數(shù)據(jù)同樣進(jìn)行加密，因?yàn)閭鬏斨械臄?shù)據(jù)更容易受到攻擊。當(dāng)前，主流的云計(jì)算服務(wù)商都會(huì)提供加密和密鑰管理服務(wù)，一些第三方云應(yīng)用軟件公司也提供加密方案。研究人員建議企業(yè)尋找一種與現(xiàn)有工作流程無(wú)縫配合的加密產(chǎn)品，那樣最終用戶無(wú)須另為遵守企業(yè)加密政策而操心。

8. 使用入侵檢測(cè)等基礎(chǔ)防御技術(shù)

入侵檢測(cè)和防御系統(tǒng)（IDPS）是當(dāng)前應(yīng)用最廣泛的安全工具之一。它們監(jiān)測(cè)、分析和響應(yīng)網(wǎng)絡(luò)流量，可以作為獨(dú)立的解決方案使用，也可以作為幫助保護(hù)網(wǎng)絡(luò)的另一種工具（比如防火墻）的一部分使用。主流的云服務(wù)商都會(huì)提供SaaS化的IDPS和防火墻服務(wù)，它們還通過(guò)各自的云應(yīng)用平臺(tái)有償提供其他網(wǎng)絡(luò)安全公司的服務(wù)。如果企業(yè)經(jīng)常需要處理云端敏感數(shù)據(jù)，這類安全服務(wù)將會(huì)物有所值。

9. 嚴(yán)格遵守合規(guī)要求

對(duì)于需要收集個(gè)人身份信息的企業(yè)會(huì)在客戶隱私和數(shù)據(jù)安全方面面臨嚴(yán)格的監(jiān)管。在某些地區(qū)經(jīng)營(yíng)的企業(yè)可能還會(huì)面臨當(dāng)?shù)卣奶厥夂弦?guī)要求。

在確定使用新的云計(jì)算服務(wù)之前，企業(yè)組織應(yīng)該嚴(yán)格審查特定的合規(guī)要求，并確保云服務(wù)提供商能夠滿足相關(guān)數(shù)據(jù)安全的合規(guī)要求。保持合規(guī)是云應(yīng)用安全的重中之重。監(jiān)管部門會(huì)要求企業(yè)對(duì)任何違規(guī)行為負(fù)責(zé)，即使安全問(wèn)題源自云提供商。

10. 考慮CASB解決方案

當(dāng)現(xiàn)有的安全方法不盡如人意時(shí)，尋求更先進(jìn)的技術(shù)支持很重要。云訪問(wèn)安全代理（CASB）是為實(shí)施云安全標(biāo)準(zhǔn)而專門構(gòu)建的解決方案，隨著云的使用日益廣泛，這類技術(shù)越來(lái)越受到關(guān)注。CASB可以追蹤非法的云應(yīng)用程序活動(dòng)，非常適合應(yīng)用了多種云服務(wù)的企業(yè)組織。

CASB提供眾多云安全服務(wù)，包括DLP、檢測(cè)惡意軟件、協(xié)助合規(guī)以及控制云應(yīng)用程序訪問(wèn)和影子IT。這類解決方案可以與各種SaaS和IaaS平臺(tái)兼容，提供完整的基礎(chǔ)設(shè)施安全。

此外，如果用戶在云端運(yùn)行工作負(fù)載和應(yīng)用程序，云原生應(yīng)用程序保護(hù)（CNAPP）和云工作負(fù)載保護(hù)平臺(tái)（CWPP）也是保護(hù)云基礎(chǔ)架構(gòu)和數(shù)據(jù)的很好選擇，選型新一代云安全解決方案取決于企業(yè)的云安全需求以及與現(xiàn)有基礎(chǔ)設(shè)施的互操作性。

11. 進(jìn)行安全性審計(jì)和滲透測(cè)試

無(wú)論企業(yè)與外部安全公司合作還是自主建設(shè)云安全能力，專家都建議落實(shí)以下安全實(shí)踐：

• 滲透測(cè)試：檢查當(dāng)前云安全解決方案的可靠性，識(shí)別可能危及數(shù)據(jù)和應(yīng)用程序的漏洞。
• 漏洞掃描：使用云漏洞掃描器以檢測(cè)錯(cuò)誤配置及其他漏洞，增強(qiáng)云環(huán)境的安全態(tài)勢(shì)。
• 定期安全審計(jì)：評(píng)估所有安全廠商和控制措施，以確定其功能，并確保遵守約定的安全條件和標(biāo)準(zhǔn)。
• 訪問(wèn)日志審計(jì)：確保只有授權(quán)的人才能訪問(wèn)敏感數(shù)據(jù)和云應(yīng)用程序，改進(jìn)訪問(wèn)控制和數(shù)據(jù)安全措施。

12. 監(jiān)控所有的安全日志

對(duì)所有的安全日志進(jìn)行監(jiān)控其實(shí)是如今最有效的云安全方案之一。企業(yè)應(yīng)該將云服務(wù)登錄數(shù)據(jù)整合到安全信息和事件管理（SIEM）系統(tǒng)，以便集中監(jiān)控和響應(yīng)。日志記錄可以幫助系統(tǒng)管理員和安全團(tuán)隊(duì)監(jiān)視用戶活動(dòng)，并檢測(cè)未經(jīng)批準(zhǔn)的修改和活動(dòng)。萬(wàn)一攻擊者獲得訪問(wèn)權(quán)限并進(jìn)行篡改，完整的日志提供了其行為的清晰記錄，SIEM工具便于迅速化解，以限制損害。

有效的日志記錄對(duì)于處理錯(cuò)誤配置也很重要，因?yàn)樗阌诟櫩赡軐?dǎo)致漏洞的更改，以便采取預(yù)防措施。它還有助于發(fā)現(xiàn)訪問(wèn)權(quán)限過(guò)大的人，以便進(jìn)行更改，從而減小可能的危險(xiǎn)。

13. 減少云上的錯(cuò)誤配置

云環(huán)境中的錯(cuò)誤配置是云環(huán)境中最常見的漏洞類型之一，包括云上的網(wǎng)絡(luò)系統(tǒng)和容器系統(tǒng)等。這會(huì)導(dǎo)致云計(jì)算應(yīng)用出現(xiàn)嚴(yán)重安全隱患。這些錯(cuò)誤配置將嚴(yán)重?fù)p害云應(yīng)用的防護(hù)能力，造成相關(guān)云訪問(wèn)控制措施的缺失或失效。因此，企業(yè)不僅要記錄錯(cuò)誤配置數(shù)據(jù)，還要采取主動(dòng)措施以減少存儲(chǔ)桶、API、連接、敞開端口、權(quán)限和加密等方面的錯(cuò)誤配置。為了減少云上的錯(cuò)誤配置，企業(yè)的IT或安全團(tuán)隊(duì)有必要做好以下幾點(diǎn)：

• 準(zhǔn)確配置每個(gè)存儲(chǔ)桶或每組存儲(chǔ)桶；
• 與開發(fā)團(tuán)隊(duì)合作，以確保Web云地址設(shè)置正確；
• 確保從不使用默認(rèn)的訪問(wèn)權(quán)限；
• 確定所需的用戶訪問(wèn)級(jí)別（僅查看或編輯權(quán)限），并相應(yīng)地配置每個(gè)存儲(chǔ)桶；
• 云SIEM、CWPP、CSPM和CNAPP等可以助一臂之力。

參考鏈接：

https://www.esecurityplanet.com/cloud/cloud-security-best-practices/