企业上云需关注的安全要点有哪些?值得参考的10大安全实践

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:10个月前
企业上云已经成为趋势,但是当数据上云之后就不可避免地面临网络安全风险,那么如何才能保证云数据的安全呢?外媒根据大量企业的安全实践总结出了10条经验。

云数据安全到底是什么?

云安全是保护云计算环境免受外部和内部网络安全威胁的技术和应用。随着云计算成为企业提高创新和协作能力的必要条件,为了保护云数据免受当前和新出现的威胁,云安全和其他防止非法活动的措施是必要的。

如何知道云安全是否适合我?

如果您正在使用云,毫无疑问,您需要保护它。那么问题应该是——“我的企业(机构)应该寻求实现什么样的云安全?”云安全的方式有很多,确保一切都受到保护的最佳方法通常首先要了解您的企业(机构)所使用的云是和种类型的和云服务的组合。


1. 对云的位置和服务进行分类

根据云的位置,您可以确定云是公有的、私有的还是混合的。

公有云:

公有云是指服务器和存储等资源由第三方互联网企业所拥有的。这种公有云是最流行的,因为它有几个优点,包括:

·使用成本相对低。由于硬件和软件由服务提供商拥有,无需自己搭建,因此成本较低。这样,你只需要为你使用的资源付费。

·无维护费用。也许说没有维护费用这个说法有点夸张,毕竟支付的服务费中应该会包含这一项,不过相比于自己搭建而言的确是没有的,毕竟它是由提供者提供的。

·可靠性相对高。随着您业务需求的增长,您的服务内容和规模也会随之增长,当服务器发生问题时所产生的损失也会更大。作为第三方提供云服务的公司,其专业性高于大多数公司,相对更能保证一个大型网络服务器的可靠性,发生故障的概率很低,而遇到问题时的反应和修复能力也更强。

私有云:

私有云是指只有单个企业或机构使用的云服务资源。这种云类型可以由自己就地建立,也可以由第三方提供商托管。与公有云不同的是服务和基础设施是在私有网络上维护的,硬件和软件只针对自己的企业或机构。私有云的优势包括:

·灵活性。因为您的企业或机构可以随意定制云环境,以适应您的特定需求。同时与公有云一样,私有云也可以根据自己的业务需求来进行伸缩调整。

·改进的安全性。因为资源不与其他组织共享,这将允许对您的业务进行独有的且更高级别的控制。

混合云:

混合云是将私有云计算基础设施与公有云相结合,从而获得两者的优点。通过混合云,数据和应用程序可以在私有云和公有云之间移动,从而实现更大的灵活性和更多的部署选项。通常,最重要的应用程序存储在私有云上,而次要应用程序存储在别处。混合云的一些好处包括:

·控制特定资产。企业或机构可以自己维护私有基础设施。

·灵活性。当需要时,公有云中有额外的资源可用。随着时间的推移逐步调整工作负载,可以方便地过渡到云。

·扩展成本低。扩展到公有云的能力可以节省成本,因为只需支付所需的额外计算能力。

云服务的分类

根据云提供的服务,您可以确定是否应该将其分类为IaaS、PaaS、SaaS或FaaS。

·IaaS (IaaS)

IaaS是云计算服务中最常见的一类。其理念是在使用云服务时,可以从云服务提供商那里付费租用IT基础设施,比如服务器或虚拟机。

·PaaS(平台即服务)

PaaS更多的是用于创建和测试软件应用程序的环境。它允许开发和实现应用程序,而无需设置或管理开发所需的底层基础设施。

·SaaS(软件即服务)

SaaS是一种通过订阅在互联网上交付软件应用程序的方式。它有助于托管和管理企业或机构正在使用的应用程序,以及底层基础设施和维护。

·FaaS(功能即服务)

FaaS是一种在无状态容器中运行的事件驱动型计算执行模型,这些功能将利用服务来管理服务器端逻辑和状态。它允许开发人员以功能的形式来构建、运行和管理这些应用包,无需维护自己的基础设施。

2. 共同责任模式

根据使用云服务的方式,数据保护和网络安全的共同责任模式是必须要了解的。微软已经明确表示支持云端共同责任,但并非所有共同责任模式都一样。微软表明定义数据分类和保护控制是客户的责任,而提供商的责任包括通过云计算堆栈的流程,描述应用和操作系统控制、网络功能和底层主机基础设施(包括管理程序、存储组件、冗余和可扩展性工具等)。

亚马逊云计算服务提供类似的模型,他们将责任模型分为两大类:云中的安全以及云的安全。云中安全是客户的责任,这包括数据保护、身份和访问管理、操作系统配置、网络安全--访问控制--以及加密。AWS负责基础设施的底层部分,包括计算组件、存储基础设施、数据库和网络。

因此,当准备开始使用云服务时,这方面的信息是必须要了解清楚的,且和云服务供应商做好确认。

3.了解自己的数据是如何被访问和存储的

根据McAfee 2019云应用和风险报告,21%的云文件中包含敏感数据元素。检查您的云服务并确切了解它们处理的是什么数据是至关重要的。大多数数据可能存在于完善的云服务中,或者存在于您的企业(机构)熟悉的云服务中,但是没有一个云服务能够保证您的数据100%不受威胁。因此,在任何云环境中进行定期检查与数据相关的权限都是必要的。您甚至可能会发现需要隔离或删除一些敏感数据。

4、与可靠的云提供商建立合作关系

也许这个步骤应该更靠前一些。目前市面上的云服务提供商在可靠性、透明度和符合既定监管标准方面表现出较强的一致性,但我们仍然可以通过一些高级别且被认可的认证纳入考核,这包括但不限于SAS 70 Type II或ISO 27001。

同时,这些服务提供者通常提供有关安全审计、结果、认证等的可访问报告,重要的是要确保这些审计是基于现有的监管标准和独立进行的,以消除任何潜在的偏见。尽管有信誉的云提供商应该持续维护认证并通知客户在过程中的任何变化,但作为最终的使用者,您仍然有责任了解您的企业(机构)的数据安全需求和合规要求。

5. 了解云服务提供商已经实施的安全解决方案

因为云服务提供商可能会存储或托管您的数据,因此,了解这些云提供商保护敏感数据的方法是非常必要的,甚至要到刨根问底的程度。永远不要假定您或您的提供商的安全措施是不可破解的,有信誉的供应商应该遵守业界公认的施行标准,如零信任和其他以数据为中心的安全原则。

不同的云提供商的安全解决方案可能因其应用程序和数据服务专门化而有所不同。对于高度敏感的数据应用程序,一家供应商可能非常适合,而对于不太敏感的数据应用,另一家供应商可能最适合。

6、建立并应用云安全指南

拥有一份详细的“安全操作规章”将为您的企业或机构建立一个总的安全指导方针,指定谁可以访问什么云服务、如何使用云服务、哪些类型的数据可以存储在云服务中等等。此外,还应该指定保护云中的数据所需的安全技术。

理想的设置应该包括安全自动化解决方案,以确保每个人都遵循相同的指导原则,无论是来自云供应商的安全要求,还是购买具有策略实施功能的独立安全解决方案。

7、管理您的内部安全威胁

员工往往是云服务的使用者,但也往往没有意识到这些云服务操作行为的潜在安全风险。如果在开始使用之前,确保让员工接受云安全操作的培训,将会大大有助于降低组织内部的风险。

如前所述,创建供员工使用的云服务的“安全操作规章”是降低风险的一种简单而有效的方法。了解员工正在使用什么云服务,可以根据不同的情况来设置安全策略,确定云中哪些数据类型是允许操作的以及哪种云服务是可以允许员工操作的等等,这些都可以提高安全性。

8、训练你的员工

接着上一条所说的,除了在员工使用前进行安全培训之外,防止黑客入侵您的环境的最有效方法之一是在接下来的时间里面定期培训您的员工,因为技术和攻击手段发展得很快,比如您的员工需要为网络钓鱼和鱼叉式网络钓鱼计划做好准备,其他的一些掠夺性攻击手段也日益流行和成熟。对员工进行定期培训,让他们准备好识别当前的网络威胁或正在兴起的网络威胁也将会提高安全性。

9、尽量减少环境中的数据量

减少环境中的数据量是提高安全性的一种确定有效的方法,同时还可以降低合规风险。

10、执行定期审计和渗透测试

无论您的企业或机构是否决定为您的云数据安全需求去选择一个合作伙伴,您都应该要定期进行渗透测试,以确定您的网络设施在安全性方面的表现是否足够应对风险。与此同时,还有一项必须要做的就是定期进行审计,对访问日志进行检查,以确保只有授权人员在处理敏感数据,或者采取任何其他安全措施,以满足最新的安全需求。

为了更安全而完全避免使用公有云服务是不现实的。基于云的工作环境通常比在传统的数据中心中运行的安全问题更少。如果能够保持持续稳定的安全性,就可以在拥有云计算服务提供的诸多优点之下显著降低风险。

需要注意的是,对于任何企业或机构而言的数据安全需求,都没有简单的“一刀切”方式的解决方案。上述这些通过已有的情况总结出来的安全实践,对于想要使用云服务但又对安全性有所担心的企业来说仍是值得参考的。