雲安全建設的6個建議

雲計算的應用和發展改變了企業的業務模式和數據原有的流通模式，切合了當前環境下數據化轉型的需求。相對傳統數據中心，雲計算從硬件資源池到服務網格都開放了相應的雲服務，南北向訪問的用戶和設備數量呈現指數增長，東西向接口上不同級別的系統數據和用戶數據不停交互，用戶應用在持續快速更迭，系統組件頻繁暴露出各類安全漏洞，加之外部攻擊和威脅也在不斷變化，這些都給雲計算安全帶來了巨大的挑戰。那麼實現雲安全的秘訣是什麼？安全牛收集整理了有關安全專業人士給出的6條建議。

一、積極擁抱變化

安全團隊一直在滅火，尤其是在當下，面對日趨嚴峻的網絡態勢，安全團隊可謂身心俱疲，分身乏術，因此他們不願意以業務所需的速度採用和適應新技術；同時，安全團隊迫切需要減少工作量，重複使用相同的方法對他們來說更得心應手。然而，這種‘拒絕變化/突破’的態度勢必會阻礙企業利用雲來發揮其真正潛力，甚至還會導致更糟糕的結果，因爲傳統的安全技術和新技術與雲環境的動態需求不同步。

二、與新技術同步

我們在技術方面面臨的最大挑戰之一，就是其快速的變革速度。雖然這推動了業務創新並改善了我們的日常生活，但它也是有代價的——安全團隊需要花費更多的時間來了解這些不斷迭代的新技術及其使用方法。

如今，雲技術也面臨同樣的情況——IT團隊通常缺乏有關如何有效部署和保護雲的培訓和知識。爲了改善這種情況，企業需要在部署任何新技術之前對員工進行雲知識培訓。而且，隨着雲技術的不斷髮展，有必要確保這種培訓的持續性，並定期更新培訓內容。

三、遵循安全設計原則

雲環境應遵循五個基本的信息安全設計要求：身份驗證、授權、數據完整性、數據機密性和不可否認性。任何工程學科中最困難的問題之一，就是在構建產品之後再去添加核心功能。例如，在汽車製造中，原始設備製造商可以在售後階段繫上安全帶，但是要添加安全氣囊或確保車輛前端提供“摺疊區”就要困難得多。

在軟件領域也是如此，從一開始就增加安全性要比檢測出問題後被迫添加安全性更方便、更高效、更便宜。在高級設計階段修復一個缺陷大約需要花費10美分，而一旦處於生產狀態的代碼報告了一個錯誤，花費則可能要超過100,000美元。確保將更少的錯誤放入代碼中可以節省故障排除、返工和延遲造成的成本。

四、持續的、跨平臺的、雲原生的能力

企業業務正在從“以數據中心爲中心”的經典模式轉變爲“以云爲中心”的數據使用模式。新冠肺炎疫情在全球的蔓延加速推動了這一轉變，企業數字化和雲遷移進程，企業也越來越需要在生產環境中快速創新，以應對技術和威脅不斷加快的發展速度。最好的安全性應該是業務推動者。只有當安全性是連續的、跨平臺的和雲原生的時，我們才能做到這一點。

五、自動化一切

我們生活在一個技能短缺和商業需求不斷碰撞的世界，這使企業面臨不斷升級的網絡風險。在雲中，它會導致配置錯誤和連鎖數據泄露，以及暴露重要資產的風險。更糟糕的是，網絡犯罪分子和國家行爲體黑客正加大力度檢索和利用這些易受攻擊的系統，並且已經取得了不俗的“戰績”。

這就是自動化技術發揮作用的地方。在雲安全態勢管理（Cloud Security Posture Management ，簡稱“CSPM”）中，自動化技術可以連續掃描數百個系統或程序，然後自動修復任何錯誤以降低合規風險。自動化還可以簡化公有云、私有云和虛擬雲環境的安全操作。它可以通過機器學習和虛擬補丁等技術幫助檢測和保護新的工作負載，且在不減慢DevOps性能的情況下，將安全性融入CI/CD管道。

六、安全責任分擔

誰都不能說雲不安全，因爲雲的安全性取決於使用方式。別問“AWS、Azure、谷歌雲，誰更安全？”而要問“做些什麼才能使所有云都像我需要的那樣安全？”答案是，這完全取決於具體環境/背景，不同的環境需要使用不同的安全策略，各組成部分共同承擔安全責任。如何使用容器將是容器安全策略中的一個決策點；軟件即服務（Software as a Service，SaaS）更關注於企業希望通過API實現哪些安全功能。

雲安全自助服務以各種形式充分發揮作用。目前，雲安全態勢管理（CSPM）市場已初具規模，以響應自助服務的需求，使企業能夠跨越多個雲產品實施安全策略。除此之外，安全訪問服務邊緣（Secure Access Service Edge，SASE）工具也正在以新的方式，將遠程辦公人員和支持SD-WAN的分支機構安全地連接到SaaS和雲。

合作電話：18311333376

合作微信：aqniu001