如何讓雲端比自己的資料中心更安全

如何讓雲端比自己的資料中心更安全

    在雲端是安全的情況下，你有想過是否有正確安全的使用雲端嗎?依現有的雲端提供商的安全狀況與大多數企業的資料中心一樣好或更好，但不能只將安全性標準作為公共雲端服務的主要障礙。如果只是簡單地將本地工作負載遷移到公共雲端服務並不會使這些工作負載更加安全。領先的公有雲基礎設施即服務(IaaS)提供商擁有廣泛的原生安全功能，如果使用得當，可以比傳統企業資料中心的工作負載得到更好的保護。

    大部分的雲端攻擊都是由於錯誤的使用方式引起的，跟本地資料中心一樣。例如基礎設施的配置錯誤、缺少補丁或管理不當的憑證。從這點觀察深入了解到如何使用公共雲基礎設施即服務(IaaS)使工作負載比傳統資料中心的工作負載更安全。只要充分利用雲端的基礎設施即服務(IaaS)計算和網路結構提供的內建安全功能和高度自動化，企業可以明顯減少配置錯誤、管理不當和錯誤的機會。這樣做不但可以減少被攻擊的情況還可以改善雲端安全的狀況。

建立強大的身份和訪問管理(IAM)規範

    以雲端為基礎的用戶和以設備訪問公共雲端服務為基礎的世界中，傳統企業邊界的相關性下降。身份將是新的邊界。簡單來說就是用戶、管理員、設備、工作負載、服務、API和容器的身份成為制定策略和監控安全性與合規性的關鍵。雲端提供商的內建身份和訪問管理(IAM)功能是實現這一目標的基礎。

建立和執行雲端基礎設施配置標準

網路

    定義明確的網路安全架構透過控制理解可以通訊的內容和管理風險是非常重要的，這與企業資料中心一樣。但傳統的企業資料中心網路安全方法並不能很好地轉化為公共雲。

    首先將雲端視為企業資料中心的擴展，大多數企業將其企業網路連接到雲端並將視為遠端資料中心，而不是一開始就讓雲端工作負載直接與公共互聯網連接。允許企業獲得雲端安全經驗，同時使用設備透過現有防火牆和入侵防禦服務來保護避免受到攻擊。

    嚴格控制進出公共互聯網的網路通訊，在未來隨著專業知識的增長，基於公共雲的工作負載將直接與互聯網通訊。除非有特定的本地資料，否則這些雲端應用程式與企業資料中心隔離。雲端提供商內建的安全組和網路控制為此提供了足夠的隔離和控制。

    對所有的網路通訊進行加密，不論是進出雲端、跨雲端提供商的區域都應該默認加密，使用經過驗證的加密方法和協議。並利用零信任網路分段將更細力度的隔離應用於工作負載。

儲存

    大多數公開報導的雲端安全事件與雲端儲存服務配置錯誤有關，將機密資料暴露在公共互聯網上。

    開放文件共享和對象儲存是最常見的公共雲安全暴露形式。但是開放文件共享和對象儲存是可以容易完全防止的。最主要的是不要使用基礎設施及服務(IaaS)對象資料庫做為企業級內容協作平台的替代平。開發人員可能傾向於使用基礎設施即服務(IaaS)和平台即服務(PaaS)對象儲存共享文件。雖然比電子郵件好，但不如為此設計的商業內容協作平台服務安全，例如Dropbox、Google、Microsoft OneDrive等公司的解決方案。

計算

    基礎設施即服務(IaaS)計算產品是雲端工作負載的建構塊。將創建虛擬機和刪除虛擬機的權限分開。職責分離應該擴展到管理機器和儲存圖像的權利。沒有一個帳戶是可以刪除基礎設施即服務(IaaS)中的整個企業資產集。將身份和訪問管理(IAM)角色加入伺服器之中，讓伺服器具有相關聯的身份和權限，並使用向基於計算的工作負載分配權限的可擴展方式。

    雲端提供商的原資料服務用於工作負載機密，雲端工作負載需要訪問機密，如密碼、API金鑰、證書等。這些不應該在系統映像中進行編碼。所有領先的雲端提供商都將原資料服務儲存在機器映像之外，這樣可以根據需要進行查詢。雲端提供商的機密管理服務中提供了更高級的功能。對於多雲端功能，就可能需要第三方產品。

平台即服務

    領先的雲端提供商為開發人員提供了大量的平台服務。每一個都有配置和權限的限制，產生了極大的複雜性和錯誤配置的可能性。

    如果平台即服務(PaaS)服務儲存資料，則應該要進行靜態加密。與儲存服務一樣，默認的安全態勢應該是加密任何靜態雲端資料，並結合用戶控制的金鑰。但還是會有例外，例如執行廣泛分析的資料庫。

    標準化將使用那些平台即服務(PaaS)服務。基礎設施即服務(IaaS)提供商要不斷推出新的服務，作為最佳實踐，企業將為他們的組織定義標準的服務子集。

實施連續的雲端安全態勢管理

    基礎架構中顯示的網絡、計算、存儲和平台即服務(PaaS) 服務的安全且合規配置絕對相當重要。幾乎所有對雲服務的成功攻擊都是客戶錯誤配置、管理不善和錯誤的結果。這一層描述了一種嚴格的、結構化的雲端安全態勢管理(CSPM)方法，應該被視為強制性的。安全和風險管理領導者應投資於雲端安全態勢管理流程和工具，以主動和被動地識別和修復這些風險。

建立普遍的可見性和監控

    支援領先雲端提供商的基礎設施即服務(IaaS)或平台即服務(PaaS)的可編程基礎架構提供比企業資料中心更好的可見性。透過使用內建的 API，可以實時相關所有雲端工作負載、配置和權限。任何類型的所有訪問、管理或程式化都應該被記錄下來。應記錄所有基於網絡的任何類型的訪問。這提供了前所未有的可見性以及使用它來提高安全性的能力。

保護工作負載

    虛擬機和集裝箱(包含無服務器平台即服務(PaaS)中的代碼)的安全是客戶的責任，而不是雲端提供商。與企業資料中心的虛擬機和集裝箱一樣，安全可見性和控制的最佳位置來自工作負載本身。

    現在雲端原生應用程式的組裝比使用虛擬機、容器和平台即服務(PaaS)(包括無服務器的平台即服務(PaaS))的組合開發的要多。這些基於雲端的應用程式及其功能的交付需要保護免受攻擊。

實施應用程式、平台即服務(PaaS)和API安全

    主動掃描代碼以檢查開發中的漏洞。企業開發的應用程式(包含無服務器的平台即服務(PaaS))，需要掃描已知和未知的漏洞。雲端原生應用中最常見的錯誤是使用了已知容易受到攻擊的開源軟體(OSS)組件和架構，這造成了雲端原生應用中大約80%的代碼。另外，還應該掃描所有公開的API。

擴展資料感知和保護

    掃描機密資料和惡意軟體，並非所有資料都生而平等，也不代表有著相同的風險。應該掃描基礎設施即服務(IaaS)或平台即服務(PaaS)資料庫以識別資料風險。資料風險擁有兩種主要形式，那就是雲端中可能允許也可能不允許的機密資料和惡意軟體。這兩者都代表風險。掃描兩者以是別過度、未知或意外的風險。解決方案應使用”單程”架構，以便可以同時掃描給定文件以檢查嵌入威脅形式的風險。這方面可以借助第三方產品，例如掃描基礎設施即服務(IaaS)或平台即服務(PaaS)的雲端訪問安全經紀人(CASB)和雲端安全態勢管理(CSPM)。

監控和檢測雲端威脅

    不管我們做了多大的努力，想要完美的預防攻擊是不可能的，雲端也改變不了這一點。基礎設施即服務(IaaS)或平台即服務(PaaS)的綜合安全策略應該包括監控繞過已實施的預防控制層的攻擊。這不是企業安全訊息和事件管理(SIEM)的替代品或補充品。相反的，可以將其視為對基礎設施即服務(IaaS)或平台即服務(PaaS)提供商生成的雲端遙測的特定領域分析，以識別他們自己環境中基於雲的威脅。

接受雲端原生型態

    將本地企業安全設計模式複製到公共雲基礎設施即服務(IaaS)或平台即服務(PaaS)中會導致部署效率低下。這些模式及其相關工具不太適合公共雲的動態、短暫性質，也可能會阻礙採用公共雲的開發人員和業務部門的需求。在採用公共雲時，負責雲端安全和風險管理領導者必須對採用新方法、模式、最佳實踐和供應商持開放態度。