隨著傳統(tǒng) IT 基礎(chǔ)架構(gòu)越來越不適合越來越多的業(yè)務(wù)需求，越來越多的組織開始轉(zhuǎn)向云來尋求答案。但是，雖然云環(huán)境確實(shí)提供了強(qiáng)大的解決方案，但它們也吸引了組織尚未準(zhǔn)備好應(yīng)對(duì)的一系列新風(fēng)險(xiǎn)。為了在不失去對(duì)核心業(yè)務(wù)的關(guān)注的情況下減輕這些風(fēng)險(xiǎn)，組織應(yīng)該利用云安全服務(wù)。在這篇文章中，我們討論了云安全服務(wù)的定義、使用它們的最佳實(shí)踐，以及在交付包括桌面和應(yīng)用程序在內(nèi)的云托管虛擬桌面基礎(chǔ)架構(gòu) (VDI) 時(shí)提高其有效性。

什么是云安全服務(wù)？

云安全服務(wù)是一組旨在降低風(fēng)險(xiǎn)和提高云環(huán)境合規(guī)性的服務(wù)。由于這些環(huán)境可能非常復(fù)雜，涉及范圍廣泛的技術(shù)和流程，同時(shí)也面臨各種威脅，因此無法通過一種萬能的解決方案來保護(hù)它們。相反，這些服務(wù)中的大多數(shù)都針對(duì)特定領(lǐng)域。我們稍后會(huì)詳細(xì)說明。從技術(shù)上講，這些服務(wù)實(shí)際上是托管的云安全服務(wù)，也就是說，它們由第三方管理和運(yùn)營(yíng)。將安全操作卸載給第三方有幾個(gè)好處，包括：

• 真正知道該怎么做的專家可以監(jiān)控、檢測(cè)和響應(yīng)威脅。這可確保正確、徹底地處理威脅。
• 托管云安全服務(wù)提供商通常還接受過培訓(xùn)，以幫助組織實(shí)現(xiàn)法規(guī)遵從性——這通常也在組織的專業(yè)知識(shí)之外。
• 您的 IT 員工不再需要處理網(wǎng)絡(luò)事件，而是可以專注于支持您的核心業(yè)務(wù)運(yùn)營(yíng)。

云安全服務(wù)有哪些類型？

云環(huán)境可能非常復(fù)雜，由各種技術(shù)和流程組成。與此同時(shí)，他們面臨著廣泛的威脅。因此，您通常找不到萬能的云安全服務(wù)。相反，這些服務(wù)中的大多數(shù)都針對(duì)特定領(lǐng)域。一些最常見的云安全服務(wù)類型包括數(shù)據(jù)丟失防護(hù) (DLP)、身份和訪問管理 (IAM)、電子郵件安全、Web 安全和入侵檢測(cè)。

數(shù)據(jù)丟失防護(hù)

由于有如此多的數(shù)據(jù)被上傳到云服務(wù)并由云服務(wù)生成，并且有如此多的應(yīng)用程序和設(shè)備訪問這些數(shù)據(jù)，因此數(shù)據(jù)丟失的可能性是巨大的。DLP 服務(wù)旨在檢測(cè)敏感數(shù)據(jù)（信用卡數(shù)據(jù)、受保護(hù)的電子健康信息 (ePHI)、社會(huì)安全號(hào)碼等）的存在，并防止它們落入壞人之手。

身份和訪問管理

IAM 服務(wù)確保用戶遵守最小權(quán)限原則，這意味著它們強(qiáng)制用戶訪問云資源并執(zhí)行其指定角色或功能允許的操作。例如，普通用戶不應(yīng)該能夠創(chuàng)建實(shí)例或刪除快照。IAM 服務(wù)可以強(qiáng)制執(zhí)行該策略。通過使用 IAM 服務(wù)，管理員可以創(chuàng)建權(quán)限策略，然后將它們與用戶或用戶組相關(guān)聯(lián)。

電子郵件安全

作為安全鏈中最薄弱的一環(huán)，用戶往往是網(wǎng)絡(luò)攻擊的目標(biāo)。而且由于幾乎所有用戶都使用電子郵件，因此許多此類攻擊（例如網(wǎng)絡(luò)釣魚和特洛伊木馬）都是通過該媒介進(jìn)行的。其中一些攻擊可能會(huì)危及您的云環(huán)境。例如，魚叉式網(wǎng)絡(luò)釣魚攻擊可能旨在獲取云管理員憑據(jù)。減輕這些威脅的一種方法是使用能夠檢測(cè)網(wǎng)絡(luò)釣魚電子郵件和惡意附件的功能強(qiáng)大的電子郵件安全服務(wù)。

網(wǎng)絡(luò)安全

云服務(wù)使用量的增加給 IT 管理員增加了負(fù)擔(dān)，他們現(xiàn)在必須應(yīng)對(duì)更大的攻擊面。用戶從不同的位置訪問云服務(wù)——在他們的總部、家中、分支機(jī)構(gòu)或幾乎任何地方。Web 安全解決方案在典型場(chǎng)景中位于用戶（無論位于何處）和 Internet 之間，為管理員提供了保護(hù)這些連接并保護(hù)它們免受網(wǎng)絡(luò)威脅的方法。

入侵檢測(cè)

入侵檢測(cè)解決方案監(jiān)控入站和出站流量以發(fā)現(xiàn)可疑活動(dòng)并檢測(cè)潛在威脅。通常，檢測(cè)是通過識(shí)別特定簽名和行為的模式識(shí)別機(jī)制完成的。傳統(tǒng)的入侵檢測(cè)通常應(yīng)用于網(wǎng)絡(luò)層。然而，我們現(xiàn)在看到更多的解決方案將這種保護(hù)應(yīng)用于主機(jī)層（即虛擬機(jī)本身）。通過在威脅利用漏洞之前對(duì)其進(jìn)行檢測(cè)，企業(yè)可以防止威脅參與者在目標(biāo)系統(tǒng)中建立灘頭陣地。

那么安全信息和事件管理呢？

安全信息和事件管理 (SIEM) 解決方案從各種安全工具和網(wǎng)絡(luò)設(shè)備（例如防病毒解決方案、DLP 軟件、入侵檢測(cè)解決方案、防火墻、路由器、交換機(jī)）實(shí)時(shí)收集日志和事件數(shù)據(jù)，關(guān)聯(lián)所有聚合數(shù)據(jù)，然后根據(jù)預(yù)定義的規(guī)則生成警報(bào)。它是威脅檢測(cè)和事件響應(yīng)團(tuán)隊(duì)的關(guān)鍵工具之一，使他們能夠快速響應(yīng)威脅。

加密

通過使數(shù)據(jù)不可讀來保護(hù)數(shù)據(jù)的加密是一種備受追捧的安全控制，不僅因?yàn)樗梢员Ｗo(hù)數(shù)據(jù)的機(jī)密性，而且因?yàn)樵摴δ苁亲袷財(cái)?shù)據(jù)隱私/保護(hù)法律和法規(guī)（例如健康）的基本要求之一保險(xiǎn)流通與責(zé)任法案 (HIPAA)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 和通用數(shù)據(jù)保護(hù)條例 (GDPR)。

業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)如何？

盡管云環(huán)境具有高可用性 (HA) 功能，但不可預(yù)見的事件仍會(huì)中斷業(yè)務(wù)運(yùn)營(yíng)。服務(wù)器實(shí)例可能會(huì)失敗，勒索軟件可能會(huì)加密您的云存儲(chǔ)中的文件，分布式拒絕服務(wù) (DDoS) 攻擊可能會(huì)導(dǎo)致您的服務(wù)無法訪問，等等。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)服務(wù)可以幫助確保您可以繼續(xù)照常開展業(yè)務(wù)，或者在發(fā)生不可預(yù)見的破壞性事件時(shí)盡快恢復(fù)。

云安全服務(wù)可以幫助網(wǎng)絡(luò)安全嗎？

我們都知道，可擴(kuò)展性是云的一個(gè)關(guān)鍵特征?；ヂ?lián)網(wǎng)即服務(wù) (IaaS) 用戶可以輕松啟動(dòng)一堆服務(wù)器。自動(dòng)擴(kuò)展通過使組織能夠以相對(duì)輕松的方式快速部署數(shù)百個(gè)甚至數(shù)千個(gè)實(shí)例，從而進(jìn)一步提升了該功能。但這種可擴(kuò)展性是有代價(jià)的。現(xiàn)在，這意味著 IT 團(tuán)隊(duì)需要保護(hù)更大的攻擊面，隨著越來越多地采用更復(fù)雜的混合云基礎(chǔ)架構(gòu)，這項(xiàng)責(zé)任變得更具挑戰(zhàn)性。網(wǎng)絡(luò)安全服務(wù)幫助企業(yè)解決用戶到云以及云內(nèi)和云間數(shù)據(jù)交換中的漏洞。

使用云安全服務(wù)時(shí)的最佳實(shí)踐是什么？

當(dāng)今市場(chǎng)上有如此多不同的云安全服務(wù)，很難將它們組合成一個(gè)有效的防御層。在以下小節(jié)中，我們將與您分享一些有助于您充分利用云安全服務(wù)的最佳實(shí)踐。

認(rèn)識(shí)您的共同安全責(zé)任模型

在開始任何云安全計(jì)劃之前，了解您在共享安全責(zé)任模型中的角色非常重要。它定義了云環(huán)境的哪些部分由您負(fù)責(zé)，哪些部分由您的云提供商負(fù)責(zé)。一般來說，您的提供商將監(jiān)督云的安全性，而您將負(fù)責(zé)云中的安全性。軟件即服務(wù) (SaaS) 和 IaaS 等不同的云服務(wù)產(chǎn)品對(duì)此模型有不同的看法，因此請(qǐng)確保您選擇的是正確的。您的提供商應(yīng)該有這些信息。

澄清對(duì)現(xiàn)有安全措施和程序的擔(dān)憂

雖然大型云提供商有多種安全控制措施，但這些控制措施的存在及其覆蓋范圍可能因供應(yīng)商而異。因此，準(zhǔn)確了解存在哪些控件以及與這些控件相關(guān)的詳細(xì)信息非常重要。

他們的災(zāi)難恢復(fù)計(jì)劃是什么？他們是否擁有將其安全控制與特定監(jiān)管要求對(duì)應(yīng)起來的信息？哪些訪問控制、加密和備份機(jī)制是現(xiàn)成的？他們的技術(shù)支持范圍如何？他們有 24/7 全天候支持嗎？這些是你應(yīng)該問的一些問題。

利用身份和訪問管理解決方案

2021 年數(shù)據(jù)泄露成本報(bào)告將云配置錯(cuò)誤確定為第三大最常見的初始攻擊媒介。令人擔(dān)憂的是，許多這些錯(cuò)誤配置甚至都不是故意的。將這種特殊風(fēng)險(xiǎn)降到最低的一種方法是將特權(quán)訪問限制在絕對(duì)需要的人。更好的是，將管理功能的范圍限制為特定的管理員。相反，您不應(yīng)該只授予一個(gè)人絕對(duì)的管理權(quán)限。所有這些都可以通過使用 IAM 解決方案來實(shí)現(xiàn)。

培訓(xùn)員工識(shí)別威脅

由于用戶是安全鏈中最薄弱的環(huán)節(jié)，因此必須采取措施加強(qiáng)該環(huán)節(jié)。否則，您的云安全計(jì)劃只會(huì)白費(fèi)?，F(xiàn)在，由于他們?nèi)狈Π踩庾R(shí)可能會(huì)使他們面臨威脅，因此教育是最好的解決方案。

確保您的所有用戶都接受了安全意識(shí)培訓(xùn)，并讓他們了解最新的威脅，尤其是針對(duì)最終用戶的威脅（例如，網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚和其他社會(huì)工程攻擊）。您甚至可以將其納入您的入職流程，以便他們從第一天起就具備正確的心態(tài)。

記錄和應(yīng)用云安全策略

為促進(jìn)云安全計(jì)劃的順利實(shí)施，請(qǐng)記錄所有相關(guān)政策、流程和程序。這些將作為您組織的所有成員遵循的護(hù)欄。但是，這些政策不應(yīng)該塵埃落定。領(lǐng)導(dǎo)層必須自己承擔(dān)起激勵(lì)員工參與并帶頭實(shí)施這些安全政策的責(zé)任。

自動(dòng)化深度防御策略

當(dāng)前的網(wǎng)絡(luò)威脅大多以高度復(fù)雜的方式運(yùn)作。因此，為了使您的云安全服務(wù)能夠有效地對(duì)抗它們，您需要將它們整合到深度防御策略中。這意味著一種策略，將多個(gè)安全機(jī)制分層，以應(yīng)對(duì)一個(gè)防御失敗時(shí)的復(fù)雜威脅。

為了提高效率，這些安全解決方案應(yīng)該是集成的、自動(dòng)化的和協(xié)調(diào)的。這將消除手動(dòng)和耗時(shí)的流程，簡(jiǎn)化安全操作，優(yōu)化威脅監(jiān)控，確保更快的檢測(cè)和事件響應(yīng)，并降低總擁有成本 (TCO)。

外包您的云服務(wù)安全

并非所有組織都擁有專門的網(wǎng)絡(luò)安全團(tuán)隊(duì)，更不用說成熟的安全運(yùn)營(yíng)中心 (SOC)，可以構(gòu)建和實(shí)施縱深防御戰(zhàn)略，管理其云安全解決方案，并負(fù)責(zé)威脅監(jiān)控、檢測(cè)、和回應(yīng)。

如果您缺乏（或沒有）內(nèi)部網(wǎng)絡(luò)安全人員，最好的選擇是外包云安全服務(wù)。托管安全服務(wù)提供商 (MSSP) 等第三方可以管理現(xiàn)有的云安全服務(wù)，也可以自己提供云安全服務(wù)。通過外包您的安全責(zé)任，您可以更加專注于您的核心業(yè)務(wù)。