/ 解决方案 / 安全访问 / 什么是云安全?

什么是云安全?

云安全是一整套相互关联的策略、工具、流程和人员,用于保护云计算环境免受损害。它适用于每一个部分云计算堆栈,从网络存储(云基础设施)一直到数据和应用程序。

云安全与传统的内部部署共享一些核心概念网络安全,但涉及其独特的技术和最佳实践。后一种组件有助于防御云中的某些复杂威胁,保护消散的网络边界,并在云之间正确分配安全责任云服务供应商和他们的客户。

探索其他云安全主题:

为什么云安全很重要?

随着组织将更多的工作负载转移到云计算环境中,保护其中的应用程序和客户数据变得至关重要。云安全的高级目标是:

  • 确保云数据、用户和底层系统得到充分保护,以抵御诸如机器人驱动的分布式拒绝服务(DDoS)攻击、API利用和数据损坏漏洞等威胁
  • 支持适用法规的法规遵从性要求,比如规定云数据可以存储在哪里以及云提供商必须尊重哪些级别的用户隐私的法规
  • 提供跨云环境的可见性,因此安全团队知道通过api和用户界面发出了哪些请求,同时还能够查看相关分析
  • 执行访问控制以及对云用户及其设备的身份验证,无论他们身在何处;这通常通过a来完成零信任安全模型
  • 根据所讨论的云服务和部署模型,将责任分配给云服务提供商和订阅者

云安全本质上是一项共同的责任。云提供商和客户将管理的云计算安全的特定部分决定了每个业务关系的云安全架构。

什么是云安全架构?

云安全架构是一种结构,用于说明如何在云提供商和订阅者之间共享安全责任——基本上,就是确定谁以何种方式保护哪些内容。

在其负责的每个领域,提供商或客户将负责特定的技术组件,以保护云应用程序本身或安全访问它们。

应用程序安全措施的例子包括:

  • 用于根据需要保护传输和静止云数据的数据加密算法和协议
  • Web应用程序防火墙(waf)机器人管理降低各种网络攻击和不当数据暴露风险的解决方案
  • 检测和去除恶意软件还有勒索软件,以及更广泛的防止数据丢失通过安全工具确保敏感数据不被不当访问和泄露
  • 监视和记录请求;网络安全跨云环境的事件和所有其他活动和端点

访问应用程序的安全措施示例包括:

一致且支持良好的云安全架构非常重要,因为云安全非常复杂。数据可能被未受管理的设备访问,没有传统的网络边界需要防御,并且存在复杂的安全风险,例如高级持续性威胁(apt)等危险。

主要的服务模型是基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)和桌面即服务(DaaS)。每个主要的云服务模型都有自己独特的安全架构,由云提供商和客户管理。

云安全架构也将根据所讨论的云是否部署为公共云私有云混合云。许多组织依赖于每个类别中的一个或多个云,作为云计算的一部分多重云策略。

白皮书

为什么需要跨多云环境的全面保护

了解为什么全面的云交付保护在当今的多云环境中至关重要。

阅读白皮书

谁负责云安全?

这取决于服务和部署模型,尽管云安全责任总是在某种程度上共享。例如,使用来自公共云服务提供商的IaaS,该提供商管理物理网络接口,虚拟机监控程序和数据存储,而客户处理操作系统、应用程序和位于它们之上的数据。

这种体系结构有时被描述为云提供商监督云的安全性(如数据中心中的数据库和计算能力等基本硬件和软件),而客户则关注云中的安全性,即组织如何授予或拒绝访问请求、配置防火墙以及在使用云服务的正常过程中执行其他活动。

对于公有云PaaS,SaaS,DaaS与IaaS相比,云服务提供商承担了更多的安全责任。例如,在SaaS中,客户不必管理底层服务器、数据库和加密等相关安全机制。同时,这种设置并不意味着SaaS是无风险的,因为客户仍然需要审查云提供商并确保这一点应用程序访问得到了适当的保护

在私有云和混合云中,组织维护一组专门供自己使用的资源,通常需要更多的客户端网络安全责任。私有云和混合云数据有一些安全优势,因为它不像公共云数据那样依赖于共享基础设施。但要保证它的安全,可能需要客户做出更直接的努力。

云安全有什么不同?

尽管一些传统的网络安全实践(例如使用SSO)非常适合云安全架构,但由于几个因素,云安全与客户端的本地安全有着根本的不同。

更广泛的可访问性导致更大规模的威胁。云应用程序比传统应用程序更易于访问,几乎可以从任何位置通过IP网络访问,因此它们吸引了更多的网络攻击。SQL注入、分布式拒绝服务(DDoS)攻击和其他威胁是云应用程序持续存在的安全问题。

多云环境对黑客来说极具吸引力,必须仔细监控。例如,启用机器人的自动攻击只能通过与waf和API保护等其他安全工具协同工作的机器人检测解决方案来阻止。未正确保护的api可能导致未经授权的访问,从而导致数据泄露。

责任由供应商和客户共同承担。云安全也不同于传统安全,因为它是一个共同的责任。云客户不能完全控制安全性,即使他们可以控制与访问相关的方面。

这种共同责任在公共云中最为明显,服务提供商处理数据加密和恶意软件防御,而客户保护访问。因此,提供商的服务水平协议及其自身的安全记录都是云安全的关键组成部分。

保护访问有不同的要求。高度集中的、边界定义的本地安全模型不能扩展到现代多云环境。云应用程序访问不能完全依靠vpn或防火墙等保护措施来保证安全,这些保护措施假设公司网络内的用户是值得信赖的。

例如,VPN授予对网络的广泛访问,并对授权用户给予很大的信任——这种方法在有限的本地上下文中是可行的,但在广泛的云应用程序访问的世界中就不可行了,因为用户实际上可能是一个机器人或安全威胁。

云安全面临的最大挑战是什么?

总的来说,有许多安全挑战要么是云独有的,要么与内部部署的难度相比被大大放大了,例如:

  • 流量过滤、监控和阻断:waf在云安全中更为重要,因为它们需要筛选流向云应用程序的大量流量。如果没有适当地过滤、监控和阻止,这种流量可能会携带恶意软件和来自恶意机器人的请求。
  • API的保护如果保持开放,连接不同服务的大量云api可能会导致代价高昂的数据泄露,例如,允许不当的数据传输。
  • 僵尸识别和管理僵尸网络驱动了大量的自动网络攻击,因此必须正确识别和管理它们,以阻止暴力登录等问题。
  • 恶意软件、apt和网络攻击由于云计算是可公开访问的,因此它面临着来自各种网络安全威胁的持续、广泛的压力,这些威胁可能会破坏访问并泄露敏感信息。
  • 云安全控制不当或不足:当公司将应用程序迁移到云中,他们并不总是相应地更新他们的安全控制,并且可能无法解释云安全架构中的共同责任。
  • 配置错误:云资源可能配置错误,导致安全问题长时间不被发现。
  • 网络/广域网安全随着从MPLS WAN转向SD-WAN以支持云应用程序,需要新的安全机制和架构,如SASE,以实现SaaS突破并取代传统WAN的集中式安全模型。

您应该如何实现云安全?

云安全最佳实践的范围非常广泛,由于云安全架构中的共同责任,其中许多实践甚至不受客户的直接控制。谨慎的云安全策略的一些最重要的组成部分包括:

waf

组织可以使用WAF发现并阻止威胁。更具体地说,WAF为跨云计算环境的流量和web服务提供了全面的安全性,保护它们免受SQL注入、跨站点脚本(XSS)等攻击。它可以通过在安装它的所有设备上应用一致的安全策略来保护云应用程序和api,以实现统一的安全状态。

API的保护

公司可以通过分层解决方案锁定api,阻止最紧迫的云计算网络攻击。API的保护有助于防御已知攻击和零日攻击,保护api,否则这些api将成为云架构中最大的安全软肋之一。更好的API保护意味着更少的数据泄露。

僵尸识别和管理

企业可以阻止僵尸网络完成暴力攻击或针对关键云应用程序执行DDoS攻击机器人管理缓解工具。这些工具使用高级规则来评估机器人是否合法(例如,一个有用的聊天机器人)或应该阻止以减轻网络攻击风险的安全责任。

数据保护和加密

组织可以通过加密和监控来保护数据。确切的加密方法将根据云服务是IaaS、PaaS、SaaS还是DaaS而有所不同。应该仔细地监视数据源,以确保数据库配置错误不会泄漏数据。

零信任安全

组织可以通过以下方式管理访问和授权零信任安全。这需要通过MFA等机制和多个相关标准(包括设备补丁级别和用户地理位置)的评估,在上下文中持续评估用户、设备和请求。

全面的可见性

解决方案端点管理网络监控对于了解谁在哪里做什么非常重要。这种可见性在复杂的混合云和多云环境中尤其重要,因为在这些环境中有多个部署和服务在运行。

思杰云安全解决方案

思杰提供了多种云安全解决方案,可以更安全地使用和访问所有类型的应用程序,从而帮助提高效率远程工作环境和多云部署:

了解如何通过思杰安全私有访问实现更好的云安全