企业云安全的6个最佳实践

云安全最佳实践系列1：企业云安全的6个最佳实践

随着云计算在企业环境的不断发展，企业向云平台的过渡和使用也不断地变化，根据最新的调查，安全性已经成为了企业上云的首要挑战。它涉及企业云上的配置管理、数据处理和存储实践，以概述保护数据的独特策略。使用云安全最佳实践对于任何企业都是必不可少的，这样才能发挥云的最大效能。

人们需要了解在云中安全部署应用程序和管理云上配置和数据的最佳实践。

保护云中的数据和应用程序需要采用严格的策略管理人员、流程和技术。由于云计算出色的可靠性、可扩展性以及可以显著降低成本，迁移到云平台的企业数量急剧增加。

云安全的最佳实践

与一切都在传统数据中心运行的时代相比，云计算改变了应用程序和数据的访问和消费方式。云服务模型需要足够的安全措施和框架来提供适当的防护。Gartner 蹭支出99%的云安全问题都是有1%的错误引起的，云计算用户应该彻底熟悉云上的资源配置，并充分使用和管理云服务提供商提供的安全资源。

云安全责任共担模型

云中的安全性是使用共享责任模型实现的。简单地说，确保客户数据和虚拟化平台本身安全永远是云服务提供商的工作和责任。
云计算用户必须了解所涉及的风险，并主动设计和实现充分的安全控制。一些例子包括了解何时需要加密虚拟化存储、设置虚拟网络和防火墙以及在共享和专用主机之间进行选择。
云环境中的安全是云服务提供商和云用户的共同责任，在某些领域有一些重叠。当前许多云安全问题都源于客户对谁负责什么问题的困惑。可以明确，是云计算用户承担了云安全更重要的部分，而不是云服务提供商，

云技能提升

全球云计算市场目前以15.14%的年复合增长率增长，预计到2027年云计算市场规模将达到9234.6亿美元。在未来几年，云计算应用将变得无处不在，包括但不限于云原生软件应用程序开发、跨云或混合平台的解决方案架构等等。对员工来说，以长远的眼光为自己的职业发展做规划是至关重要的。
在企业工作了一段时间的员工比新员工更有优势，因为他们已经熟悉企业的文化、价值观和流程。因为大多数现有的IT技能都可以很容易地重用，所以重新培训比招聘更高效、更划算，而且它可以帮助满足对以云计算为中心的IT劳动力的直接需求。
每个企业都必须确定它将使用云计算的哪些方面，比如运营、软件开发、网络支持和基础设施需求，然后为其现有员工设计培训计划以满足这些要求。

访问安全和身份管理

身份管理和访问控制的安全措施包括：

• 应用多因素身份验证系统

当有条件访问策略并且身份验证由目录服务(如LDAP或活动目录)控制时，使用多因素身份验证系统(MFA)。

• 访问控制方法

在使用云服务时，企业必须以适当的访问级别管理对云计算资源的访问。基于角色的访问控制是一种方法，可用于控制谁有权访问云平台的哪些部分，以及他们可以对被授予访问权限的资源做什么。

• 访问控制方法

在使用云服务时，企业必须以适当的访问级别管理对云计算资源的访问。基于角色的访问控制是一种方法，可用于控制谁有权访问云平台的哪些部分，以及他们可以对被授予访问权限的资源做什么。

• 云操作审计

必须迅速查明、隔离和消除可疑活动。因此需要对云中的身份及相关操作进行审计，必须具备快速发出警报的能力，以便采取适当的措施。

• 合理的安全访问代理

通过安全处理的访问代理来登录和操作云上资源，可以提供更好的使用安全性，这里需要兼顾多个渠道的访问，比如控制台访问和API访问都需要进行处理。

数据的加密处理

没有迫切需要开发一种新的方法来保护云端的数据。云计算数据保护与传统数据中心的数据保护非常相似。在云平台中，可以实现数据保护策略，如身份和身份验证、加密、访问控制、安全删除、数据屏蔽和完整性检查。

云服务提供商必须保证所有已经部署云资源的物理安全。在信息传输或静止时，加密对于保护信息至关重要。云服务提供商能够实现各种各样的加密方法，如全磁盘加密、格式保留加密、应用层加密、文件加密和数据库加密。

企业可以通过在将数据传输到云平台之前对其进行加密或使用加密连接来保护传输中的数据内容。企业在存储数据时要保护数据，首先要做的就是对其进行加密。

实现持续配置检测和合规检测

Gartner认为云服务的安全风险绝大多都与客户错误配置、管理不善或错误操作关系密切，能够有效识别和修复这些风险，才能最大程度上避免这些风险。云计算环境下，对云基础设施进行持续监控非常重要，能够在云基础环境中引入发生安全风险的变化的第一时间进行预警。 针对客户错误配置、管理不善和错误造成的不良后果，安全和风险管理领导者应投资于云安全配置管理流程和工具，以主动和被动地识别和修复这些风险。
企业可以通过管理平台，对使用的云资源进行持续性安全和合规检测，实现第一时间发现和处理问题的能力。

实现入侵防御和入侵检测

入侵检测系统可以根据其起源点进一步分为基于主机和基于网络的类别。入侵检测系统生成的警报使其值得使用。

入侵检测系统可以生成真实的和虚假的警告。这些入侵检测系统每天产生大量的信号。学术界和工业界的一些研究团队已经引入了大量的入侵数据集来评估新的攻击和入侵检测技术。这些数据集主要有三种类型：公共、私有和网络模拟。

使用各种资源创建公有和私有入侵数据集。这些数据集是在工具的帮助下生成的，这些工具可以追踪受害者、各种攻击、捕获和预处理流量，并密切关注流量模式。

总结

多数企业在传统数据中心中所作的安全处理，在云环境中都难以达到预期的效果。企业需要更加了解云提供商所提供的能力范畴，理解云环境中整体安全配置的架构，在基于责任共担模型进行合理的设计与实现后，才能达到最佳的安全效果。就如Gartner 所说，云中的安全问题绝大多数是有错误的配置和使用所引起的，因此遵循最佳实践来构建云上安全能力尤为重要。

关于HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。

HummerRisk 覆盖了Gartner定义的CSPM和CNAPP两部分，可以很好的应对云原生环境中的安全需要。

Github 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk​