混合云安全的三个最佳安全实践

一个常见的认识错误是许多的客户会因为正在与AWS，Azure或其他云提供商合作，想当当然的认为这些提供商会默认保护您的数据。

与之相反的是，客户必须转向与他们的云服务提供商建立“共同责任”安全模式。

随着云部署变得越来越普遍且更复杂，这种方法变得越来越重要。公司正在将更敏感的数据转移到云端，因此必须让云服务提供商与他们自己的数据管理政策保持同步。

根据普华永道对10,000名高管的调查，大约三分之一的财务，运营，销售和客户服务职能的数据现在都在云上。

据全球信息安全调查显示，2018年，所有IT服务中有一半将通过云服务提供商提供。

混合云部署需要一种全面的安全方法，管理人员可以评估数据如何存储和共享，以及它如何在不同的环境中迁移。

几乎不用说：如果您打算将PII（个人身份信息）放入云中，您需要提升更高的安全等级。

全球监管环境对此提出了要求，欧盟的通用数据保护条例（GDPR）等新法律将于5月份开始实施，从而更加紧迫地保护PII。

鉴于以上风险，以下是保护混合云环境的三个基本的安全最佳实践：

01 仔细检查配置

认识到最大的安全风险通常围绕配置管理。需要解决的基本问题是：服务器是否对互联网开放？

这听起来很简单，但确认所有混合云部署中的配置是否可以直接暴露外网，并且需要添加入侵检测类的设备。

当然还得考虑：服务器是否是最新配置并且是最新补丁？

02 锁定访问权限

关注谁拥有适当的访问凭证是至关重要的。考虑一下：安全公司RedLock 在2月份报告说，黑客发现安全性较差的访问凭证，并且违反了Tesla云计算以运行加密货币挖掘软件。

黑客渗透到特斯拉的Kubernetes控制台（未提供密码保护），然后找到包含S3存储的特斯拉AWS云的访问凭证。

为了避免类似的问题，RedLock建议公司采用配置监控。在共同责任模式中，这项工作可以由云供应商或客户完成，但每个参与方都需要检查另一方。

如果贵公司允许DevOps团队在没有安全监督的情况下将应用部署到生产环境，那么请确保您有适当的工具，以便在创建新资源（和应用）后立即自动检测发现。

03 数据的可见性

确保您知道公有云，私有云和布署布署网络中的数据，应用程序和服务器，以及可以访问的内容。这是您制定符合任何流程的策略的唯一的依据和方法。

获得混合云可见性的一个好方法是使用云访问安全代理（CASB）。Gartner预测，到2020年，60％的大公司将使用CASB服务。

CASB提供云资源使用和访问数据的人员的可见性。他们通过策略和加密密钥管理来提供数据安全。有些还提供威胁保护和合规跟踪服务。

相关阅读

数据防泄露，基于_Microsoft_信息保护和威胁防护全流程实战
內部風險讓您晚上無法入眠嗎
通过智能身份和访问管理，保护企业安全
金融行业SDL之威胁建模实践
基于虚拟机技术的静态代码审计系统内幕揭秘
网络安全应急治理新格局
蓝队的自我修养
Windows逆向安全-游戏逆向分析
衡量安全编排和响应平台的_ROI
“疫情之下的网络安全态势和应急响应”线上讲座
为什么做了等保还不安全
论安全运营在医疗信息安全建设中的作用
论医院泛终端安全管理及智慧医院即时通讯安全
从医疗安全人才共享到信息安全服务
XSS猎人的捕猎日记
漏洞挖掘进化论-推开xray之门
安全沙箱容器在边缘计算场景的实践
云环境的安全建设思考
携程数据安全建设实践
大型企业威胁情报体系应用实践分析
基于情报内生的高级威胁检测实践
金融企业威胁情报建设历程与运营实践
内生安全与威胁情报体系构建
企业安全防护：EDR建设实践与思考
零信任—大数据时代的网络安全新架构
结合指挥控制系统理念的网络威胁情报分析与实践
混合式漏洞挖掘研究进展
SafeHidden_一种基于持续随机化的安全并且高效的内存隔离技术
动态沙箱检测与反检测技术进展
CPU芯片硬件安全系统解决方案
360网络安全人才培养体系的搭建与实践
网络靶场体系结构与关键技术—鹏程实验室国家级网络靶场
移动生态安全探索与实践
构建安全可信的一体化供应链平台
漫谈JSRC安全应急响应
密码学与数据安全体系建设
欲速则不达CDNDDoS大炮
打造世界领先网络空间测绘能力
OWASP_ProActive_Controls软件开发主动控制项目
车好多安全运营实践
甲方SRC建设和运营之路
顺势而为：互联网与物联网用户隐私保护
无人独善其身_——安全问题的行业化
AIoT_自动化评估探索和实践
The_Game_of_Life
物联网平台模糊测试：经验分享
蓝牙安全之第二战场
APT最新发现与趋势分享
物联网安全与隐私保护框架
小米_AIoT_安全新起点
安全众测下的漏洞发展新趋势
代码能力在渗透测试实战中的价值
你相信发电厂爆炸事件是工控黑客所为吗？
打造CTF+“肾”透测试攻城狮兴奋混合剂
域权限维持方法浅析
新形势下的企业安全体系建设实践（蓝军篇）
RedTeam视角下的二进制攻防研究
iOSURLScheme之殇
硬件盒子安全分解
锤炼新形势下实网攻防的“剑与盾”
猫鼠游戏__持续渗透中的高级命令混淆对抗
基于图数据的云上BOT团伙深度感知
蓝方的进攻——进攻是最好的防守
卫星通信的安全缺陷
CNCERT车联网安全应急响应体系
XAI与可信任安全智能
以子之矛攻子之盾，AI攻防的那些事
端到端物联网通信安全技术框架
工业互联网软件代码安全技术发展及趋势
针对云端AI服务的攻击和防护
部分可观下APT攻击行为捕获：马尔可夫决策助力AI模型
OT&核心基础架构安全
合规
云租户等保合规探索
超越合规视角的安全治理框架
企业数据防泄密实践分享
安全建设从一人到一众
域渗透中的DPAPI和Kerberos协议
有效果不背锅的风控系统
GCN在业务安全领域中的应用实践与思考
面向账号安全的黑产攻防体系建设
第七期月刊—Android逆向入门到进阶
i春秋月刊第六期—Linux_pwn零基础入门教程全套
第五期月刊—进击的XSS
第四期-SQL注入的入坑之道
第三期（代码审计2）
内网针对AD域的攻击方式和防护方法
企业安全建设进阶
浅谈甲方视角的攻防战术选择
黑盒PAYLOAD_生成技法
OSQUERY实战
企业运营后台之数据安全
数字经济时代的货币战争
共话数字世界游戏规则
智能科技与智能产业的发展与挑战
5G时代的安全与发展-法律如何规范与保障
网络安全人才市场发展趋势
面向实战运营的安全人才培养