搜索讓世界變的簡單

基于云的基礎(chǔ)架構(gòu)通常比內(nèi)部托管系統(tǒng)更便宜、更靈活且更具可擴展性。因此，越來越多的組織正在將敏感數(shù)據(jù)和應(yīng)用程序遷移到基于云的部署中。

然而，關(guān)于云的前景并不完全樂觀。雖然許多組織全心全意地采用云計算，但很少有人采用良好的云安全實踐。許多組織對待基于云的環(huán)境的方式與處理本地部署的方式相同。

事實上，云安全與本地安全有很大不同。一個組織的安全團隊對其所使用的基礎(chǔ)設(shè)施的控制級別非常不同，因此，保護??它的責任也不同。

許多組織未能理解安全的云共享責任模型及其云服務(wù)提供商 (CSP) 提供的控制和配置設(shè)置。結(jié)果，他們未能正確配置這些設(shè)置，使敏感數(shù)據(jù)容易受到攻擊。

云共享責任模型

云是一個與許多組織習慣的本地部署截然不同的環(huán)境。最大的區(qū)別之一是云共享責任模型的概念。在本地部署中，組織的安全團隊擁有其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的每一部分。理論上，該團隊可以完全了解和控制一切——從服務(wù)器機房中的物理硬件到在該硬件上運行的頂級應(yīng)用程序。這意味著他們還負有保護其網(wǎng)絡(luò)環(huán)境的全部責任。

根據(jù)他們租用的云服務(wù)的詳細信息，他們的基礎(chǔ)設(shè)施堆棧的或多或少的部分實際上由他們的 CSP 擁有和控制。隨著所有權(quán)的喪失，客戶的安全團隊也失去了可見性和控制權(quán)。

在云中，CSP 和客戶共同承擔安全責任?；A(chǔ)架構(gòu)堆棧的某些級別完全在 CSP 的控制之下，他們負責保護這些級別。其他由客戶控制，由客戶全權(quán)負責。在這兩個部分相遇的地方，CSP 及其客戶通常共同承擔責任。

在許多情況下，CSP 為其客戶提供安全控制和配置設(shè)置，他們可以使用這些設(shè)置來保護他們負責的云部署部分。未能理解共擔責任模型（事實上，他們的云安全的某些方面是他們自己的責任），以及未能正確配置這些提供的安全控制，導致許多組織的敏感信息容易受到威脅。

云安全配置錯誤的威脅

正確配置云安全設(shè)置需要了解設(shè)置、它們的工作原理以及如何將它們映射到組織的總體安全策略。由于97% 的組織都采用了多云策略，這可能比聽起來更難。

正確保護云需要清楚地了解云共享責任模型，但只有 27% 的安全專業(yè)人員認為該模型非常清晰。因此，大多數(shù)安全團隊在運作時對云安全的哪些方面是他們的責任，哪些是 CSP 的工作沒有充分的了解。

一旦安全團隊清楚地了解了他們在保護云中的責任，他們就需要確定并適當配置其 CSP 提供的安全控制。在多云環(huán)境中，所有環(huán)境都有自己的安全控制和配置設(shè)置集合，這可能是一項復雜的任務(wù)。

未能安全地配置云部署使得敏感信息很容易泄露。云被設(shè)計為可以從任何地方輕松訪問，并且位于許多組織部署大量網(wǎng)絡(luò)安全威脅檢測和數(shù)據(jù)保護解決方案的網(wǎng)絡(luò)邊界之外。因此，許多組織因云安全控制的錯誤配置而遭受數(shù)據(jù)泄露也就不足為奇了——而且在接到道德黑客的通知之前，他們往往不知道這一事實。

保護云部署

內(nèi)部部署和云部署之間的差異會影響云中各種安全解決方案的有效性。許多為本地部署設(shè)計的安全解決方案在遷移到云部署時會失去部分或全部有效性。保護云計算需要專門針對云開發(fā)和實施安全策略和策略。雖然這些應(yīng)該與組織的整體安全策略并行并符合，但它們的實施細節(jié)需要特定于云。組織需要旨在提供云部署可見性和控制的安全解決方案，尤其是 CSP 提供的安全配置和控制。