Bob Violino

多年以来，由于担心安全威胁，许多业务高管和IT高管一直对公共云心存顾虑，甚至完全避开这种服务。

随着云服务市场的成熟，领先的云提供商开始构建高度安全的基础架构，这种担忧很大程度上得到了消解。但这并不意味着威胁已消失，也不意味着云客户应想当然地以为不用再负责确保其数据受到保护。

云配置错误是攻击者最先盯上的……像未删除旧账户这种小小的疏忽都有可能立刻带来安全问题。

云安全联盟（CSA）负责定义有助于确保云计算环境安全的标准、认证和最佳实践，该组织特别指出：“全球云采用率的上升已带来了新的云安全威胁，黑客会研究某家公司的弱点，未经授权获得访问权以窃取机密信息。”

CSA说：“我们需要更智能、更灵活的控制措施来应对此类威胁，而云服务提供商[CSP]的传统安全措施在这方面不管用。”

该组织根据CSA常见威胁工作组对其成员开展的常规调查和问卷调查，列出了云计算面临的几大威胁，包括：数据泄露、缺乏云安全架构和策略、身份/登录信息、访问和密钥管理不到位、账户劫持、内部威胁、不安全的接口和应用编程接口（API），以及对云使用情况的了解有限。

现在依赖多云或混合云环境来支持业务流程的组织需要保持警惕，以确保其数据和应用程序就像它们在内部环境时一样安全。

研究公司Gartner做出了云安全方面的许多预测，应该引起首席信息安全官（CISO）及其他安全主管的关注。

其中一个预测是，到2025年，未控制公有云使用的组织中90%将不恰当地共享敏感数据。另一个预测是，到2024年，大多数组织仍将很难适当地衡量云安全风险。第三个预测是，到2025年，99%的云安全故障将来自于客户，而不是云提供商。

以下是专家建议为云环境加强安全而采取的几个最佳实践。

1.部署身份和访问管理工具

Gartner的云安全高级主管兼分析师Steve Riley说，管理谁有权访问云端的哪些数据和服务应该是云网絡安全计划的基础。

Riley说，在公有云中，“单个资源和数据对象层面的逻辑访问控制变得至关重要。身份也许是一种最重要的虚拟边界，可以有效地减小潜在漏洞的攻击面。”

Riley表示，任何可连接互联网的人都有可能访问云管理控制台和云端应用程序。因此，有效的身份和访问管理（IAM）策略是用于对组织的云部分加以控制的任何策略的基础。

Riley说：“组织在设计支持并保护业务的IAM策略时，记住最小特权原则仍是实用的基础。宁可严格些，不过又要便于快速轻松地请求和授予额外特权，对个人工作流程的干扰最小。”

Riley表示，分配的特权过少时，系统可“安全地失效”，错误往往不会造成安全问题。他说：“如果分配的特权过多（常常归因于权限蔓延），情况恰恰相反：错误往往造成严重的安全问题。”

Riley说，现在大多数公共云服务提供基于角色的管理、内置的多因子身份验证（MFA）和广泛的日志记录功能。“一些功能可以与特权访问管理工具集成起来。大多数服务还提供某种“有效权限”评估工具，这有助于明确地确定用户或服务账户的权限范围是否过大。”

Riley说，账户权限过大和对象访问权限过大是最常见也是最危险的云安全问题。

2.防止安全配置错误

研究公司IDC的安全和信任项目副总裁Frank Dickson说，云环境面临的最大威胁是配置错误。

Dickson表示，比如说，亚马逊网络服务公司（AWS）开放的简单存储服务（S3）存储桶一向是重大泄密事件的源头，但一些组织还是任由公有云存储资源保持敞开的状态。

Dickson说：“不过S3存储桶默认情况下并不敞开，而是封闭的。客户必须作出决定以打开存储桶并公之于众。有句老话说，一分预防胜过十分治疗。适当地在云配置方面花点心思，胜过在云安全工具方面大量投入。”

据CSA声称，云配置错误是攻击者最先盯上的，而像未删除旧账户这种小小的安全疏忽可能立刻带来问题。错误配置云的常见表现包括缺乏访问限制和缺乏数据保护，尤其是针对明文格式上传到云端的个人信息。

CSA说，配置错误的另一个原因是未审核和验证云资源。该组织声称，对资源和配置没有定期审核可能导致安全漏洞，随时会被恶意攻击者钻空子。

企业还可能忽略日志记录和监控。及时检查数据和访问日志对于识别和标记安全方面的事件至关重要。

最后，组织可能为用户“授予过大的访问权限”。CSA说，用户访问权应仅限于允许个人使用的应用程序和数据。

3.降低云管理的复杂性

为单单一项云服务提供足够的安全对于组织来说可能是巨大的挑战。如果面临更多的云服务和更多的云提供商，保护数据会变得更加困难重重。

对于越来越多的组织而言，向云迁移最终意味着拥有多云或混合云环境。这可能导致高度复杂的基础架构（包括各种公共云服务提供商和各类云服务），这可能带来许多安全风险。

Dickson表示，以云为主的环境中做好网络安全的早期步骤之一应该是降低复杂性。他说，IDC估计80%的企业有不止一家基础架构即服务（IaaS）提供商。

由于期望减少运营支出，并更灵活地为用户和客户提供服务，许多组织还使用不同提供商提供的多种软件即服务（SaaS）和平台即服务（PaaS）解决方案。

拥有多个云（每个云有各自的特点）可能很难做好保护。Dickson说：“可能的话，尽量减少云提供商的数量。较少的云提供商常常意味着较少的安全提供商。供应商合并进一步降低了复杂性。”

4.将重心更多地放在检测和响应上

Riley说，由于将一些控制权交给云端，组织应对云活动加大监控力度，以表明治理程序落實到位并得到遵守。

Riley说：“大多数CSP提供了必要的工具来检测资源、工作负载和应用程序，以收集原始日志数据，但可能对日志数据的存储位置作了限制。将这些数据转换成有用的信息带来了挑战，可能需要CSP提供的或第三方的产品或服务，需要将日志数据从一个地区转移到另一个地区时更是如此。”

Riley说，Gartner的一些客户更喜欢依赖现有的安全信息和事件管理（SIEM）工具，而许多云服务支持更流行的工具。其他客户声称，SIEM工具使用不便、干扰信号多，因此更青睐云原生服务。

Riley说：“在购置另一种产品之前，组织应先摸清云服务的内置日志记录、报告和分析功能。”

SaaS应用程序往往提供汇总、关联和分析行为的各种报告。Riley说：“这些对于仅使用一种或几种SaaS应用程序的组织来说可能足够了。”对于订购许多SaaS应用程序的组织而言，云访问安全代理（CASB）或SaaS管理平台（SMP）可能是评估SaaS安全状况、控制和治理方面实现标准化的更好选择。

Riley说：“IaaS和PaaS提供商提供了检测所需的基本功能，预计客户会将输出内容收集到可以解读数据的服务中。IaaS和PaaS CSP提供原生的事件分析和调查功能。”

此外，云安全状态管理（CSPM）工具提供了高效的机制，可用于评估工作负载的配置以及检测和规范不合规设置。

5.部署数据加密技术

如果数据落入不法分子的手里，数据加密是组织可以用来保护数据较有效的安全工具之一。

Dickson说：“默认情况下，数据离开本地环境时，云端数据保护显得很重要。必须对传输中数据和静止数据进行加密。”

Riley说，加密另外提供了一层逻辑隔离。“对于许多安全团队来说，默认情况下要不要加密所有数据一直争论不断。对于IaaS和PaaS中的大容量存储而言，合理的方法可能是进行加密。这简化了配置程序，避免了敏感数据无意中公开的情况，并有助于仅删除密钥即可销毁数据。”

Riley表示，加密还为访问控制策略提供了复核机制。“要读取加密的对象，账户必须访问两个访问控制列表：一个是对象本身的列表，另一个是加密对象的密钥列表。授予访问权限时必须达成共识的机制是一种有用的纵深防御措施。”

Riley说，对于SaaS和PaaS中的应用层数据，加密决定则较为复杂。他说：“在PaaS/SaaS应用程序的上下文之外加密数据会降低应用程序的功能。组织必须考虑清楚功能与隔离的取舍。”

Riley说，加密替代不了信任。“对加密数据进行任何有用的处理都需要先对数据进行解密，然后将其读入内存，因而使其面临基于内存的攻击。”

6.将培训和教育列为优先事项

最后，与任何其他网络安全计划一样，安全风险方面对用户进行教育至关重要。对于许多组织和员工来说，迁移到云仍是一个比较新的概念，因此需要优先考虑培训以及为相应程序编写指南。

CSA的全球研究副总裁John Yeoh说：“先从云安全方面对自己和员工进行教育。网上有许多安全教育文件和课程帮助了解云端安全基础知识。”

CSA有一份名为《云计算关键领域安全指南》的基础文件，并设有一门名为《云安全知识证书》的培训课程。

Yeoh说：“对于使用特定云服务和工具的那些人来说，熟悉了解这些工具很重要，因为提供商在不断添加和更改其服务的功能。想安全地使用那些服务，关键是合理使用功能，并了解标准配置。”

Yeoh说，打造对云有基本了解的安全文化“是减少人为错误因素并提高云端最佳实践方面的认识，以此改善公司安全状况的重要一步。”

教育还应扩大到了解云提供商在安全方面到底提供什么的方面。

Yeoh说，CSA的云控制矩阵（Cloud Controls Matrix）使你可以查看并比较云服务提供商们如何达到或超过基准安全要求。

Yeoh说：“拥有一整套业界在实施的常见云安全控制措施，可以为该云服务提供商及其服务提供信任和保证。确定对于贵组织使用该服务而言至关重要的安全要求，并确保通过那一整套控制措施满足这些要求。这种做法可以加快采购流程，并改善贵组织的安全状况。”

作者简介：Bob Violino常驻纽约，是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特约撰稿人。

原文网址

https：//www.idginsiderpro.com/article/3529382/6-ways-to-be-more-secure-in-the-cloud.html