此外,不同类型的云计算环境也代表着独特的挑战。例如:
私有云
私有云通常驻留在数据中心内,因此企业拥有并管理所有硬件和软件。数据中心安全性中已存在的安全实践中的弱点都可能转移到私有云。管理员必须了解云计算和内部部署软件之间的区别:内部部署软件是企业自己管理的,而云计算软件则由其他公司管理。然而,任何人都不能忘记它,两者都必须得到管理。
公共云
公共云具有多租户架构,这意味着企业可以与其他人共享计算或存储资源。当然,云计算提供商已设置虚拟障碍,将企业的云计算环境与其他客户的环境分开。仍然可能存在数据损坏的情况。
此外,云计算提供商的使用条款要求用户在合同中同意不做任何可能对其他客户产生负面影响的事情,但不是每个用户都会始终遵守这一承诺。除了恶意行为者的可能性之外,其邻近客户可能会无意中做一些事情,从而导致诸如分布式拒绝服务(DDoS)攻击等不良后果。
混合云
大多数组织都采用混合云,它涉及数据中心、公共云和/或私有云的某种组合。这里的风险是针对不同的环境采用不同的安全策略,实际上,这些策略具有三种难以管理和协调的不同安全策略。此外,工作人员有时会忘记在作为漏洞点的各种物理和虚拟资产之间存在连接点。
多云
大多数组织也采用多云策略,这往往意味着他们使用多种类型的公共云服务提供商。两个最受欢迎的多云的选项是Amazon Web Services和Microsoft Azure。在这种情况下,应该完全理解每个提供的安全功能。
真正的云计算安全性要求在整个系统中集成云安全策略。
云安全架构
云安全架构会影响云计算安全的有效性。以下是一些可操作的安全管理技巧,可用于强化云计算环境。
预防
防止攻击的最佳方法是需要持续:
·识别漏洞。
·根据攻击严重程度、威胁情报和受攻击影响的资产确定优先级。
·通过修补它们来修复优先级漏洞。
不幸的是,大多数组织都没有按照应有的方式持续管理安全漏洞。大多数组织也很难确定漏洞的优先级,因为漏洞可能很多。
检测
预防是最好的安全防御之一。组织应有适当的检测控制措施,以确定问题并在必要时提醒安保人员。检测控制倾向于与校正控制协同工作,校正控制可以是自动的、手动的,或两者的组合,这取决于情况是由轻微错误、网络攻击还是其他类型的事件引起的。
安全措施
无论采取何种安全控制措施,都会发生安全事件。在它们发生之前,应该有适当的纠正控制措施,以尽量减少居心不良的人可能造成的伤害。例如,如果黑客获得对数据库或敏感文件的访问权限,接下来会发生什么?如果数据被销毁,是否有适当的灾难恢复选项?
云计算安全软件和服务
以下是企业应考虑的一些云计算安全软件和服务选项:
·IaaS或PaaS云安全选项-这些是附加服务,为企业提供比基本云计算选项更广泛的安全选项。
·身份和访问管理(IAM)-这些工具确保只有授权方才能访问数据和计算资源。
·物理安全 - 除数字安全外,IaaS/PaaS提供商还应拥有物理安全性(例如门锁、检查点),以确保其IT资产保持安全。
·加密-加密静止和运动中的数据。
·渗透测试-外部顾问被聘为“白帽”,以闯入企业的系统,目的是识别弱点。
·合规控制-确保遵守HIPPA、GDPR等法规。
