云计算 | 如何保障多云下的安全?

这篇具有很好参考价值的文章主要介绍了云计算 | 如何保障多云下的安全?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

从终端防护到网络安全,再到云安全,再到多云安全和云原生安全,对于每个企业都是至关重要,这篇文章发从企业的角度分析如何增加多云环境下的云安全防护能力。

什么是多云安全?

多云安全是公司为确保多云环境下的安全所依赖的一套政策、战略和解决方案。这种类型的安全使企业能够享受到多云的好处,而不会使数据和资产暴露于网络威胁。

多云安全的最大挑战是管理和保护来自不同云供应商的资产以及环境。具有不同功能和规则的多个供应商使云安全任务复杂化,包括但不限于

  • 确保一致的安全控制。
  • 设置可靠的访问管理。
  • 识别和应对漏洞。
  • 保持对安全的整体看法。

通常情况下,云供应商负责云的安全(网络流量,操作日志,合规等),而客户则负责云中的安全(服务,应用活动,工作负载,开源和license等)。供应商的工作是

  • 确保云基础设施是安全、可靠的。
  • 保护主机和数据中心。
  • 为客户提供保护数据的能力(多因素验证向量、访问管理软件、加密工具等)。

一个部署多云的公司要对团队如何使用和保存每个云基础设施中的数据负责,企业内部团队需要

  • 设计总体安全架构。
  • 确保操作符合相关法律和法规。
  • 定义访问规则和权限。
  • 处理云监控。
  • 设置备份。
  • 识别和应对安全事件。
  • 设计安全的部署流程。
  • 保持第三方工具的更新。
  • 设置数据丢失预防(DLP)。
  • 确定云灾难恢复的步骤。 大多数公司尝尝需要在内部安排好几个角色来处理这些任务,在CISO、DevOps团队和安全运营中心(SOC)之间分散责任。

多云安全风险

未能建立适当的多云安全的主要风险是

  • 由于缺乏保护或人为错误而丢失敏感数据。
  • 由于合规性检查失败而支付罚款。
  • 由于长时间的停机或应用程序性能不佳而损害客户体验。
  • 沦为恶意软件的受害者,导致数据泄露。
  • 允许未经授权的用户访问内部数据。
  • 由于丢失私人用户数据而遭受声誉打击。

在单云或者多云环境中,以上提到的风险是在使用云计算过程中是很常见的。进一步地说,在多云中,公司必须保护更大的攻击面,其环境复杂性使问题更容易发生。以下是使多云比单云风险更大的主要挑战

  • 团队必须配置、保护和管理一个以上的基础设施。
  • 每个平台都需要持续的维护。
  • 每个供应商都有独特的安全政策、控制和颗粒度。
  • 攻击者有更多的方法渗透到设置中。
  • 监控必须考虑到云部署的全部范围。
  • 该团队必须连接和整合来自不同供应商的各种服务。

实现多云数据安全的最佳实践

公司需要一个健全的安全策略,以确保多云不会导致漏洞。以下是11个多云安全最佳实践,可以帮助你在多个云提供商中,合理地分散安全工作。

多云安全管理,云计算,安全,运维

围绕合规性建立安全战略

在多云中实现合规性的第一步是了解适用于您的业务的标准和法规。公司需要考虑的法规的常见例子是数据隐私法(即GDPR和CPA)、HIPAA和PCI等等。

法规适用于特定的行业和地点,所以在开始部署之前,要知道你的多云需要遵守什么。一旦你知道期望是什么,就利用法律要求来

  • 概述相关数据的生命周期。
  • 定义安全控制。
  • 设置访问管理。
  • 对所有的云数据进行分类。
  • 组织足够的存储空间。

记住,每个云平台都有不同的合规功能和认证。你甚至可能在一个云上运行具有不同合规规则的独立工作负载。考虑使用一个自动化的工具来持续审计跨云的合规性,并生成关于潜在违规行为的报告。

智能策略管理

公司应制定一套安全策略,在所有云环境中执行,并简化安全操作。包括通过策略定义

  • 可接受的数据类型。
  • 云的所有权。
  • 认证和访问规则。
  • 云工作负载安全和网关。
  • 安全分析。
  • 监管规则和当前的合规状态。
  • 云迁移协议。
  • 威胁建模、优先排序和情报。
  • 针对每种攻击类型的响应计划。

虽然环境之间的一些不兼容是很常见的,但使用一个标准化的政策作为起点,有助于

  • 加快配置和部署。
  • 减少疏忽和人为错误的风险。
  • 确保多云间的一致性。

如果你在多个云中运行相同的操作,你应该同步策略。例如,当使用多云以确保可用性时,两个云应具有相同的安全设置。团队应该使用一个工具来同步两个供应商之间的设置,并创建一个具有适用于两个云的通用定义的政策。

充分利用自动化

多云安全的一个重要风险因素是人为错误。通过将尽可能多的任务自动化,有助于一个企业

  • 减少员工犯错的可能性。
  • 增加团队的敏捷性。
  • 加快与云有关的进程。
  • 确保跨环境的一致性。 自动化应该在多云安全方面发挥重要作用。例如,每个新的容器或虚拟机可以通过自动安全扫描。另一种使用自动化的方式是运行测试安全控制的连续检查。

采用`DevSecOps`是公司开始思考自动化在云计算安全中的作用的绝佳方式。DevSecOps将安全作为一个核心考虑因素,而不是事后考虑,这种方法是保持多云安全的理想选择。

多云安全管理,云计算,安全,运维

简化多云工具栈

与其依赖供应商的本地工具和第三方解决方案的组合方案,你应该将精力放在一个单一的总体平台,提供跨多云的无缝安全。否则,你将面临以下的风险

  • 整合不力,导致安全漏洞。
  • 人为错误的机会增加。
  • 雇佣超过你所需要的员工。
  • 给团队带来过多的维护负担。

确保你选择的平台可以做到。

  • 与不同的云服务无缝集成。
  • 与你的应用程序和工作负载一起扩展。
  • 提供数据活动的实时更新。

此外,你的安全工具应该有一个统一的视窗和安全大屏,管理员可以从统一的入口那里管理跨云的应用程序和数据。一个单一视角的工具可以简化繁杂的工作,使安全团队更加有效。

设置多云监控

多云需要强大的监控,将不同平台的事件、日志、通知和警报整合到一个位置。另一个重要的功能是拥有一个可以自动解决问题或在补救期间提供合理的策略。

充分利用审计日志

审计日志记录了与云租户有关的所有变化,包括

  • 增加新的用户。
  • 访问权的授予。
  • 登录持续时间。
  • 登录期间的用户活动。

审计日志对多云安全至关重要,因为这种活动有助于。

  • 识别恶意行为。
  • 在网络攻击开始之前发现漏洞。
  • 揭示代码或云相关问题。
  • 运行操作故障排除。供指导的工具。

除了整合和自动修复,你的监控工具还应该。

  • 具有可扩展性,以满足不断增长的云基础设施和数据量。
  • 提供连续的实时监控。
  • 为所有警报提供背景。
  • 允许团队创建自定义通知。
依靠数据加密和保密计算

加密是保护数据的一种有效方法,无论是在企业内部还是在云端。多云安全策略应在静态和传输中对数据进行加密。

  • 静止状态下的加密可以保护没有在网络中移动的存储数据。如果入侵者破坏了数据库,没有解密密钥就不可能破译数据。
  • 传输中的加密方式在信息通过网络移动时保护数据。如果入侵者以中间人攻击或窃听的方式截获数据,数据仍然安全。

除了保护静止和移动数据的安全,你还应该对所有的调度、监控和路由通信进行加密。彻底的加密可以确保关于你的基础设施和应用程序的信息保持秘密。

除了对静止和传输中的数据进行加密,多云安全策略还应该包括保密计算,以确保数据在使用过程中不会变得脆弱。使用中的加密通过在处理过程中对工作负载进行加密,对云数据进行全面保护。

实践租户隔离

租户隔离是提高多云安全的一个简单而有效的方法。租户隔离要求团队确保

  • 每个应用程序都在一个单独的租户中运行。
  • 所有环境(开发、测试、暂存、生产等)都在单独的租户内运行。 为了获得额外的安全性和敏捷性,你也可以使用登陆区。登陆区允许团队快速建立一个多租户环境,并预先定义访问管理、数据安全、治理和日志规则的基线。
执行最小特权原则

每位员工只应访问该员工履行其职责所需的资源。这种最小特权原则有几个目的,包括

  • 隔离关键任务和敏感数据。
  • 减少攻击者在入侵账户时在系统中横向移动的能力。
  • 帮助企业遵守数据隐私和安全法律。

在多云中,使用云供应商的本地工具来控制访问并不是一个好主意。来自不同供应商的解决方案不能很好地协同工作,并创造出增加风险的孤岛。相反,使用一个整体的工具,集中所有云的访问控制。

要注意不要用缺失的访问权限或缓慢的审批程序来阻碍团队的工作。相反,创建一个简单而透明的访问权限分配流程,帮助保护多云,而不拖累运营。

定期备份云数据

定期进行数据和系统的云备份。无论你决定在内部还是在云端存储备份,你都应该遵循几个良好的做法。

  • 使用不可变的备份,以确保攻击者即使攻破多云也无法加密或删除数据。
  • 每天多次备份数据。
  • 为每个云保存一个单独的备份,以简化恢复工作。
  • 使用零信任策略来保持备份的安全性。
  • 使用一种工具,持续扫描备份中的恶意数据。

除了备份,多云安全策略还需要一个灾难恢复计划。设计一个既能快速恢复数据又能在备用云上保持服务可用的计划。

建立一个持续改进的文化

每个多云安全策略都必须经过定期评估,以确保防御措施跟上最新标准。为了确保安全不会落后太多,一个团队应该做到

  • 定期检查软件更新。
  • 密切关注公司如何保护数据以及犯罪分子如何入侵系统,从而了解最新的网络安全趋势。
  • 定期进行漏洞评估,包括与外包专家合作和在内部进行。
  • 确保所有第三方工具都是最新的更新。
  • 不断寻找新的方法,使安全更加自动化和高效。

除了以上提到的方案,还包括云堡垒机,态势感知等方式去保证多云环境下的安全。

总结

安全热词
  • 一致性
  • 统一性
  • 可见性
  • 资产
  • 漏洞
  • 配置和基线
  • 合规
  • 安全策略
  • 自动化
  • DevSecOps
  • 审计日志
  • 流量日志
  • 监控
  • 数据加密
  • 租户隔离
  • 最小权限
  • 备份
  • 检测
  • 调查
  • 响应
  • 态势感知
  • 云堡垒机

多云安全管理,云计算,安全,运维

热词解释说明

1.合规性-自动化的工具来持续审计跨云的合规性,并生成关于潜在违规行为的报告。

2.安全配置策略-用同一个工具同步多个供应商之间的设置,并创建一个具有适用于多个云的通用定义策略

3.DevSecOps-充分利用自动化,将DevSecOps作为核心考虑

4.统一的安全平台-集成多维度的云安全工具和解决方案,是一个总体的工具

5.监控-使用监控,将不同平台的事件、日志、通知和警报整合到位置,并提供自动化解决问题或补救建议

6.审计日志-充分利用审计日志,全面了解云租户的有关变化

7.数据加密-加密静态数据,以及对传输过程的数据进行加密保护

8.租户隔离-通过租户隔离,限制有限的访问管理,数据安全,治理和日志规则的基线

9.最小权限-创建一个简单而透明的访问权限分配流程。即收集需求配置最小权限,识别过度权限,提供最小权限建议

10.数据备份-设计数据和系统的云备份策略,并按照计划实施,并支持配置灾难恢复计划

11.资产-识别云上所有的资产,包括影子IT,并建立有效的拓扑关系

12.态势感知-态势感知 (Situation Awareness,SA) 为用户提供统一的威胁检测和风险处置平台。帮助用户检测云上资产遭受到的各种典型安全风险,还原攻击历史,感知攻击现状,预测攻击态势,为用户提供强大的事前、事中、事后安全管理能力

13.云堡垒机-云堡垒机(CBH),即运维审计系统。为用户提供集中运维管理解决方案;运维人员可通过堡垒机远程访问云主机,实现对访问账号的集中管理,并做精细的权限规划和运维审计;提升企业的内部运维风险控制水平


我正在参与掘金技术社区创作者签约计划招募活动,点击链接报名投稿。文章来源地址https://www.toymoban.com/news/detail-793372.html

到了这里,关于云计算 | 如何保障多云下的安全?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • MySQL修炼手册14:用户权限管理:安全保障与数据隔离

    欢迎来到MySQL修炼手册的第14篇,本篇将深入探讨MySQL中用户权限管理的重要性以及如何通过合理的权限控制实现安全保障与数据隔离。在数据库管理中,用户权限的设置至关重要,不仅可以有效保护数据的安全,还能够合理分配数据访问权限,确保数据库的正常运作。让我们

    2024年01月24日
    浏览(45)
  • 账户风险监测系统精准识别可疑情形 账户分类分级管理保障安全

    近年来,不法分子利用银行机构的网络安全漏洞批量开立个人Ⅱ、Ⅲ类虚假账户,并以虚假账户为鉴权源,在其他银行机构继续开立Ⅱ、Ⅲ类虚假账户,利用所开立的虚假账户从事“薅羊毛”“假冒客户登录并盗取第三方支付平台资金”“兜售虚假账户信息”“诈骗”“洗钱

    2024年04月11日
    浏览(40)
  • 等保2.0下的安全管理中心建设思路及实践

    【摘要】 2019年5月13日,等保2.0“千呼万唤始出来”,此后,关于等保2.0的解读和探讨愈演愈烈。各大安全厂商围绕等保2.0跃跃欲试,其中围绕安全管理中心的建设纷纷布局,频频出招,安全市场上刮起一阵安全管理中心建设风潮。但是,为什么要建设安全管理中心、怎么建

    2024年02月05日
    浏览(32)
  • 快速上手Spring Cloud 十一:微服务架构下的安全与权限管理

    快速上手Spring Cloud 一:Spring Cloud 简介 快速上手Spring Cloud 二:核心组件解析 快速上手Spring Cloud 三:API网关深入探索与实战应用 快速上手Spring Cloud 四:微服务治理与安全 快速上手Spring Cloud 五:Spring Cloud与持续集成/持续部署(CI/CD) 快速上手Spring Cloud 六:容器化与微服务化

    2024年04月22日
    浏览(44)
  • Istio是一个开源的基于 envoy proxy 的服务网格工具,它通过提供应用层面的流量管理和安全保障能力,帮助企业构建一个完整的服务网络体系

    作者:禅与计算机程序设计艺术 容器编排工具通常都提供微服务架构,其中包括服务注册与发现、负载均衡、流量控制和熔断等功能。随着云计算的普及,越来越多的人开始使用这些容器编排工具,包括Docker Swarm、Kubernetes、Mesos等。除了提供容器集群管理之外,许多容器编排

    2024年02月07日
    浏览(49)
  • 云计算的安全管理:保护云环境的关键

    云计算是一种基于互联网和服务器集群的计算模式,它允许用户在需要时从任何地方访问计算资源。随着云计算的普及和发展,安全性问题也逐渐成为了企业和组织的关注焦点。在云计算环境中,数据的安全性、系统的可靠性和信息的完整性都是至关重要的。因此,云计算的

    2024年04月12日
    浏览(31)
  • 【基于云计算的资产管理系统】实现资产管理的高效、便捷、安全

    作者:禅与计算机程序设计艺术 【基于云计算的资产管理系统】实现资产管理的高效、便捷、安全 引言 随着云计算技术的快速发展,企业对于资产管理的效率、便捷性和安全性提出了更高的要求。资产管理系统作为企业重要的资产之一,其对于企业的运营和管理具有重要的

    2024年02月13日
    浏览(44)
  • [XJTU计算机网络安全与管理]——第八讲密钥管理和分发

    如何对密钥进行分发与管理是制约密码应用的重要因素 密钥分为两类: 短期密钥 :数据加密 长期密钥 :用于认证,签名,访问控制,保护短期密钥等 对于中介的需要:可信第三方 对称加密:密钥分发中心(KTC,KDC) 证书中心:CA 密钥管理结构解决的问题 密钥的生成与分发

    2024年02月06日
    浏览(54)
  • [XJTU计算机网络安全与管理]——第11讲 安全应用及协议(二)

    Secure socket layer,是Netscape提出的。 TLS(Transport Layer Security) 1.0 (RFC 2246) =SSLv3.l。 设计目标是在 TCP基础上 提供一种可靠的端到端的安全服务,其服务对象一般是WEB应用。 传输层的安全协议 ——考点 TLS实际上是对SSL的最新改进,并由IETF进行了标准化。 基于SSL的http协议称为

    2024年02月03日
    浏览(44)
  • 《计算机系统与网络安全》 第六章 密钥管理

    🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍》学会IDEA常用操作,工作效率翻倍~💐 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬

    2024年02月11日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包