构建云安全架构的5个技巧

随着组织越来越多地将数据和应用程序迁移到云端，安全架构在保护工作负载方面变得至关重要。云安全架构是一个框架，它定义了一个组织将如何为其运营的每个云模型处理云安全，以及它打算使用哪些解决方案和技术来创建一个安全的环境。云安全最佳实践应该是云安全架构的起点。可能的标准来源包括云提供商发布的文档、来自美国国家标准与技术研究院等组织或安全研究组织（例??如互联网安全中心）的合规性标准。云安全架构还必须考虑您的组织与基础架构即服务(IaaS)提供商之间的共同责任，指定组织应如何在保护云提供商平台上的数据和工作负载方面发挥作用。云安全挑战云安全给组织带来了独特的挑战。以下是您在设计云安全架构时应考虑的一些关键挑战：身份和访问：云系统默认情况下并不安全，员工很容易在云上创建资源并让它们无人看管。所有云提供商都提供强大的身份和访问管理(IAM)功能，但组织必须正确设置它们并将它们一致地应用于所有工作负载。不安全的API：云中的一切都有一个API，它既强大又极其危险。未充分保护或使用弱身份验证的API可能允许攻击者访问和控制整个环境。API是通往云的前门，而且通常敞开着。配置错误：云环境有很多移动部件，包括计算实例、存储桶、数据库、容器和无服务器功能。其中大部分是短暂的，每天都有新实例启动和关闭。这些资源中的任何一个都可能被错误配置，从而允许攻击者通过公共网络访问它们、泄露数据并对关键系统造成损害。合规风险：您必须确保您的云提供商支持所有相关的合规要求，并了解您可以使用哪些控制和服务来履行您的合规义务。无形的控制平面：在云中，控制平面在组织的控制之外。虽然云提供商负责其基础架构的安全性，但他们不提供有关数据流和内部架构的信息，这意味着安全团队是盲目的。构建云安全架构的技巧这里有一些技巧可以帮助您构建可靠的云安全架构。1.进行尽职调查在迁移到云提供商或将云部署扩展到另一个云提供商之前，组织应仔细调查整个云提供商的安全性和弹性属性以及他们打算使用的特定服务。尽职调查过程应包括：根据同行组织的数据定义安全性和可用性基准发现云提供商安全最佳实践及其对组织的影响试验云提供商安全功能，例如加密、日志记录以及身份和访问管理(IAM)了解云提供商如何帮助您履行合规义务及其认证标准了解您的云提供商的共担责任模型的详细信息以及您的组织负责哪些安全要素)并将它们与第三方替代方案进行比较评估现有安全工具是否与新的云环境相关2.确定哪些数据最敏感对于大多数组织而言，对所有数据应用严格的安全措施是不可行的。某些数据可能仍然不安全，但您必须确定必须保护哪些类别的数据以防止违规和合规性违规。使用数据检测和分类来了解您需要保护的内容至关重要。这通常使用自动数据分类引擎来实现。这些工具旨在跨网络、端点、数据库和云查找敏感内容，使组织能够识别敏感数据并建立必要的安全控制。3.让员工云使用走出阴影仅仅因为你有企业云安全政策并不意味着员工会遵守它。在使用Dropbox或基于Web的电子邮件等常见云服务之前，员工很少咨询其IT部门。组织的Web代理、防火墙和SIEM日志是衡量员工对云的影子使用的良好资源。这些可以提供有关正在使用哪些服务以及哪些员工正在使用的综合视图。在发现影子云使用情况时，您可以根据服务带来的风险评估服务的附加值。你可以选择让影子云服务“合法化”，也可以打击并采取措施取缔它们。影子使用的另一个方面是从不受信任的端点设备访问合法的云资源。由于连接到Internet的任何设备都可以访问任何云服务，因此个人移动设备可能会在您的安全策略中造成漏洞。为防止数据从受信任的云服务泄漏到非托管设备，在启用访问之前需要对设备进行安全验证。4.保护云端点许多组织正在部署具有多层保护的端点保护平台，包括端点检测和响应(EDR)、下一代防病毒(NGAV)以及用户和实体行为分析(UEBA)。端点保护在云中更为重要。在云中，端点是计算实例、存储卷和存储桶，以及AmazonRDS等托管服务。云部署有大量端点，这些端点的变化比本地部署更频繁，因此需要更高级别的可见性。端点保护工具可以帮助组织控制其云工作负载并保护其安全态势中最薄弱的环节。5.了解您在合规义务中的角色请记住，合规最终是您所在组织的唯一责任。无论您将多少业务功能迁移到云端，您都可以选择一个云架构平台，它可以帮助您遵守适用于您所在行业的所有监管标准，无论是PCIDSS、GDPR、HIPAA、CCPA还是任何其他标准或监管。了解您的云提供商提供的用于确保合规性的工具和服务，以及您可以使用哪些第三方工具来创建可通过审计证明的合规云系统。写在最后构建云安全架构绝非易事。在处理云基础架构的高度复杂性和动态性的同时，您需要解决您的组织的安全策略、相关合规性标准和云环境的安全最佳实践。我们提供了使您的云安全架构获得成功的五个提示：在使用云提供商或云服务之前，对安全和合规性影响进行尽职调查确定存储在云环境中的哪些数据是敏感的并且需要保护让员工了解云使用并通过“合法化”或阻止云服务来防止影子IT使用与云兼容的端点保护技术保护云中的端点知道您的组织和云提供商之间存在合规义务，共同承担责任并确保您尽自己的一份力量