什么是云安全?

详细了解可帮助你保护基于云的系统和数据的技术、程序、策略和控制措施。

云安全的定义

云安全是一门网络安全学科,侧重于保护云系统和数据免受内部和外部威胁,包括帮助公司防止未经授权的访问和数据泄露的最佳做法、策略和技术。制定云安全策略时,公司必须考虑四种类型的云计算环境:

 

公有云环境

由云服务提供商运行。在此环境中,服务器由多个租户共享。

 

私有云环境

可以位于客户拥有的数据中心或由公有云服务提供商运行。在这两种情况下,服务器都是单租户,组织不必与其他公司共享空间。

 

混合云环境

是本地数据中心和第三方云的组合。

 

多云环境

包括由不同云服务提供商运营的两个或多个云服务。

 

无论组织使用哪种类型的环境或环境组合,云安全都旨在保护物理网络,包括路由器和电气系统、数据、数据存储、数据服务器、应用程序、软件、操作系统和硬件。

为什么云安全很重要?

云已成为在线生活不可或缺的一部分。它使数字通信和工作更加便捷,推动了组织的迅速革新。但当朋友分享照片、同事合作开发新产品或政府​​提供在线服务时,数据本身的存储位置并不总是很清楚。人们可能会无意中将数据移动到不太安全的位置,并且由于一切内容都可通过 Internet 访问,因此资产面临未经授权访问的风险更大。

 

个人和政府也越来越重视数据隐私。根据《一般数据保护条例》(General Data Protection Regulation, GDPR) 和 Health Insurance Portability and Accountability Act (HIPAA) 等法规要求,组织必须以透明方式收集信息并制定有助于防止数据被盗或滥用的策略。不遵守可能会导致高额罚款和名誉受损。

 

为了保持竞争力,组织必须继续使用云进行快速迭代,让员工和客户能够轻松访问服务,同时保护数据和系统免受以下威胁:

  • 帐户被盗用:攻击者经常使用网络钓鱼活动来窃取员工密码并获得对系统和公司重要资产的访问权限。
  • 硬件和软件漏洞:无论组织使用公有云还是私有云,硬件和软件都需要进行修补并保持最新状态,这一点至关重要。
  • Internal 威胁:人为错误是安全漏洞的主要驱动力。错误配置可能会为恶意攻击者制造机会,员工经常会单击一些不良链接或无意中将数据移动到安全性较低的位置。

云安全的工作原理。

云安全是云服务提供商及其客户之间的共同责任。问责制因提供的服务类型而异:

 

基础结构即服务

在此模型中,云服务提供商按需提供计算、网络和存储资源。提供商负责保护核心计算服务。客户必须保护操作系统之上的所有内容,包括应用程序、数据、运行时、中间件和操作系统本身。

 

平台即服务

许多提供商还在云中提供完整的开发和部署环境。除核心计算服务之外,他们还负责保护运行时、中间件和操作系统。客户必须保护他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。

 

软件即服务

组织还可访问即用即付模型上的软件,例如 Microsoft Office 365 或 Google 云端硬盘。在此模型中,客户仍然需要为其数据、用户和设备提供安全保障。

 

无论谁负责,云安全都有四个主要方面:

  • 限制访问:由于云使一切都可通过 Internet 访问,因此确保只有合适的人才能在合适的时间内访问合适的工具非常重要。
  • 保护数据:组织需要了解其数据所在的位置,并采取适当的控制措施来保护数据本身和托管数据的基础结构。
  • 数据恢复:制定一个好的备份解决方案和数据恢复计划至关重要,以防出现漏洞。
  • 响应计划:当一个组织受到攻击时,他们需要一个计划来减少影响并防止其他系统受到损害。

云安全工具的类型

云安全工具可解决来自员工和外部威胁的漏洞。它们还有助于减少开发过程中发生的错误,并降低未经授权的人员访问敏感数据的风险。

  • 云安全态势管理

    云中的错误配置经常发生,这为攻击制造了机会。许多此类错误的发生是因为人们不了解客户应负责配置云和保护应用程序。环境复杂的大公司也很容易犯错。

     

    云安全态势管理解决方案通过不断寻找可能导致违规的配置错误来帮助降低风险。通过实现流程自动化,这些解决方案降低了手动流程中出错的风险,并提高了对具有数千个服务和帐户的环境的可见性。一旦检测到漏洞,开发人员就可通过指导性建议来纠正问题。云安全态势管理还会持续监视环境中的恶意活动或未经授权的访问。

  • 云工作负载保护平台

    由于组织已经制定了帮助开发人员更快地构建和部署功能的流程,因此在开发过程中遗漏安全检查的风险更大。云工作负载保护平台有助于保护云中应用程序所需的计算、存储和网络功能。它的工作原理是:识别公有云、私有云和混合云环境中的工作负载,然后扫描它们是否存在漏洞。如果发现漏洞,解决方案将提供修复它们的建议控制措施。

  • 云访问安全代理

    由于查找和访问云服务非常容易,因此 IT 很难掌握组织中使用的所有软件。

     

    云访问安全代理 (CASB) 有助于 IT 了解云应用的使用情况并对每个应用进行风险评估。这些解决方案还通过显示数据如何在云中移动的工具来帮助保护数据并满足合规性目标。组织还可使用这些工具来检测异常用户行为并解决威胁。

  • 身份验证和访问控制

    控制谁有权访问资源对于保护云中的数据至关重要。组织必须能够确保员工、承包商和业务合作伙伴都具有正确的访问权限,无论他们是在现场还是在远程工作。

     

    组织使用身份验证和访问控制解决方案来验证身份、限制对敏感资源的访问以及实施多重身份验证和最低特权策略。

  • 云基础结构权利管理

    当人们跨多个云访问数据时,身份验证和访问控制管理会变得更加复杂。云基础结构权利管理解决方案可帮助公司了解哪些身份正在跨其云平台访问哪些资源。IT 团队还使用这些产品来应用最低特权访问和其他安全策略。

云安全面临哪些挑战?

云的互联性使在线工作和交互变得很容易,但也带来了安全风险。安全团队需要解决方案来帮助他们应对云中的以下关键挑战:

  • 缺乏对数据的可见性

    为了保持组织的生产力,IT 需要让员工、业务合作伙伴和承包商能够访问公司资产和信息。这些人中有许多人都是远程工作或在公司网络之外工作,而在大型企业中,授权用户的名单是不断变化的。由于有这么多人使用多种设备访问各种公有云和私有云中的公司资源,因此很难监视正在使用哪些服务以及数据是如何在云中移动的。技术团队需要确保数据不会转移到安全性较低的存储解决方案中,并且他们需要防止错误的人访问敏感信息。

  • 复杂环境

    云使部署基础结构和应用变得更加容易。有这么多不同的提供商和服务,IT 可以选择最适合每种产品和服务要求的环境。这就导致了跨本地、公有云和私有云的复杂环境。混合的多云环境需要能够在整个生态系统中运行并保护从不同位置访问不同资产的人员的安全解决方案。配置错误的可能性更大,并且可能更难对在这些复杂环境中横向移动的威胁进行监视。

  • 快速创新

    组织能够快速创新和部署新产品与多种因素有关。人工智能、机器学习和物联网技术使企业能够更有效地收集和使用数据。云服务提供商提供低代码和无代码服务,使公司更容易使用先进技术。DevOps 流程缩短了开发周期。由于更多基础结构托管在云中,许多组织对用于研发的资源进行了重新分配。快速创新的缺点是,技术变化如此之快,以至于经常跳过或忽视掉安全标准。

  • 合规与治理

    尽管大多数主要云服务提供商都遵守多个知名的合规认证计划,但云客户仍有责任确保其工作负载符合政府和内部标准。

  • 内部威胁

    员工是公司最大的安全隐患之一。许多数据泄露都源于员工单击了某个用于下载恶意软件的链接。不幸的是,组织还需要注意有意泄露数据的内部人员。

实现云安全

通过正确组合流程、控制和技术,可以降低针对你的云环境的网络攻击风险。

 

云原生应用平台包含云工作负载保护平台、云基础结构权利管理和云安全态势管理,它将有助于你减少错误、增强安全性并有效管理访问。 

 

为了支持你的技术投资,定期进行培训,以帮助员工识别网络钓鱼活动和其他社会工程技术。确保员工在怀疑收到恶意电子邮件时可以轻松通知 IT。运行网络钓鱼模拟以监视程序的有效性。

 

制定可帮助预防、检测和应对攻击的流程。定期修补软件和硬件以减少漏洞。对敏感数据进行加密并制定强密码策略,以降低帐户被盗的风险。多重身份验证使未经授权的用户很难获得访问权限,而无密码技术比传统密码更易于使用且更安全。

 

采用可使员工灵活地在办公室工作和远程工作的混合工作模式,组织需要能随时随地保护人员、设备、应用和数据的新安全模式。零信任框架的首要原则是不再信任访问请求,即使该请求来自内部网络。假设你已曝露并明确验证所有访问请求以减轻风险。采用最小特权访问,只允许用户访问他们需要的资源,其他资源禁止访问。

云安全解决方案

尽管云引入了新的安全风险,但正确的云安全解决方案、流程和策略可帮助你显著降低风险。从以下步骤着手:

  • 识别组织中使用的所有云服务提供商,并熟悉他们在安全和隐私方面的责任。
  • 投资于云访问安全代理等工具,以了解组织使用的应用和数据。
  • 部署云安全态势管理以帮助识别和修复配置错误。
  • 实现云工作负载保护平台,以增强开发过程中的安全性。
  • 定期修补软件并制定策略,使员工设备保持最新状态。
  • 制定培训计划,确保员工了解最新的威胁和网络钓鱼手段。
  • 实现零信任安全策略并使用身份验证和访问控制管理来管理和保护访问。

详细了解 Microsoft 安全

Microsoft Defender for Cloud

监控并帮助保护多云和混合环境中的工作负载。

了解详细信息

Microsoft Defender for Cloud Apps

借助领先的 CASB,深入了解并控制云应用。

了解详细信息

GitHub Advanced Security

使用威胁建模、漏洞扫描和单元测试功能更快构建更安全的应用。

了解详细信息

Azure Active Directory

使用单一登录、多重身份验证和条件访问保护所有用户和数据。

了解详细信息

Microsoft Entra 权限管理

发现、修正和监视多云基础结构中的权限风险。

了解详细信息

RiskIQ

发现和评估整个企业(本地、Azure 和其他云)中的威胁。

了解详细信息

常见问题解答

|

云安全是云服务提供商及其客户之间的共同责任。问责制因提供的服务类型而异:

 

基础结构即服务。在此模型中,云服务提供商按需提供计算、网络和存储资源。提供商负责核心计算服务的安全性。客户必须保护操作系统之上的所有内容,包括应用程序、数据、运行时、中间件和操作系统本身。

 

平台即服务。许多提供商还在云中提供完整的开发和部署环境。除核心计算服务之外,他们还负责保护运行时、中间件和操作系统。客户必须保护他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。

 

软件即服务。组织还可访问即用即付模型上的软件,例如 Microsoft Office 365 或 Google 云端硬盘。在此模型中,客户仍然需要为其数据、用户和设备提供安全保障。

四种工具可帮助公司保护其在云中的资源:

  • 云工作负载保护平台有助于保护云中应用程序所需的计算、存储和网络功能。它的工作原理是:识别公有云、私有云和混合云环境中的工作负载,然后扫描它们是否存在漏洞。如果发现漏洞,解决方案将提供修复问题的建议控制措施。
  • Cloud App Security 代理可帮助 IT 了解云应用的使用情况,并对每个应用进行风险评估。这些解决方案还通过显示数据如何在云中移动的工具来帮助保护数据并满足合规性目标。组织还可使用 Cloud App Security 代理来检测异常用户行为并解决威胁。
  • 云安全态势管理解决方案通过不断寻找可能导致违规的配置错误来帮助降低风险。通过实现流程自动化,这些解决方案降低了手动流程中出错的风险,并提高了对具有数千个服务和帐户的环境的可见性。一旦检测到漏洞,这些解决方案就会提供指导性建议,帮助开发人员纠正问题。
  • 身份验证和访问控制管理解决方案提供用于管理身份和应用访问策略的工具。组织可使用这些解决方案来限制对敏感资源的访问,并强制执行多重身份验证和最低特权访问。

在制定程序和策略以保护云时,组织需要考虑四个方面:

  • 限制访问:由于云使一切都可通过 Internet 访问,因此确保只有合适的人才能在合适的时间内访问合适的工具非常重要。
  • 保护数据:组织需要了解其数据所在的位置,并采取适当的控制措施来保护托管数据的基础结构和数据本身。
  • 数据恢复:制定一个好的备份解决方案和数据恢复计划至关重要,以防出现漏洞。
  • 响应计划:当一个组织受到攻击时,他们需要一个计划来减少影响并防止其他系统受到损害。

组织需要注意以下云风险:

  • 帐户被盗用:攻击者经常使用网络钓鱼活动来窃取员工密码并获得对系统和公司重要资产的访问权限。
  • 硬件和软件漏洞:无论组织使用公有云还是私有云,硬件和软件都需要进行修补并保持最新状态,这一点至关重要。
  • Internal 威胁:人为错误是安全漏洞的主要驱动力。错误配置可能会为恶意攻击者制造机会。员工经常会单击一些不良链接或无意中将数据移动到安全性较低的位置。