云安全涉及保護(hù)云計(jì)算環(huán)境免受外部和內(nèi)部網(wǎng)絡(luò)安全威脅的程序和技術(shù)。云計(jì)算是通過互聯(lián)網(wǎng)提供信息技術(shù)服務(wù)，已成為尋求加速創(chuàng)新和協(xié)作的企業(yè)和政府的必需品。需要旨在防止未經(jīng)授權(quán)的訪問的云安全和安全管理最佳實(shí)踐，以保護(hù)云中的數(shù)據(jù)和應(yīng)用程序免受當(dāng)前和新出現(xiàn)的網(wǎng)絡(luò)安全威脅。

一、云計(jì)算類別

云安全性因所使用的云計(jì)算類別而異。云計(jì)算主要分為四類：

• 由公共云提供商運(yùn)營的公共云服務(wù)——包括軟件即服務(wù) (SaaS)、基礎(chǔ)設(shè)施即服務(wù) (IaaS) 和平臺即服務(wù) (PaaS)。
• 由公共云提供商運(yùn)營的私有云服務(wù)——這些服務(wù)提供了一個(gè)專用于一個(gè)客戶的計(jì)算環(huán)境，由第三方運(yùn)營。
• 由內(nèi)部員工操作的私有云服務(wù)——這些服務(wù)是傳統(tǒng)數(shù)據(jù)中心的演變，內(nèi)部員工在其中操作他們控制的虛擬環(huán)境。
• 混合云服務(wù)——私有云和公共云計(jì)算配置可以結(jié)合起來，根據(jù)成本、安全性、運(yùn)營和訪問等優(yōu)化因素托管工作負(fù)載和數(shù)據(jù)。操作將涉及內(nèi)部員工，以及可選的公共云提供商。

當(dāng)使用公共云提供商提供的云計(jì)算服務(wù)時(shí)，數(shù)據(jù)和應(yīng)用程序由第三方托管，這標(biāo)志著云計(jì)算與傳統(tǒng) IT 的根本區(qū)別，傳統(tǒng) IT 大部分?jǐn)?shù)據(jù)保存在一個(gè)自我控制的網(wǎng)絡(luò)中。了解您的安全責(zé)任是構(gòu)建云安全策略的第一步。

二、云安全職責(zé)的細(xì)分

大多數(shù)云提供商都試圖為客戶創(chuàng)建安全的云。他們的商業(yè)模式取決于防止違規(guī)和維護(hù)公眾和客戶的信任。云提供商可以嘗試避免他們提供的服務(wù)出現(xiàn)云安全問題，但無法控制客戶如何使用該服務(wù)、他們添加了哪些數(shù)據(jù)以及誰有權(quán)訪問。客戶可以通過他們的配置、敏感數(shù)據(jù)和訪問策略削弱云中的網(wǎng)絡(luò)安全。在每種公共云服務(wù)類型中，云提供商和云客戶分擔(dān)不同級別的安全責(zé)任。按服務(wù)類型，這些是：

• 軟件即服務(wù) (SaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)和用戶訪問。
• 平臺即服務(wù) (PaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)、用戶訪問和應(yīng)用程序。
• 基礎(chǔ)設(shè)施即服務(wù) (IaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)、用戶訪問、應(yīng)用程序、操作系統(tǒng)和虛擬網(wǎng)絡(luò)流量。

在所有類型的公共云服務(wù)中，客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)并控制誰可以訪問這些數(shù)據(jù)。云計(jì)算中的數(shù)據(jù)安全是成功采用和獲得云優(yōu)勢的基礎(chǔ)。考慮流行的 SaaS 產(chǎn)品（如 Microsoft Office 365 或 Salesforce）的組織需要規(guī)劃他們將如何履行共同的責(zé)任來保護(hù)云中的數(shù)據(jù)。那些考慮提供像 Amazon Web Services (AWS) 或 Microsoft Azure 這樣的 IaaS 產(chǎn)品的人需要一個(gè)更全面的計(jì)劃，該計(jì)劃從數(shù)據(jù)開始，但也涵蓋云應(yīng)用程序安全、操作系統(tǒng)和虛擬網(wǎng)絡(luò)流量——每一個(gè)都可能帶來數(shù)據(jù)安全問題.

三、云安全挑戰(zhàn)

由于公共云中的數(shù)據(jù)由第三方存儲并通過互聯(lián)網(wǎng)訪問，因此在維護(hù)安全云的能力方面出現(xiàn)了一些挑戰(zhàn)。這些是：

• 對云數(shù)據(jù)的可見性——在許多情況下，云服務(wù)是在企業(yè)網(wǎng)絡(luò)之外和不受 IT 管理的設(shè)備上訪問的。這意味著 IT 團(tuán)隊(duì)需要能夠深入了解云服務(wù)本身，以全面了解數(shù)據(jù)，而不是傳統(tǒng)的網(wǎng)絡(luò)流量監(jiān)控方式。
• 控制云數(shù)據(jù)——在第三方云服務(wù)提供商的環(huán)境中，與在自己的場所控制服務(wù)器和應(yīng)用程序相比，IT 團(tuán)隊(duì)對數(shù)據(jù)的訪問更少。默認(rèn)情況下，云客戶的控制權(quán)有限，無法訪問底層物理基礎(chǔ)設(shè)施。
• 訪問云數(shù)據(jù)和應(yīng)用——用戶可以通過互聯(lián)網(wǎng)訪問云應(yīng)用和數(shù)據(jù)，使得基于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)邊界的訪問控制不再有效。用戶可以從任何位置或設(shè)備訪問，包括自帶設(shè)備 (BYOD) 技術(shù)。此外，云提供商人員的特權(quán)訪問可以繞過您自己的安全控制。
• 合規(guī)性——云計(jì)算服務(wù)的使用為監(jiān)管和內(nèi)部合規(guī)性增加了另一個(gè)維度。您的云環(huán)境可能需要遵守 HIPAA、PCI 和 Sarbanes-Oxley 等法規(guī)要求，以及內(nèi)部團(tuán)隊(duì)、合作伙伴和客戶的要求。云提供商基礎(chǔ)設(shè)施以及內(nèi)部系統(tǒng)和云之間的接口也包含在合規(guī)和風(fēng)險(xiǎn)管理流程中。
• 云-本地泄露——云中的數(shù)據(jù)泄露與本地泄露不同，因?yàn)閿?shù)據(jù)盜竊通常使用云的本地功能發(fā)生。云原生漏洞是攻擊者采取的一系列行動，他們通過在不使用惡意軟件的情況下利用云部署中的錯(cuò)誤或漏洞“登陸”攻擊，通過弱配置或受保護(hù)的接口“擴(kuò)展”他們的訪問權(quán)限以定位有價(jià)值的數(shù)據(jù)，并將該數(shù)據(jù)“滲透”到他們自己的存儲位置。
• 錯(cuò)誤配置——云原生漏洞通常歸于云客戶的安全責(zé)任，其中包括云服務(wù)的配置。研究表明，目前只有 26% 的公司可以審核其 IaaS 環(huán)境中的配置錯(cuò)誤。IaaS 的錯(cuò)誤配置通常充當(dāng)云原生漏洞的前門，允許攻擊者成功登陸，然后繼續(xù)擴(kuò)展和泄露數(shù)據(jù)。研究還表明，云客戶在 IaaS 中沒有注意到 99% 的錯(cuò)誤配置。以下是這項(xiàng)研究的摘錄，顯示了這種級別的錯(cuò)誤配置斷開：
• 災(zāi)難恢復(fù)——需要網(wǎng)絡(luò)安全規(guī)劃來保護(hù)重大負(fù)面漏洞的影響。災(zāi)難恢復(fù)計(jì)劃包括旨在支持?jǐn)?shù)據(jù)恢復(fù)并允許組織繼續(xù)運(yùn)營和業(yè)務(wù)的策略、程序和工具。
• 內(nèi)部威脅——流氓員工能夠使用云服務(wù)將組織暴露于網(wǎng)絡(luò)安全漏洞。最近的 McAfee Cloud 采用和風(fēng)險(xiǎn)報(bào)告顯示，85% 的組織中存在表明內(nèi)部威脅的不規(guī)則活動。

四、云安全解決方案

尋求云安全解決方案的組織應(yīng)考慮以下標(biāo)準(zhǔn)，以解決云數(shù)據(jù)可見性和控制等主要云安全挑戰(zhàn)。

1、云數(shù)據(jù)的可見性

云數(shù)據(jù)的完整視圖需要直接訪問云服務(wù)。云安全解決方案通過與云服務(wù)的應(yīng)用程序編程接口 (API) 連接來實(shí)現(xiàn)這一點(diǎn)。通過 API 連接，可以查看：

• 哪些數(shù)據(jù)存儲在云中。
• 誰在使用云數(shù)據(jù)？
• 有權(quán)訪問云數(shù)據(jù)的用戶的角色。
• 云用戶與誰共享數(shù)據(jù)。
• 云數(shù)據(jù)所在的位置。
• 從哪里訪問和下載云數(shù)據(jù)，包括從哪個(gè)設(shè)備。

2、控制云數(shù)據(jù)

一旦您了解云數(shù)據(jù)，就可以應(yīng)用最適合您的組織的控制。這些控制包括：

• 數(shù)據(jù)分類——在云中創(chuàng)建的數(shù)據(jù)在多個(gè)級別上進(jìn)行分類，例如敏感、受監(jiān)管或公共。分類后，可以阻止數(shù)據(jù)進(jìn)入或離開云服務(wù)。
• 數(shù)據(jù)丟失防護(hù) (DLP)——實(shí)施云 DLP 解決方案以保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問，并在檢測到可疑活動時(shí)自動禁用數(shù)據(jù)訪問和傳輸。
• 協(xié)作控制——管理云服務(wù)中的控制，例如將指定用戶的文件和文件夾權(quán)限降級為編輯者或查看者、刪除權(quán)限以及撤銷共享鏈接。
• 加密——云數(shù)據(jù)加密可用于防止未經(jīng)授權(quán)訪問數(shù)據(jù)，即使該數(shù)據(jù)被泄露或被盜。

3、訪問云數(shù)據(jù)和應(yīng)用程序

與內(nèi)部安全一樣，訪問控制是云安全的重要組成部分。典型的控制包括：

• 用戶訪問控制——實(shí)施系統(tǒng)和應(yīng)用程序訪問控制，確保只有授權(quán)用戶才能訪問云數(shù)據(jù)和應(yīng)用程序。云訪問安全代理(CASB)可用于實(shí)施訪問控制
• 設(shè)備訪問控制——當(dāng)未經(jīng)授權(quán)的個(gè)人設(shè)備試圖訪問云數(shù)據(jù)時(shí)阻止訪問。
• 惡意行為識別——使用用戶行為分析 (UBA) 檢測受損帳戶和內(nèi)部威脅，以免發(fā)生惡意數(shù)據(jù)泄露。
• 惡意軟件預(yù)防——使用文件掃描、應(yīng)用程序白名單、基于機(jī)器學(xué)習(xí)的惡意軟件檢測和網(wǎng)絡(luò)流量分析等技術(shù)防止惡意軟件進(jìn)入云服務(wù)。
• 特權(quán)訪問——確定特權(quán)帳戶可能對您的數(shù)據(jù)和應(yīng)用程序擁有的所有可能的訪問形式，并實(shí)施控制以減少風(fēng)險(xiǎn)。

4、合規(guī)性

應(yīng)增強(qiáng)現(xiàn)有的合規(guī)性要求和實(shí)踐，以包括駐留在云中的數(shù)據(jù)和應(yīng)用程序。

• 風(fēng)險(xiǎn)評估——審查和更新風(fēng)險(xiǎn)評估以包括云服務(wù)。識別并解決云環(huán)境和提供商引入的風(fēng)險(xiǎn)因素。云提供商的風(fēng)險(xiǎn)數(shù)據(jù)庫可用于加快評估過程。
• 合規(guī)性評估——審查和更新 PCI、HIPAA、Sarbanes-Oxley 和其他應(yīng)用程序監(jiān)管要求的合規(guī)性評估。