根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查,在云端發(fā)生的所有數(shù)據(jù)泄漏中,80%是由于IT部門的錯誤配置、賬戶管理和其他錯誤造成的,而不是來自云計算提供商云平臺的漏洞。因此,IT企業(yè)必須關(guān)注其內(nèi)部業(yè)務流程和人員培訓,以加強整體安全。
另一項研究表明,64%的企業(yè)認為云計算基礎(chǔ)設施比傳統(tǒng)數(shù)據(jù)中心更安全。在采用云計算的企業(yè)中,75%的企業(yè)在云計算提供商提供的保護措施之外采取了額外的保護措施。而對于這些額外的安全措施,61%的企業(yè)采用數(shù)據(jù)加密,52%的企業(yè)采用更嚴格的訪問策略,48%的企業(yè)采用頻繁的系統(tǒng)審計。
網(wǎng)絡攻擊者并不關(guān)心數(shù)據(jù)是位于虛擬機還是物理機上,他們的目標是采用任何方式獲取訪問權(quán)限。因此,為了保護云中的數(shù)據(jù),企業(yè)希望可以使用數(shù)據(jù)中心具有的相同工具。安全專家確定了保證云計算安全的三個主要措施:數(shù)據(jù)加密、有限的數(shù)據(jù)訪問、發(fā)生攻擊時的數(shù)據(jù)恢復(如勒索軟件)。
另外,專家建議仔細研究API。因為開放和不受保護的接口可能成為數(shù)據(jù)保護方面的薄弱環(huán)節(jié),也是云計算平臺的一個主要漏洞。
分析和機器學習
為了解決許多安全問題,企業(yè)可以使用人工智能(AI)技術(shù)。人工智能框架和機器學習有助于自動化數(shù)據(jù)保護,并簡化日常任務的執(zhí)行。人工智能在公共云和私有云基礎(chǔ)架構(gòu)中提供服務,以加強其安全性。
這種方法的一個例子是開源項目MineMeld,它對來自外部來源的威脅數(shù)據(jù)制定安全策略和動態(tài)調(diào)整配置。它可能在某些情況下解決所有特定公司的需求。另一個例子是Gurucul云分析平臺,該平臺使用行為分析和機器學習來檢測外部和內(nèi)部威脅。
加密數(shù)據(jù)
企業(yè)沒有必要加密所有的數(shù)據(jù)。為了確保安全,企業(yè)需要一個詳細的策略。首先,確定自己的哪些數(shù)據(jù)需要位于云端,以及流量的位置。只有這樣,才能決定哪些信息值得加密。
在加強安全措施之前,企業(yè)評估其可行性。應評估引入新措施的成本,并將其與數(shù)據(jù)泄露造成的潛在損失相比較。另外,企業(yè)還應該分析加密、訪問控制、用戶身份驗證對系統(tǒng)性能的影響。
數(shù)據(jù)保護可以在多個層面上實施。例如,用戶發(fā)送到云端的所有數(shù)據(jù)都可以使用AES算法進行加密,該算法提供了匿名性和安全性。下一級保護是云計算存儲服務器中的數(shù)據(jù)加密。云計算提供商通常將數(shù)據(jù)存儲在多個數(shù)據(jù)中心中,通過冗余來幫助保護客戶信息。
基礎(chǔ)設施監(jiān)控
在遷移到云端時,許多客戶需要實施新的安全策略。例如,他們必須更改其防火墻和虛擬網(wǎng)絡的設置。根據(jù)調(diào)研機構(gòu)Sans公司進行的一項研究,數(shù)據(jù)中心用戶擔心未經(jīng)授權(quán)的訪問(68%)、應用漏洞(64%)、惡意軟件感染(61%)、社交工程和不合規(guī)(59%??)以及內(nèi)部威脅53%)。
與此同時,攻擊者幾乎總能找到破解系統(tǒng)的方法。因此,企業(yè)的主要任務是防止攻擊傳播到網(wǎng)絡的其他部分。如果安全系統(tǒng)阻止工作負載之間的未授權(quán)交互,并防止非法連接請求,則可以這樣實施。
還有許多產(chǎn)品可以監(jiān)控數(shù)據(jù)中心的基礎(chǔ)設施。例如,思科公司為IT經(jīng)理提供了網(wǎng)絡活動的完整圖景,使他們不僅可以查看誰連接到網(wǎng)絡,還可以設置用戶規(guī)則,并管理人們的應做事項,以及他們擁有哪些訪問權(quán)限。
采用自動化工具
另一種可以提高數(shù)據(jù)中心可靠性的方法是將安全系統(tǒng)與DevOps的實踐相結(jié)合。這樣做可以讓企業(yè)加快部署新的應用程序,并更快地引入更改。適應性安全體系結(jié)構(gòu)應與管理工具集成在一起,使安全設置更改成為持續(xù)部署過程的一部分。
在云計算基礎(chǔ)設施中,安全性成為持續(xù)集成和持續(xù)部署的組成部分。它可以通過諸如Jenkins插件之類的工具提供,這些工具使代碼和安全性測試成為質(zhì)量保證不可缺少的階段。用于安全測試和監(jiān)控的其他DevOps工具包括靜態(tài)分析(SAST)和動態(tài)分析(DAST)解決方案。靜態(tài)分析(SAST)可以分析處于靜態(tài)狀態(tài)的應用程序的源代碼,并識別其安全漏洞。動態(tài)分析(DAST)在應用程序運行時檢測潛在的安全漏洞。
在以往,一個單獨的團隊將處理產(chǎn)品安全問題。但是這種方法增加了在產(chǎn)品上工作的時間,并不能消除所有的漏洞。如今,安全整合可以在多個方向進行,甚至使用單獨的術(shù)語:DevOpsSec,DevSecOps和SecDevOps。這些術(shù)語之間有區(qū)別。人們應該考慮產(chǎn)品開發(fā)所有階段的安全性,其包括云計算基礎(chǔ)設施。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號