构建云安全架构的技巧

随着组织越来越多地将数据和应用程序转移到云端，安全架构在确保工作负载安全方面变得至关重要。云安全架构是一个框架，它定义了组织如何为其运营的每个云模型处理云安全，以及它打算使用哪些解决方案和技术来创建安全环境。

云安全最佳实践应该是云安全架构的起点。标准的可能来源是云提供商发布的文档、国家标准与技术研究院等组织或互联网安全中心等安全研究组织的合规性标准。

云安全架构还必须考虑您的组织和基础设施即服务 (IaaS) 提供商之间的共同责任，指定组织应如何在保护云提供商平台上的数据和工作负载方面发挥作用。

云安全挑战

云安全为组织带来了独特的挑战。以下是您在设计云安全架构时应考虑的一些主要挑战：

身份和访问：云系统默认不安全，员工很容易在云上创建资源而无人看管。所有云提供商都提供强大的身份和访问管理 (IAM) 功能，但由组织来正确设置它们并将它们一致地应用于所有工作负载。

不安全的 API：云中的一切都有一个 API，这既强大又极其危险。未充分保护或使用弱身份验证的 API 可能允许攻击者访问和控制整个环境。API 是通向云的前门，它通常是敞开的。

错误配置：云环境有大量移动部件，包括计算实例、存储桶、数据库、容器和无服务器功能。其中大部分都是短暂的，每天都有新实例启动和关闭。这些资源中的任何一个都可能被错误配置，从而允许攻击者通过公共网络访问它们、泄露数据并对关键系统造成损害。

合规风险：您必须确保您的云提供商支持所有相关的合规要求，并了解您可以使用哪些控制和服务来满足您的合规义务。

隐形控制平面：在云中，控制平面不受组织控制。虽然云提供商负责其基础设施的安全，但他们不提供有关数据流和内部架构的信息，这意味着安全团队在盲目飞行。

构建云安全架构的技巧

这里有一些技巧可以帮助您构建可靠的云安全架构。

1. 进行尽职调查

在迁移到云提供商或将云部署扩展到其他云提供商之前，组织应仔细调查整个云提供商的安全性和弹性属性以及他们打算使用的特定服务。

尽职调查过程应包括：

根据来自同行业组织的数据定义安全性和可用性基准

发现云提供商的安全最佳实践及其对组织的影响

尝试云提供商的安全功能，例如加密、日志记录以及身份和访问管理 (IAM)

了解云提供商如何帮助满足您的合规义务以及它获得认证的标准

了解您的云提供商的责任共担模型的细节以及您的组织负责哪些安全元素

评估第一方安全服务(由云平台提供)并将它们与第三方替代产品进行比较

评估现有的安全工具是否与新的云环境相关

2. 确定哪些数据最敏感

对于大多数组织而言，对所有数据应用严格的安全措施是不可行的。某些数据可能仍然不安全，但您必须确定必须保护哪些数据类别以防止违规和违反合规性。使用数据检测和分类了解您需要保护的内容至关重要。

这通常是使用自动数据分类引擎来实现的。这些工具旨在跨网络、端点、数据库和云查找敏感内容，使组织能够识别敏感数据并建立必要的安全控制。

3. 让员工云使用走出阴影

仅仅因为您拥有企业云安全策略并不意味着员工会遵守它。在使用常见的云服务(例如 Dropbox 或基于网络的电子邮件)之前，员工很少咨询 IT 部门。

组织的Web代理，防火墙和SIEM日志是衡量员工对云的影子使用情况的良好资源。这些可以提供有关正在使用哪些服务以及由哪些员工使用的全面视图。在发现影子云使用情况时，您可以根据服务带来的风险评估服务的附加价值。您可以选择“合法化”影子云服务，也可以进行打击并采取措施禁止它们。

影子使用的另一个方面是从不受信任的端点设备访问合法的云资源。由于连接到 Internet 的任何设备都可以访问任何云服务，因此个人移动设备可能会在您的安全策略中造成差距。为了防止数据从受信任的云服务逃逸到不受管理的设备，在启用访问之前需要设备安全验证。

4. 保护云端点

许多组织正在部署具有多层保护的端点保护平台，包括端点检测和响应(EDR)，下一代防病毒(NGAV)以及用户和实体行为分析(UEBA)。

端点保护在云中更为重要。在云中，端点是计算实例、存储卷和存储桶以及 Amazon RDS 等托管服务。

云部署有大量端点，它们的变化比本地更频繁，因此需要更高级别的可见性。端点保护工具可以帮助组织控制其云工作负载并保护其安全状况中最薄弱的环节。

5. 了解您在合规义务中的作用

请记住，合规性最终是您组织的唯一责任。无论您将多少业务功能转移到云端，您都可以选择一个云架构平台来帮助您遵守适用于您所在行业的所有监管标准，无论是 PCI DSS、GDPR、HIPAA、CCPA 还是任何其他标准或法规。

了解您的云提供商提供的工具和服务以确保合规性，以及您可以使用哪些第三方工具来创建合规且可以通过审计证明合规的云系统。

写在最后

构建云安全架构并非易事。您需要为您的云环境解决组织的安全策略、相关合规标准和安全最佳实践，同时应对云基础架构的高度复杂性和动态性。我们提供了五个技巧，可以使您的云安全架构取得成功：

在使用云提供商或云服务之前，对安全性和合规性影响进行尽职调查

确定存储在云环境中的哪些数据是敏感的并且需要保护

通过“合法化”或阻止云服务，让员工了解云使用情况并防止影子 IT

使用与云兼容的端点保护技术保护云中的端点

了解您的组织和云提供商之间在合规义务方面的责任分担，并确保您尽自己的一份力量

构建云安全架构的技巧相关推荐

政务云安全架构建设思路
各地政务云在安全建设存在安全管理权责边界不清晰.安全防护有技术缺体系.安全运营重技术轻管理.安全监管缺手段少抓手等问题.为解决政务云在安全建设时存在的问题,构建一个安全.可信.持续服务的政务云.必须明 ...
构建弹性架构组件—ELB和ASG
构建弹性架构组件-ELB和ASG 1 ELB负载均衡器 2 ELB创建 3 ELB健康检查 4 ELB会话保持 5 EC2 ASG自动扩展组 6 EC2 ASG扩展策略 1 ELB负载均衡器纵向扩展 ...
工行高级经理林承军：工行基于 MySQL 构建分布式架构的转型之路
中生代技术链接技术大咖,分享技术干货全文:7200字本文作者:林承军,中国工商银行软件开发中心高级经理,有用多年开放平台相关技术研究及实施经验,多次参与工行重点项目的原型技术研究.IT 架构转型 ...
9月29日云栖精选夜读：武装到“牙齿”！阿里云发布史上最强企业云安全架构 11层防护...
未来的企业都会基于云来搭建业务的安全系统,企业云安全架构(Cloud Security Compass)就是这么一份供上云企业参考的设计蓝图-- 企业可以像"建房子"一样,依据模块 ...
构建多架构镜像的最佳实践
点击上方"程序猿技术大咖",关注并选择"设为星标" 回复"加群"获取入群讨论资格! 在云时代,容器化已经成为一种事实,把软件产品打包.构建成 ...
【Docker系列】 Docker 多架构支持和 Docker Buildx 构建多架构
Docker 的多架构支持 docker自适应了CPU的架构会自动选择架构的版本镜像多架构的标签,会自动选择适合的标签. 使用 buildx 构建多架构镜像 Windows和Mac的桌面版Doc ...
【FastDfs】Docker自定义构建ARM架构的FastDfs镜像
[FastDfs]Docker自定义构建ARM架构的FastDfs镜像 1. 环境准备 1.1 下载源码包 2. 初步构建只包含安装包的基础镜像 3. 在基础镜像上编译安装所需软件 2022-11-0 ...
6000星人气深度学习资源！架构模型技巧全都有，图灵奖得主LeCun推荐
铜灵发自凹非寺量子位出品 | 公众号 QbitAI 暑假即将到来,不用来充电学习岂不是亏大了. 有这么一份干货,汇集了机器学习架构和模型的经典知识点,还有各种TensorFlow和PyTorc ...
回归架构本真：从规划、思维到设计，构建坚不可摧的架构根基
关于什么是架构,业界从来没有一个统一的定义.Martin Fowler在<企业应用架构模式>中也没有对其给出定义,只是提到能够统一的内容有两点: 最高层次的系统分解: 系统中不易改变的决定 ...

构建云安全架构的技巧

构建云安全架构的技巧相关推荐

最新文章

热门文章