新聞中心
公司新聞
行業動態
行業動態
5個技巧幫助您建立云安全架構
發布日期:2021-06-15 17:21:00閱讀量:221

越來越多的組織選擇將數據和應用程序轉移到云端,安全架構在確保工作負載安全方面變得至關重要。云安全架構是一個框架,它定義了組織如何為其運營的每個云模型處理云安全,以及它打算使用哪些解決方案和技術來創建安全環境。

云安全最佳實踐應該是云安全架構的起點。標準的可能來源是云提供商發布的文檔、國家標準與技術研究院等組織或互聯網安全中心等安全研究組織的合規性標準。

云安全架構還必須考慮您的組織和基礎設施即服務 (IaaS) 提供商之間的共同責任,指定組織應如何在保護云提供商平臺上的數據和工作負載方面發揮作用。

云安全挑戰

云安全為組織帶來了獨特的挑戰。以下是您在設計云計算安全架構時應考慮的一些主要挑戰:

錯誤配置:云環境有大量移動部件,包括計算實例、存儲桶、數據庫、容器和無服務器功能。其中大部分都是短暫的,每天都有新實例啟動和關閉。這些資源中的任何一個都可能被錯誤配置,從而允許攻擊者通過公共網絡訪問它們、泄露數據并對關鍵系統造成損害。

合規風險:您必須確保您的云提供商支持所有相關的合規要求,并了解您可以使用哪些控制和服務來滿足您的合規義務。

身份和訪問權:云系統默認不安全,員工很容易在云上創建資源而無人看管。所有云提供商都提供強大的身份和訪問管理 (IAM) 功能,但由組織來正確設置它們并將它們一致地應用于所有工作負載。

不安全的 API:云中的一切都有一個 API,這既強大又極其危險。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪問和控制整個環境。API 是通向云的前門,它通常是敞開的。

隱形控制平面:在云中,控制平面不受組織控制。雖然云提供商負責其基礎設施的安全,但他們不提供有關數據流和內部架構的信息,這意味著安全團隊在盲目飛行。

構建云安全架構的技巧

這里有一些技巧可以幫助您構建可靠的云安全架構。

1. 進行盡職調查

在遷移到云提供商或將云部署擴展到其他云提供商之前,組織應仔細調查整個云提供商的安全性和彈性屬性以及他們打算使用的特定服務。

盡職調查過程應包括:

根據來自同行業組織的數據定義安全性和可用性基準發現云提供商的安全最佳實踐及其對組織的影響嘗試云提供商的安全功能,例如加密、日志記錄以及身份和訪問管理 (IAM)了解云提供商如何幫助滿足您的合規義務以及它獲得認證的標準了解您的云提供商的責任共擔模型的細節以及您的組織負責哪些安全元素評估第一方安全服務(由云平臺提供)并將它們與第三方替代產品進行比較評估現有的安全工具是否與新的云環境相關

2. 確定哪些數據最敏感

對于大多數組織而言,對所有數據應用嚴格的安全措施是不可行的。某些數據可能仍然不安全,但您必須確定必須保護哪些數據類別以防止違規和違反合規性。使用數據檢測和分類了解您需要保護的內容至關重要。

這通常是使用自動數據分類引擎來實現的。這些工具旨在跨網絡、端點、數據庫和云查找敏感內容,使組織能夠識別敏感數據并建立必要的安全控制。

3. 保護云端點

許多組織正在部署具有多層保護的端點保護平臺,包括端點檢測和響應(EDR),下一代防病毒(NGAV)以及用戶和實體行為分析(UEBA)。

端點保護在云中更為重要。在云中,端點是計算實例、存儲卷和存儲桶以及 Amazon RDS 等托管服務。

云部署有大量端點,它們的變化比本地更頻繁,因此需要更高級別的可見性。端點保護工具可以幫助組織控制其云工作負載并保護其安全狀況中最薄弱的環節。

4. 讓員工云使用走出陰影

僅僅因為您擁有企業云安全策略并不意味著員工會遵守它。在使用常見的云服務(例如 Dropbox 或基于網絡的電子郵件)之前,員工很少咨詢 IT 部門。

組織的Web代理,防火墻和SIEM日志是衡量員工對云的影子使用情況的良好資源。這些可以提供有關正在使用哪些服務以及由哪些員工使用的全面視圖。在發現影子云使用情況時,您可以根據服務帶來的風險評估服務的附加價值。您可以選擇“合法化”影子云服務,也可以進行打擊并采取措施禁止它們。

影子使用的另一個方面是從不受信任的端點設備訪問合法的云資源。由于連接到 Internet 的任何設備都可以訪問任何云服務,因此個人移動設備可能會在您的安全策略中造成差距。為了防止數據從受信任的云服務逃逸到不受管理的設備,在啟用訪問之前需要設備安全驗證。

5. 了解您在合規義務中的作用

請記住,合規性最終是您組織的唯一責任。無論您將多少業務功能轉移到云端,您都可以選擇一個云架構平臺來幫助您遵守適用于您所在行業的所有監管標準,無論是 PCI DSS、GDPR、HIPAA、CCPA 還是任何其他標準或法規。

了解您的云提供商提供的工具和服務以確保合規性,以及您可以使用哪些第三方工具來創建合規且可以通過審計證明合規的云系統。

寫在最后

構建云安全架構并非易事。您需要為您的云環境解決組織的安全策略、相關合規標準和安全最佳實踐,同時應對云基礎架構的高度復雜性和動態性。我們提供了五個技巧,可以使您的云安全架構取得成功:

在使用云提供商或云服務之前,對安全性和合規性影響進行盡職調查

確定存儲在云環境中的哪些數據是敏感的并且需要保護

通過“合法化”或阻止云服務,讓員工了解云使用情況并防止影子 IT

使用與云兼容的端點保護技術保護云中的端點

了解您的組織和云提供商之間在合規義務方面的責任分擔,并確保您盡自己的一份力量