一、云端防火墙(Cloud firewall)
在基础设施即服务环境中,网络安全组取代了防火墙的位置,就客户而言,对网络进行分割。网络安全组在OSI模型的网络的会话和传输层工作,就像传统防火墙一样。
云服务提供商肯定会实施和维护防火墙作为其网络安全计划的一部分,但他们不能将这些防火墙直接暴露给客户。如果他们这样做了,隔离就会受到损害,因为用户可能会编写防火墙规则,影响属于其他用户的系统或破坏整个环境的安全。相反,云服务提供商为用户提供了创建网络安全组(Network security groups) 的能力。这些组类似于防火墙规则,它们允许用户控制从互联网传到自己的虚拟化系统的流量,甚至是在虚拟化环境中运行的系统之间的流量。维护网络安全组是客户的责任,但这些安全组通常是免费提供的。当我们通过共同责任模式工作时,应该确保我们建立和维护对云服务器实例的合理的访问。
二、云端应用程序安全(Cloud application security)
构建安全的云应用需要整合许多不同的安全、基础设施、平台和应用服务。这种整合工作是任何云安全工程师面临的主要挑战。在现实中,构建安全云解决方案的工作与网络安全专业人员多年来在企业内部环境中所做的工作明显相似。我们必须遵循这些环境中使用的一些相同的标准做法,并将其应用于云中。有时这涉及到使用相同的控制措施,而其他时候则需要将传统的控制措施映射到云端的具体对应措施。让我们来看看几个例子:
- 网络防火墙在各种规模的网络的外围保护中发挥着重要作用。在企业内部部署中,我们通常会购买一个硬件防火墙,并将其置于网络和互联网之间的边界。在云环境中,我们实际上没有购买硬件防火墙,但我们确实需要使用云供应商提供的服务来部署类似的控制。云环境中安全组的作用与控制我们服务器流量的防火墙相同。
- 在企业内部,我们经常使用加密技术来保护网络上传输的数据。我们通过实施传输层安全或TLS来做到这一点。我们在内部数据中心建立的同样的TLS控制,也可以在云环境中使用。事实上,云服务提供商经常通过自动管理数字证书来使我们更容易实施TLS。
- 我们也使用密码学来保护没有使用时的数据。在企业内部,我们可能会部署全磁盘加密软件,以保护我们的硬盘内容,如果它们丢失或被盗。在云环境中,这对我们来说就变得简单多了。加密磁盘通常只需要在设置页面上勾选一个复选框,自动将加密技术部署到虚拟化的磁盘上。
- 应用虚拟化(Application Virtualization) 是另一种安全控制,我们可以在企业内部和云环境中部署。它减少了用户在自己的设备上访问数据的需要。在非企业单位环境中,我们需要建立自己的应用虚拟化环境,而在云中,我们通常可以利用供应商提供的应用虚拟化服务,避免设计、建立和实施自己的解决方案的工作。
- 下一代安全网络网关( Next generation secure web gateways) 在应用安全方面也发挥着重要作用,作为网络用户的代理,允许他们安全地上网。网关作为用户和网络服务器之间的中间人,过滤请求并阻止恶意活动。
我们还需要通过映射安全控制来构建云中的安全解决方案。在任何网络安全工作中,我们应该遵循的核心原则是纵深防御(defense in depth)。这个原则告诉我们,我们应该建立一套重叠的安全控制,以实现相同的目标。这样一来,如果一个控制措施失败了,其他的控制措施就会随时准备填补这个空白。
三、云提供商的安全控制(Cloud provider security controls)
当我们在云中实施安全控制时,必须做出决定,是否愿意采用云原生(Cloud-Native)安全控制、第三方解决方案,或两者的结合。由我们的云供应商提供的安全控制措施的优点是专门为该云供应商的环境设计的。它们可能会很容易使用,并与我们的云平台紧密结合。然而,这种紧密集成也是它们的缺点。第三方安全控制仍然经常通过他们的API与云供应商整合,但他们提供了跨多个云平台工作的好处。如果我们在一个多云环境中,可能更喜欢第三方控制,而不是供应商的特定控制。然而,我们应该知道,第三方控制往往比云供应商提供的控制更昂贵。
资源策略(Resource policy) 是一项重要的控制措施,我们应该利用每个云提供商的本来能力来实施。这些策略对可以直接访问我们的云环境的用户可能采取的行动进行限制。例如,资源策略可以限制用户可以终止云实例,控制每个账户的支出水平,或限制用户使用云提供商产品中的特定服务。资源政策可以帮助我们防止错误,减少内部恶意攻击的风险,并实施财务控制。
中转网关(Transit geteway) 对于在混合云环境中运行的组织来说是一个重要的控制手段,因为他们有一些业务在云中,而另一些业务在驻地数据中心。中转网关在云中运行的VPC和本地网络的VLANS之间建立安全连接。我们可以把它们看作是提供强加密连接的云路由器。
秘密管理(Secret Management)工具,如云硬件安全模块(Cloud hardware security modules),允许我们以允许我们和我们的应用程序访问加密密钥和其他敏感凭据的方式存储加密密钥和其他敏感凭据,但使它们免受窥探,无论窥探者是在我们的组织中还是在云提供商处。秘密管理解决方案可能相当昂贵,但它们是保护帐户安全的有效方法。
1556
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
