組織需要了解在私有云、公共云、混合云和多云環(huán)境中確保云計算安全的可操作步驟，而其采用的云平臺可以通過適當?shù)牟呗詠泶_保安全。

云計算安全是技術專業(yè)人士十分關注的問題。有些人認為云計算本身是安全的，甚至比數(shù)據(jù)中心還要安全;其他人認為云計算本身并不安全，因此不要將它們用于關鍵任務的工作負載。

事實上，云計算環(huán)境是否比數(shù)據(jù)中心更安全，具體取決于它們的實施方式。認真對待云計算安全的組織應該努力了解云計算公司提供的詳細信息，因為這對完善云計算安全管理是必要的。

底線：對于組織來說，云計算安全應該是最重要的事項，因為他們的企業(yè)聲譽、運營業(yè)務和財務安全都依賴于云計算安全。

什么是云計算安全

簡而言之，云計算安全包括兩個主要因素：

云計算安全性是一組公司創(chuàng)建的指南，用于阻止任何可能的數(shù)據(jù)丟失、泄露或不可用的形式。

云計算安全性也是一種專用的附加云計算服務，可確保云計算環(huán)境及其中存儲的數(shù)據(jù)安全。

云計算本身安全嗎

如果云計算提供商和安全廠商無法很好地保護其客戶的數(shù)據(jù)，那么這些公司的經(jīng)營和發(fā)展很難長久。但是，組織必須自己決定他們需要哪些安全功能，因為這可能不是一個萬能的主張。例如，基本的云計算服務往往包括基本安全功能。但是，企業(yè)需要企業(yè)級安全選項。

組織將業(yè)務遷移到云端時，安全和IT專業(yè)人員需要明智地了解他們公司的風險偏好和安全狀況，因此他們知道哪些基于云計算的控制是必要的。例如：

可能需要遵守的法規(guī)。如果是這樣，組織將需要合規(guī)性控制。

所需數(shù)據(jù)安全性的有效性應該是可驗證的。

基于云計算的控制至少應該與內部部署控制一樣強大。

云計算提供商應具備物理安全性，以確保不法分子無法訪問其設備。

為了讓客戶放心，云計算提供商提供IT和安全專業(yè)人員可以使用的管理控制臺，以確保：

他們的數(shù)據(jù)和托管數(shù)據(jù)的云計算環(huán)境是安全的。

他們對當前的安全狀況有最新的了解。

他們及時收到有關情況和值得注意的事件的通知。

他們可以確定問題的根本原因并加以糾正。

鑒于數(shù)據(jù)量的快速增長，技術創(chuàng)新的加速發(fā)展以及不斷出現(xiàn)的黑帽策略，依靠云計算的安全性是一個合理的選擇。這是因為，如果管理得當，它可以提供比內部部署數(shù)據(jù)中心更大的彈性和安全性。但要實現(xiàn)這一點，云計算安全管理和安全管理應該協(xié)調一致。

雖然云計算安全性很復雜，但以上三個準則提供了一個堅實的起點。

云計算中的安全問題

如上所述，云計算可能比本地數(shù)據(jù)中心更安全，但本質上并不一定如此。其差異取決于企業(yè)自身的安全實踐。例如，完全有可能以導致安全漏洞的方式錯誤配置云中的虛擬資產(chǎn)，即使該公司訂閱了云安全選項。這就是IT和安全團隊應該對云計算挑戰(zhàn)有深刻理解的原因。

與傳統(tǒng)網(wǎng)絡環(huán)境不同，傳統(tǒng)網(wǎng)絡環(huán)境試圖使用防火墻等外圍防御來保護公司，云計算環(huán)境本質上與第三方環(huán)境相連，第三方環(huán)境可能包括受損的應用程序編程接口(API)和未正確設置和管理的訪問控制。

此外，不同類型的云計算環(huán)境也代表著獨特的挑戰(zhàn)。例如：

私有云

私有云通常駐留在數(shù)據(jù)中心內，因此企業(yè)擁有并管理所有硬件和軟件。數(shù)據(jù)中心安全性中已存在的安全實踐中的弱點都可能轉移到私有云。管理員必須了解云計算和內部部署軟件之間的區(qū)別：內部部署軟件是企業(yè)自己管理的，而云計算軟件則由其他公司管理。然而，任何人都不能忘記它，兩者都必須得到管理。

公共云

公共云具有多租戶架構，這意味著企業(yè)可以與其他人共享計算或存儲資源。當然，云計算提供商已設置虛擬障礙，將企業(yè)的云計算環(huán)境與其他客戶的環(huán)境分開。仍然可能存在數(shù)據(jù)損壞的情況。

此外，云計算提供商的使用條款要求用戶在合同中同意不做任何可能對其他客戶產(chǎn)生負面影響的事情，但不是每個用戶都會始終遵守這一承諾。除了惡意行為者的可能性之外，其鄰近客戶可能會無意中做一些事情，從而導致諸如分布式拒絕服務(DDoS)攻擊等不良后果。

混合云

大多數(shù)組織都采用混合云，它涉及數(shù)據(jù)中心、公共云和/或私有云的某種組合。這里的風險是針對不同的環(huán)境采用不同的安全策略，實際上，這些策略具有三種難以管理和協(xié)調的不同安全策略。此外，工作人員有時會忘記在作為漏洞點的各種物理和虛擬資產(chǎn)之間存在連接點。

多云

大多數(shù)組織也采用多云策略，這往往意味著他們使用多種類型的公共云服務提供商。兩個最受歡迎的多云的選項是Amazon Web Services和Microsoft Azure。在這種情況下，應該完全理解每個提供的安全功能。

真正的云計算安全性要求在整個系統(tǒng)中集成云安全策略。

云安全架構

云安全架構會影響云計算安全的有效性。以下是一些可操作的安全管理技巧，可用于強化云計算環(huán)境。

預防

防止攻擊的最佳方法是需要持續(xù)：

識別漏洞。

根據(jù)攻擊嚴重程度、威脅情報和受攻擊影響的資產(chǎn)確定優(yōu)先級。

通過修補它們來修復優(yōu)先級漏洞。

不幸的是，大多數(shù)組織都沒有按照應有的方式持續(xù)管理安全漏洞。大多數(shù)組織也很難確定漏洞的優(yōu)先級，因為漏洞可能很多。

檢測

預防是最好的安全防御之一。組織應有適當?shù)臋z測控制措施，以確定問題并在必要時提醒安保人員。檢測控制傾向于與校正控制協(xié)同工作，校正控制可以是自動的、手動的，或兩者的組合，這取決于情況是由輕微錯誤、網(wǎng)絡攻擊還是其他類型的事件引起的。

安全措施

無論采取何種安全控制措施，都會發(fā)生安全事件。在它們發(fā)生之前，應該有適當?shù)募m正控制措施，以盡量減少居心不良的人可能造成的傷害。例如，如果黑客獲得對數(shù)據(jù)庫或敏感文件的訪問權限，接下來會發(fā)生什么如果數(shù)據(jù)被銷毀，是否有適當?shù)臑碾y恢復選項

云計算安全軟件和服務

以下是企業(yè)應考慮的一些云計算安全軟件和服務選項：

IaaS或PaaS云安全選項-這些是附加服務，為企業(yè)提供比基本云計算選項更廣泛的安全選項。

身份和訪問管理(IAM)-這些工具確保只有授權方才能訪問數(shù)據(jù)和計算資源。

物理安全 - 除數(shù)字安全外，IaaS/PaaS提供商還應擁有物理安全性(例如門鎖、檢查點)，以確保其IT資產(chǎn)保持安全。

加密-加密靜止和運動中的數(shù)據(jù)。

滲透測試-外部顧問被聘為“白帽”，以闖入企業(yè)的系統(tǒng)，目的是識別弱點。

合規(guī)控制-確保遵守HIPPA、GDPR等法規(guī)。