搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      云計算怎么保證數(shù)據(jù)安全

      電子工程師 ? 來源:工程師曾玲 ? 2019-05-02 14:51 ? 次閱讀

      在過去的十年,云計算代表了企業(yè)IT中最具顛覆性的一種趨勢,安全團(tuán)隊在轉(zhuǎn)型過程中并沒有擺脫“混亂”。對于安全專業(yè)的人員而言,他們感覺自己已經(jīng)失去了對云計算的控制權(quán),并且在試圖處理云計算“混亂”以確保其免受威脅時而感到沮喪,這是可以理解的。

      以下將了解云計算破壞安全性的方式,深入了解安全團(tuán)隊如何利用這些變化,并成功完成保證數(shù)據(jù)安全的關(guān)鍵任務(wù)。

      1.云計算減輕了一些重大責(zé)任

      企業(yè)在采用云計算技術(shù)時,可以擺脫獲取和維護(hù)物理IT基礎(chǔ)設(shè)施的負(fù)擔(dān),這意味著企業(yè)的安全部門不再對物理基礎(chǔ)設(shè)施的安全負(fù)責(zé)。云計算的共享安全模型規(guī)定,例如AWS和Azure等云計算服務(wù)提供商(CSP)需要負(fù)責(zé)物理基礎(chǔ)設(shè)施的安全性。用戶自己負(fù)責(zé)安全使用云計算資源。然而,關(guān)于共享責(zé)任模型存在很多誤解,這帶來了風(fēng)險。

      2.在云中,開發(fā)人員自己做出基礎(chǔ)設(shè)施決策

      云計算資源可通過應(yīng)用程序編程接口(API)按需提供。由于云計算是一種自助服務(wù),開發(fā)人員可以快速采取行動,避開了傳統(tǒng)的安全網(wǎng)關(guān)。當(dāng)開發(fā)人員為其應(yīng)用程序啟動云計算環(huán)境時,他們正在配置其基礎(chǔ)設(shè)施的安全性。但開發(fā)人員可能會犯一些錯誤,其中包括嚴(yán)重的云計算資源配置錯誤和違反法規(guī)遵從性策略。

      3.開發(fā)人員不斷改變基礎(chǔ)設(shè)施配置

      企業(yè)可以在云中比在數(shù)據(jù)中心更快地進(jìn)行創(chuàng)新。持續(xù)集成和持續(xù)部署(CI/CD)意味著對云計算環(huán)境的持續(xù)更改。開發(fā)人員很容易更改基礎(chǔ)設(shè)施配置,以執(zhí)行諸如從實例獲取日志或解決問題等任務(wù)。因此,即使他們在第一天的云計算基礎(chǔ)設(shè)施的安全性是正確的,也許第二天可能會引入錯誤配置漏洞。

      4.云計算是可編程的,可以實現(xiàn)自動化

      由于可以通過API創(chuàng)建、修改和銷毀云計算資源,開發(fā)人員已經(jīng)放棄了基于Web的云計算“控制臺”,并使用AWS CloudFormation和Hashicorp Terraform等基礎(chǔ)設(shè)施代碼工具對其云計算資源進(jìn)行編程??梢灶A(yù)定義,按需部署大規(guī)模云平臺環(huán)境,并以編程方式和自動化方式進(jìn)行更新。這些基礎(chǔ)設(shè)施配置文件包括關(guān)鍵資源的安全相關(guān)配置。

      5.云中還有更多的基礎(chǔ)設(shè)施需要保護(hù)

      在某些方面,數(shù)據(jù)中心的安全性更容易管理。企業(yè)的網(wǎng)絡(luò)、防火墻和服務(wù)器都在機(jī)架上運行,而云計算也以虛擬化形式存在。但云計算也提供了一系列新的基礎(chǔ)設(shè)施資源,如無服務(wù)器和容器。在過去的幾年中,僅AWS公司就推出了數(shù)百種新的服務(wù)。即使是熟悉的東西,如網(wǎng)絡(luò)和防火墻,在云中也以不熟悉的方式運行。所有這些都需要新的和不同的安全姿勢。

      6.云中還有更多基礎(chǔ)設(shè)施可以保護(hù)

      組織需要更多的云計算基礎(chǔ)設(shè)施資源來跟蹤和保護(hù),并且由于云計算的彈性,更多會隨著時間而變化。在云中大規(guī)模運營的團(tuán)隊可能正在管理跨多個區(qū)域和帳戶的數(shù)十個云平臺環(huán)境,每個團(tuán)隊可能涉及數(shù)萬個單獨配置并可通過API訪問的資源。這些資源相互作用,需要自己的身份和訪問控制(IAM)權(quán)限。微服務(wù)架構(gòu)使這個問題復(fù)雜化。

      7.云計算安全性與配置錯誤有關(guān)

      云計算運營完全與云計算資源配置有關(guān),其中包括網(wǎng)絡(luò)、安全組等安全敏感資源,以及數(shù)據(jù)庫和對象存儲的訪問策略。如果企業(yè)不必運營和維護(hù)物理基礎(chǔ)設(shè)施,安全重點將轉(zhuǎn)移到云計算資源的配置上,以確保它們在第一天是正確的,并且它們在第二天及以后保持這種狀態(tài)。

      8. 云安全也與身份管理有關(guān)

      在云中,許多服務(wù)通過API調(diào)用相互連接,要求對安全性進(jìn)行身份管理,而不是基于IP的網(wǎng)絡(luò)規(guī)則、防火墻等。例如,使用附加到lambda接受其服務(wù)標(biāo)識的角色的策略來完成從lambda到S3存儲桶的連接。身份和訪問管理(IAM)以及類似的服務(wù)都是復(fù)雜的,其功能豐富。

      9.對云計算的威脅的性質(zhì)是不同的

      糟糕的參與者使用代碼和自動化來查找云計算環(huán)境中的漏洞并加以利用,自動化威脅將始終超過人工或半人工的安全防御。企業(yè)的云安全必須能夠抵御當(dāng)今的威脅,這意味著它們必須涵蓋所有關(guān)鍵資源和策略,并在沒有人工參與的情況下自動從這些資源的任何錯誤配置中恢復(fù)。這里的關(guān)鍵指標(biāo)是關(guān)鍵云計算配置錯誤的平均修復(fù)時間(MTTR)。如果以小時、天、周來衡量,那么還有工作需要做。

      10.數(shù)據(jù)中心安全性在云中不起作用

      到目前為止,人們可能已經(jīng)得出結(jié)論,在數(shù)據(jù)中心中工作的許多安全工具在云中沒有多大用處。這并不意味著企業(yè)需要拋棄一直在使用的所有東西,但要知道哪些仍然適用,哪些已經(jīng)過時。例如,應(yīng)用程序安全性仍然很重要,但依靠跨度或點擊來檢查流量的網(wǎng)絡(luò)監(jiān)視工具不會因為云計算服務(wù)供應(yīng)商不提供直接網(wǎng)絡(luò)訪問。企業(yè)需要填補(bǔ)的主要安全漏洞與云計算資源配置有關(guān)。

      11.云中的安全性可以更容易、更有效

      由于云計算是可編程的并且可以實現(xiàn)自動化,這意味著云中安全性可以比數(shù)據(jù)中心更容易、更有效。

      監(jiān)控配置錯誤和偏差的情況可以完全實現(xiàn)自動化,企業(yè)可以為關(guān)鍵資源使用自我修復(fù)基礎(chǔ)設(shè)施來保護(hù)敏感數(shù)據(jù)。在配置或更新基礎(chǔ)設(shè)施之前,企業(yè)可以運行自動化測試來驗證作為代碼的基礎(chǔ)設(shè)施是否符合其企業(yè)安全策略,就像企業(yè)保護(hù)應(yīng)用程序代碼一樣。這讓開發(fā)人員可以更早地了解是否存在需要修復(fù)的問題,并最終幫助他們更快地行動,并不斷創(chuàng)新。

      12.在云中,合規(guī)性也可以更容易、更有效

      這對合規(guī)性分析師也是好消息。傳統(tǒng)的云計算環(huán)境人工審計的成本可能非常高昂,容易出錯且耗時,而且在完成之前它們通常已經(jīng)過時。由于云計算是可編程的,并且可以實現(xiàn)自動化,因此也可以進(jìn)行合規(guī)性掃描和調(diào)查報告?,F(xiàn)在可以在不投入大量時間和資源的情況下,自動執(zhí)行合規(guī)性審計并定期生成報告。由于云計算環(huán)境變化如此頻繁,超過一天的審計間隔可能太長。

      從哪里開始使用云安全性

      (1)了解開發(fā)人員正在做什么

      他們使用的是什么云計算環(huán)境,他們?nèi)绾瓮ㄟ^帳戶(即開發(fā)、測試、產(chǎn)品)分離問題?他們使用什么配置和持續(xù)集成和持續(xù)部署(CI/CD)工具?他們目前正在使用任何安全工具嗎?這些問題的答案將幫助企業(yè)制定云計算安全路線圖,并確定需要關(guān)注的理想領(lǐng)域。

      (2)將合規(guī)性框架應(yīng)用于現(xiàn)有環(huán)境

      識別違規(guī)行為,然后與企業(yè)的開發(fā)人員合作以使其符合規(guī)定。如果企業(yè)不遵守HIPAA、GDPR、NIST 800-53或PCI等合規(guī)制度,則采用互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)。像AWS和Azure這樣的云計算提供商已經(jīng)將其應(yīng)用到他們的云平臺,以幫助消除他們?nèi)绾螒?yīng)用于企業(yè)正在做什么的猜測。

      (3)確定關(guān)鍵資源并建立良好的配置基線

      不要忽視關(guān)鍵細(xì)節(jié)。企業(yè)與開發(fā)人員合作,確定包含關(guān)鍵數(shù)據(jù)的云計算資源,并為他們建立安全的配置基線(以及網(wǎng)絡(luò)和安全組等相關(guān)資源)。開始檢測這些配置偏差,并考慮自動修復(fù)解決方案,以防止錯誤配置導(dǎo)致事故。

      (4)幫助開發(fā)人員更安全地開展工作

      通過與開發(fā)人員合作,在軟件開發(fā)生命周期早期(SLDC)中加入安全性,實現(xiàn)“左移”。DevSecOps方法(例如開發(fā)期間的自動策略檢查)通過消除緩慢的人工安全性和合規(guī)性流程來幫助保持創(chuàng)新的快速發(fā)展。

      有效且具有彈性的云安全態(tài)勢的關(guān)鍵是與企業(yè)的開發(fā)和運營團(tuán)隊密切合作,以使每個成員都在同一頁面上并使用相同的語言溝通。而在云中,安全性不能作為獨立功能運行。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 云計算
        +關(guān)注

        關(guān)注

        39

        文章

        7800

        瀏覽量

        137401
      • 數(shù)據(jù)安全
        +關(guān)注

        關(guān)注

        2

        文章

        681

        瀏覽量

        29948
      收藏 人收藏

        評論

        相關(guān)推薦

        托管可以操作數(shù)據(jù)庫嗎?安全性如何

        托管可以操作數(shù)據(jù)庫。在托管環(huán)境中,開發(fā)者可以通過使用服務(wù)提供商提供的API或SDK來連接并操作
        的頭像 發(fā)表于 12-11 13:35 ?74次閱讀

        pds在計算中的作用

        PDS(Persistent Data Storage)在計算中扮演著至關(guān)重要的角色,它為用戶提供了安全、穩(wěn)定、高效的存儲解決方案。以下是PDS在
        的頭像 發(fā)表于 12-05 10:46 ?189次閱讀

        計算數(shù)據(jù)中心的關(guān)系

        設(shè)備,以及冗余的數(shù)據(jù)通信連接、環(huán)境控制設(shè)備、監(jiān)控設(shè)備和各種安全裝置。數(shù)據(jù)中心是全球協(xié)作的特定設(shè)備網(wǎng)絡(luò),基于互聯(lián)網(wǎng)的相關(guān)服務(wù)增加、使用和交付模式,通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。
        的頭像 發(fā)表于 10-24 16:15 ?433次閱讀

        邊緣計算計算的區(qū)別

        邊緣計算計算是兩種不同的計算模式,它們在計算資源的分布、應(yīng)用場景和特點上存在顯著差異。以下是對兩者的對比: 一、
        的頭像 發(fā)表于 10-24 14:08 ?417次閱讀

        計算對于遠(yuǎn)程辦公的支持

        計算技術(shù)對于遠(yuǎn)程辦公的支持是多方面的,它為企業(yè)和員工提供了高效、靈活和安全的遠(yuǎn)程工作環(huán)境。 一、提供強(qiáng)大的計算和存儲能力
        的頭像 發(fā)表于 10-24 09:21 ?341次閱讀

        計算與邊緣計算的結(jié)合

        計算與邊緣計算的結(jié)合是當(dāng)前信息技術(shù)發(fā)展的重要趨勢,這種結(jié)合能夠充分發(fā)揮兩者的優(yōu)勢,實現(xiàn)更高效、更可靠的數(shù)據(jù)處理和分析。以下是對
        的頭像 發(fā)表于 10-24 09:19 ?504次閱讀

        計算在大數(shù)據(jù)分析中的應(yīng)用

        計算在大數(shù)據(jù)分析中的應(yīng)用廣泛且深入,它為用戶提供了存儲、計算、分析和預(yù)測的強(qiáng)大能力。以下是對計算
        的頭像 發(fā)表于 10-24 09:18 ?456次閱讀

        計算安全性如何保障

        計算安全性是一個復(fù)雜而多維的問題,涉及多個層面和多種技術(shù)手段。為了保障計算安全性,需要采
        的頭像 發(fā)表于 10-24 09:14 ?272次閱讀

        HPC計算前景

        高性能計算(HPC)與計算的結(jié)合,正逐步成為推動科技創(chuàng)新和產(chǎn)業(yè)升級的重要引擎。隨著數(shù)據(jù)規(guī)模的不斷擴(kuò)大和計算需求的日益復(fù)雜,HPC
        的頭像 發(fā)表于 10-16 10:17 ?232次閱讀

        如何理解計算

        計算的工作原理是什么? 計算和傳統(tǒng)IT技術(shù)的區(qū)別? 華納如何幫助您實現(xiàn)
        發(fā)表于 08-16 17:02

        關(guān)于計算的3個誤解

        雖然計算應(yīng)用已經(jīng)從概念成為現(xiàn)實并且有相當(dāng)長時間了,但是仍然有一些人對計算持有誤解。以下是關(guān)于計算
        的頭像 發(fā)表于 07-26 16:33 ?260次閱讀

        計算安全技術(shù)與信息安全技術(shù)之間的關(guān)系

        一、引言 隨著信息技術(shù)的快速發(fā)展,計算已成為企業(yè)和個人存儲、處理和分析數(shù)據(jù)的重要方式。然而,計算的普及也帶來了一系列
        的頭像 發(fā)表于 07-02 09:30 ?758次閱讀

        網(wǎng)絡(luò)與計算:有什么區(qū)別?

        則關(guān)注的是應(yīng)用程序之間的連接如何管理和交付。 計算 計算將企業(yè)工作負(fù)載托管從傳統(tǒng)的內(nèi)部或共置數(shù)據(jù)中心轉(zhuǎn)移到
        的頭像 發(fā)表于 06-25 11:43 ?528次閱讀
        <b class='flag-5'>云</b>網(wǎng)絡(luò)與<b class='flag-5'>云</b><b class='flag-5'>計算</b>:有什么區(qū)別?

        請問NFC數(shù)據(jù)傳輸如何保證數(shù)據(jù)安全?

        NFC數(shù)據(jù)傳輸如何保證數(shù)據(jù)安全
        發(fā)表于 04-07 06:18

        現(xiàn)在常說的邊緣計算計算有什么不同?

        現(xiàn)在常說的邊緣計算計算有什么不同? 邊緣計算計算是兩種不同的
        的頭像 發(fā)表于 02-06 14:38 ?674次閱讀