隨著數(shù)字化轉(zhuǎn)型的逐漸深入，大部分企業(yè)紛紛開(kāi)啟了自己上云進(jìn)程。然而在上云的過(guò)程中，“如何在公有云環(huán)境下有效保證企業(yè)數(shù)據(jù)及業(yè)務(wù)安全”成了困擾企業(yè)的難題。大部分企業(yè)不能做到全面安全，只能是哪里告急補(bǔ)哪里，補(bǔ)來(lái)補(bǔ)去心里沒(méi)底。

針對(duì)以上難題，新網(wǎng)云為企業(yè)準(zhǔn)備了“安全上云”攻略秘籍，助力企業(yè)全面的提升公有云安全管理能力。
一、云安全的主要挑戰(zhàn)
1、身份和訪問(wèn)
云系統(tǒng)默認(rèn)不安全，員工很容易在云上創(chuàng)建資源而無(wú)人看管。所有云提供商都提供強(qiáng)大的身份和訪問(wèn)管理 (IAM) 功能，但應(yīng)由組織來(lái)正確設(shè)置它們并將它們一致地應(yīng)用于所有工作負(fù)載。
2、不安全的 API
云中的一切都有一個(gè) API，這既強(qiáng)大又極其危險(xiǎn)。未充分保護(hù)或使用弱身份驗(yàn)證的 API 可能允許攻擊者訪問(wèn)和控制整個(gè)環(huán)境。API 是通向云的前門(mén)，它通常是敞開(kāi)的。
3、錯(cuò)誤配置
云環(huán)境有大量移動(dòng)部件，包括計(jì)算實(shí)例、存儲(chǔ)桶、數(shù)據(jù)庫(kù)、容器和無(wú)服務(wù)器功能。其中大部分都是短暫的，每天都有新實(shí)例啟動(dòng)和關(guān)閉。這些資源中的任何一個(gè)都可能被錯(cuò)誤配置，從而允許攻擊者通過(guò)公共網(wǎng)絡(luò)訪問(wèn)它們、泄露數(shù)據(jù)并對(duì)關(guān)鍵系統(tǒng)造成損害。
4、合規(guī)風(fēng)險(xiǎn)

組織必須確保云提供商支持所有相關(guān)的合規(guī)要求，并了解可以使用哪些控制和服務(wù)來(lái)滿足合規(guī)義務(wù)。
二、構(gòu)建云安全架構(gòu)的技巧
新網(wǎng)云提供了包括物理安全，硬件安全，虛擬化安全，云產(chǎn)品安全等4個(gè)云平臺(tái)層面的安全架構(gòu)保障；以及賬戶(hù)安全，主機(jī)安全，應(yīng)用安全，網(wǎng)絡(luò)安全，數(shù)據(jù)安全，安全運(yùn)營(yíng)，業(yè)務(wù)安全等7個(gè)云用戶(hù)層面的安全架構(gòu)保障，真真是將安全武裝到了“牙齒”。企業(yè)可以根據(jù)這份指南搭建一個(gè)更簡(jiǎn)單、更智能的安全架構(gòu)，確保生產(chǎn)效率，創(chuàng)造更多的價(jià)值。
1、進(jìn)行盡職調(diào)查
在遷移到云提供商或?qū)⒃撇渴饠U(kuò)展到其他云提供商之前，組織應(yīng)仔細(xì)調(diào)查整個(gè)云提供商的安全性和彈性屬性以及他們打算使用的特定服務(wù)。
2、確定哪些數(shù)據(jù)最敏感
對(duì)于大多數(shù)組織而言，對(duì)所有數(shù)據(jù)應(yīng)用嚴(yán)格的安全措施是不可行的。某些數(shù)據(jù)可能仍然不安全，但必須確定需要保護(hù)哪些數(shù)據(jù)類(lèi)別以防止違規(guī)和違反合規(guī)性。
可以使用數(shù)據(jù)檢測(cè)和分類(lèi)了解需要保護(hù)的內(nèi)容至關(guān)重要，這通常是使用自動(dòng)數(shù)據(jù)分類(lèi)引擎來(lái)實(shí)現(xiàn)的。這些工具旨在跨網(wǎng)絡(luò)、端點(diǎn)、數(shù)據(jù)庫(kù)和云查找敏感內(nèi)容，使組織能夠識(shí)別敏感數(shù)據(jù)并建立必要的安全控制。
3、防止影子IT
僅僅因?yàn)榻M織擁有企業(yè)云安全策略并不意味著員工會(huì)遵守它。在使用常見(jiàn)的云服務(wù)之前，員工很少咨詢(xún) IT 部門(mén)。組織的Web代理，防火墻和SIEM日志是衡量員工對(duì)云的影子使用情況的良好資源，它可以提供有關(guān)正在使用哪些服務(wù)以及由哪些員工使用的全面視圖。在發(fā)現(xiàn)影子云使用情況時(shí)，可以根據(jù)服務(wù)帶來(lái)的風(fēng)險(xiǎn)評(píng)估服務(wù)的附加價(jià)值。
4、保護(hù)云端點(diǎn)
許多組織正在部署具有多層保護(hù)的端點(diǎn)保護(hù)平臺(tái)，包括端點(diǎn)檢測(cè)和響應(yīng)(EDR)，下一代防病毒(NGAV)以及用戶(hù)和實(shí)體行為分析(UEBA)。
端點(diǎn)保護(hù)在云中更為重要，在云中端點(diǎn)是計(jì)算實(shí)例、存儲(chǔ)卷和存儲(chǔ)桶以及 Amazon RDS 等托管服務(wù)。云部署有大量端點(diǎn)，它們的變化比本地更頻繁，因此需要更高級(jí)別的可見(jiàn)性。端點(diǎn)保護(hù)工具可以幫助組織控制其云工作負(fù)載并保護(hù)其安全狀況中最薄弱的環(huán)節(jié)。
總之，構(gòu)建云安全架構(gòu)并非易事，組織需要為云環(huán)境解決安全策略、相關(guān)合規(guī)標(biāo)準(zhǔn)和安全最佳實(shí)踐，同時(shí)應(yīng)對(duì)云基礎(chǔ)架構(gòu)的高度復(fù)雜性和動(dòng)態(tài)性。
新網(wǎng)云是行業(yè)領(lǐng)先的云計(jì)算信息技術(shù)服務(wù)企業(yè)。具有豐富的云服務(wù)經(jīng)驗(yàn)，具有較強(qiáng)的自主研發(fā)能力。自成立以來(lái)，累計(jì)服務(wù)云用戶(hù)上萬(wàn)，行業(yè)包括政府、能源、醫(yī)療、教育、制造業(yè)、電商、物聯(lián)網(wǎng)、文化傳媒、游戲等,為企業(yè)提供上云、用云、管云一站式全生命周期服務(wù)。http://www.xinnet.com/cs/cs.html