Trace Id is missing
跳转至主内容
Microsoft 安全

什么是云安全?

详细了解可帮助你保护基于云的系统和数据的技术、程序、策略和控制措施。

云安全的定义

云安全是云服务提供商及其客户之间的共同责任。问责制因提供的服务类型而异:

公有云环境
由云服务提供商运行。在此环境中,服务器由多个租户共享。

私有云环境
可以位于客户拥有的数据中心或由公有云服务提供商运行。在这两种情况下,服务器都是单租户,组织不必与其他公司共享空间。

混合云环境
是本地数据中心和第三方云的组合。

多云环境
包括由不同云服务提供商运营的两个或多个云服务。

无论组织使用哪种类型的环境或环境组合,云安全都旨在保护物理网络,包括路由器和电气系统、数据、数据存储、数据服务器、应用程序、软件、操作系统和硬件。

为什么云安全很重要?

云已成为在线生活不可或缺的一部分。它使数字通信和工作更加便捷,推动了组织的迅速革新。但当朋友分享照片、同事合作开发新产品或政府​​提供在线服务时,数据本身的存储位置并不总是很清楚。人们可能会无意中将数据移动到不太安全的位置,并且由于一切内容都可通过 Internet 访问,因此资产面临未经授权访问的风险更大。

个人和政府也越来越重视数据隐私。根据《一般数据保护条例》(General Data Protection Regulation, GDPR) 和 Health Insurance Portability and Accountability Act (HIPAA) 等法规要求,组织必须以透明方式收集信息并制定有助于防止数据被盗或滥用的策略。不遵守可能会导致高额罚款和名誉受损。

为了保持竞争力,组织必须继续使用云进行快速迭代,让员工和客户能够轻松访问服务,同时保护数据和系统免受以下威胁:

  • 被攻击的帐户: 攻击者通常使用 钓鱼 活动来窃取员工密码并获得对系统和公司重要资产的访问权限。
  • 硬件和软件漏洞:无论组织使用公有云还是私有云,硬件和软件都需要进行修补并保持最新状态,这一点至关重要。
  • 内部威胁: 人为错误是安全漏洞的主要驱动力。错误配置可能会为恶意攻击者制造机会,员工经常会单击一些不良链接或无意中将数据移动到安全性较低的位置。
  • 缺乏云资源可见性:这种云风险使得难以检测和响应安全漏洞和威胁,这可能导致违反和数据丢失。
  • 缺少风险优先级:安全管理员了解云资源后,用于改善安全状况的建议数量可能是巨大的。请务必设置风险优先级,这样管理员知道对安全性产生最大影响的关注点。
  • 高风险云权限:云服务和标识的激增导致高风险云权限数量增加,这会扩大可能的攻击面。权限蠕变指数 (PCI) 指标衡量标识基于其权限可能导致的破坏程度。
  • 新出现的威胁形势:云安全风险不断演变。为了防范安全漏洞和数据丢失,请务必在新威胁出现时保持与时俱进。
  • 缺少云原生开发和安全性之间的集成:安全和开发团队一起合作,在应用部署到云之前识别和解决代码问题,这很重要。

云安全的工作原理。

云安全是云服务提供商及其客户之间的共同责任。问责制因提供的服务类型而异:

基础结构即服务
在此模型中,云服务提供商按需提供计算、网络和存储资源。提供商负责保护核心计算服务。客户必须保护操作系统之上的所有内容,包括应用程序、数据、运行时、中间件和操作系统本身。

平台即服务
许多提供商还在云中提供完整的开发和部署环境。除核心计算服务之外,他们还负责保护运行时、中间件和操作系统。客户必须保护他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。

软件即服务
组织还可访问即用即付模型上的软件,例如 Microsoft Office 365 或 Google 云端硬盘。在此模型中,客户仍然需要为其数据、用户和设备提供安全保障。

无论谁负责, 云安全都有四个主要方面:

  • 限制访问:由于云使一切都可通过 Internet 访问,因此确保只有合适的人才能在合适的时间内访问合适的工具非常重要。
  • 保护数据:组织需要了解其数据所在的位置,并采取适当的控制措施来保护数据本身和托管数据的基础结构。
  • 数据恢复:制定一个好的备份解决方案和数据恢复计划至关重要,以防出现漏洞。
  • 响应计划:当一个组织受到攻击时,他们需要一个计划来减少影响并防止其他系统受到损害。
  • 将安全性左移:安全和开发团队一起合作,将安全性嵌入代码本身,这样云原生应用程序从一开始就是安全的,并一直保持安全性。
  • 统一 DevOps 安全状况的可见性:通过使用单一管理平台来跨 DevOps 平台显示 DevOps 安全态势见解,从而最大限度地减少盲点。
  • 让安全团队关注新出现的威胁:强化代码中的云资源配置,以减少影响生产环境的安全问题。

云安全工具的类型

云安全工具可解决来自员工和外部威胁的漏洞。它们还有助于减少开发过程中发生的错误,并降低未经授权的人员访问敏感数据的风险。

  • 云安全态势管理

    云中的错误配置经常发生,这为攻击制造了机会。许多此类错误的发生是因为人们不了解客户应负责配置云和保护应用程序。环境复杂的大公司也很容易犯错。

    云安全态势管理解决方案通过不断寻找可能导致违规的配置错误来帮助降低风险。通过实现流程自动化,这些解决方案降低了手动流程中出错的风险,并提高了对具有数千个服务和帐户的环境的可见性。 一旦检测到漏洞,开发人员就可通过指导性建议来纠正问题。 云安全态势管理会持续监视环境中的恶意活动或未经授权的访问。

  • 云工作负载保护平台

    由于组织已经制定了帮助开发人员更快地构建和部署功能的流程,因此在开发过程中遗漏安全检查的风险更大。云工作负载保护平台有助于保护云中应用程序所需的计算、存储和网络功能。它的工作原理是:识别公有云、私有云和混合云环境中的工作负载,然后扫描它们是否存在漏洞。如果发现漏洞,解决方案将提供修复它们的建议控制措施。

  • 云访问安全代理

    由于查找和访问云服务非常容易,因此 IT 团队很难掌握组织中使用的所有软件。

    云访问安全代理 (CASB)  可帮助 IT 了解云应用的使用情况,并对每个应用进行风险评估。这些解决方案还通过显示数据如何在云中移动的工具来帮助保护数据并满足合规性目标。组织还可使用这些工具来检测异常用户行为并解决威胁。

  • 身份验证和访问控制

    控制谁有权访问资源对于保护云中的数据至关重要。组织必须能够确保员工、承包商和业务合作伙伴都具有正确的访问权限,无论他们是在现场还是在远程工作。

    组织使用身份验证和访问控制解决方案来验证身份、限制对敏感资源的访问以及实施多重身份验证和最低特权策略。

  • 云基础结构权利管理

    当人们跨多个云访问数据时,身份验证和访问控制管理 会变得更加复杂。云基础结构权利管理解决方案可帮助公司了解哪些身份正在跨其云平台访问哪些资源。IT 团队还使用这些产品来应用最低特权访问和其他安全策略。

  • 云原生应用程序保护平台

    综合的云原生应用程序保护平台 (CNAPP) 可帮助安全团队将安全性从代码嵌入到云。CNAPP 统一合规性和安全性功能,以防范、检测和响应多云和混合环境中的从开发到运行时的云安全威胁。

  • 统一的 DevOps 安全性管理

    统一 DevOps 的安全管理,有助于从一开始就保护云应用程序。为安全团队赋能,统一、加强和管理多管道安全性、将安全性左移以将安全性嵌入代码本身,并支持单个控制台中的代码到云保护。

云安全面临哪些挑战?

云的互联性使在线工作和交互变得很容易,但也带来了安全风险。安全团队需要解决方案来帮助他们应对云中的以下关键挑战:

缺乏对数据的可见性
为了保持组织的生产力,IT 需要让员工、业务合作伙伴和承包商能够访问公司资产和信息。这些人中有许多人都是远程工作或在公司网络之外工作,而在大型企业中,授权用户的名单是不断变化的。由于有这么多人使用多种设备访问各种公有云和私有云中的公司资源,因此很难监视正在使用哪些服务以及数据是如何在云中移动的。技术团队需要确保数据不会转移到安全性较低的存储解决方案中,并且他们需要防止错误的人访问敏感信息。

复杂环境
云使部署基础结构和应用变得更加容易。有这么多不同的提供商和服务,IT 团队可以选择最适合每种产品和服务要求的环境。这就导致了跨本地、公有云和私有云的复杂环境。混合的多云环境需要能够在整个生态系统中运行并保护从不同位置访问不同资产的人员的安全解决方案。配置错误的可能性更大,并且可能更难对在这些复杂环境中横向移动的威胁进行监视。

快速创新
组织能够快速创新和部署新产品与多种因素有关。人工智能、机器学习和物联网技术使企业能够更有效地收集和使用数据。云服务提供商提供低代码和无代码服务,使公司更容易使用先进技术。DevOps 流程缩短了开发周期。由于更多基础结构托管在云中,许多组织对用于研发的资源进行了重新分配。快速创新的缺点是,技术变化如此之快,以至于经常跳过或忽视掉安全标准。

合规性与治理
尽管大多数主要云服务提供商都遵守多个知名的合规认证计划,但云客户仍有责任确保其工作负载符合政府和内部标准。

内部威胁
 IT 和安全团队保护其组织免受可能使用经过授权的访问权限(有意或无意)导致损害的员工的威胁,这一点很重要。内部威胁包括可能导致潜在安全事件的人为错误,例如员工在响应电子邮件钓鱼活动后意外安装恶意软件。其他类型的威胁是由于恶意内部人员故意导致损害,例如采用单独行动或与网络犯罪组织合作的方式进行盗用或诈骗。内部风险比外部威胁更难检测,因为内部人员已拥有对组织资产的访问权限,并且熟悉公司的安全措施。

实现云安全

通过正确组合流程、控制和技术,可以降低针对你的云环境的网络攻击风险。

云原生应用平台包含云工作负载保护平台、云基础结构权利管理和云安全态势管理,它将有助于你减少错误、增强安全性并有效管理访问。 

为了支持你的技术投资,定期进行培训,以帮助员工识别网络钓鱼活动和其他社会工程技术。确保员工在怀疑收到恶意电子邮件时可以轻松通知 IT。运行网络钓鱼模拟以监视程序的有效性。

制定可帮助预防、检测和应对攻击的流程。定期修补软件和硬件以减少漏洞。对敏感数据进行加密并制定强密码策略,以降低帐户被盗的风险。 多重身份验证 使得未获得授权的用户难以获得访问权限, 无密码 技术比传统密码更易用、更安全。

采用可使员工灵活地在办公室工作和远程工作的混合工作模式,组织需要能随时随地保护人员、设备、应用和数据的新安全模式。 零信任框架 的首要原则是不再信任访问请求,即使该请求来自内部网络。假设你已曝露并明确验证所有访问请求以减轻风险。采用最小特权访问,只允许用户访问他们需要的资源,其他资源禁止访问。

云安全解决方案

尽管云引入了新的安全风险,但正确的云安全解决方案、流程和策略可帮助你显著降低风险。从以下步骤着手:

  • 识别组织中使用的所有云服务提供商,并熟悉他们在安全和隐私方面的责任。
  • 投资于云访问安全代理等工具,以了解组织使用的应用和数据。
  • 部署云安全态势管理以帮助识别和修复配置错误。
  • 实现云工作负载保护平台,以增强开发过程中的安全性。
  • 定期修补软件并制定策略,使员工设备保持最新状态。
  • 制定培训计划,确保员工了解最新的威胁和网络钓鱼手段。
  • 实现零信任安全策略并使用身份验证和访问控制管理来管理和保护访问。
  • 在 DevOps 管道中,将安全性左移,将安全性嵌入代码本身,这样云原生应用程序从一开始就是安全的,并一直保持安全性。

详细了解 Microsoft 安全

Microsoft Defender for Cloud

监控并帮助保护多云和混合环境中的工作负载。

了解详细信息

Microsoft Defender for Cloud Apps

借助领先的 CASB,深入了解并控制云应用。

了解详细信息

Microsoft Defender for DevOps

获得跨多云和多管道环境的统一 DevOps 安全管理。

了解详细信息

Microsoft Entra 权限管理

发现、修正和监视多云基础结构中的权限风险。

了解详细信息

Microsoft Defender 外部攻击面管理

了解防火墙内外的安全状况。

了解详细信息

常见问题解答

  • 云安全是云服务提供商及其客户之间的共同责任。问责制因提供的服务类型而异:

    基础结构即服务。在此模型中,云服务提供商按需提供计算、网络和存储资源。提供商负责核心计算服务的安全性。客户必须保护操作系统以及之上的所有内容,包括应用程序、数据、运行时和中间件。

    平台即服务。许多提供商还在云中提供完整的开发和部署环境。除核心计算服务之外,他们还负责保护运行时、中间件和操作系统。客户必须保护他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。

    软件即服务。组织还可访问即用即付模型上的软件,例如 Microsoft Office 365 或 Google 云端硬盘。在此模型中,客户仍然需要为其数据、用户和设备提供安全保障。

     

  • 四种工具可帮助公司保护其在云中的资源:

    • 云工作负载保护平台有助于保护云中应用程序所需的计算、存储和网络功能。它的工作原理是:识别公有云、私有云和混合云环境中的工作负载,然后扫描它们是否存在漏洞。如果发现漏洞,解决方案将提供修复问题的建议控制措施。
    • Cloud App Security 代理可帮助 IT 团队了解云应用的使用情况,并对每个应用进行风险评估。这些解决方案还通过显示数据如何在云中移动的工具来帮助保护数据并满足合规性目标。组织还可使用 Cloud App Security 代理来检测异常用户行为并解决威胁。
    • 云安全态势管理解决方案通过不断寻找可能导致违规的配置错误来帮助降低风险。通过实现流程自动化,这些解决方案降低了手动流程中出错的风险,并提高了对具有数千个服务和帐户的环境的可见性。一旦检测到漏洞,这些解决方案就会提供指导性建议,帮助开发人员纠正问题。
    • 身份验证和访问控制管理解决方案提供用于管理身份和应用访问策略的工具。组织可使用这些解决方案来限制对敏感资源的访问,并强制执行多重身份验证和最低特权访问。
    • 云原生应用程序保护平台 (CNAPP) 可帮助安全团队将安全性从代码嵌入到云。CNAPP 统一合规性和安全性功能,以防范、检测和响应从开发到运行时的云安全威胁。
    • 统一的 DevOps 安全管理为安全团队赋能,统一、加强和管理多管道安全性、将安全性左移以将安全性嵌入代码本身,并支持单个控制台中的代码到云保护。

  • 在制定程序和策略以保护云时,组织需要考虑四个方面:

    • 限制访问:由于云使一切都可通过 Internet 访问,因此确保只有合适的人才能在合适的时间内访问合适的工具非常重要。
    • 保护数据:组织需要了解其数据所在的位置,并采取适当的控制措施来保护托管数据的基础结构和数据本身。
    • 数据恢复:制定一个好的备份解决方案和数据恢复计划至关重要,以防出现漏洞。
    • 响应计划:当一个组织受到攻击时,他们需要一个计划来减少影响并防止其他系统受到损害。
    • 将安全性左移:安全和开发团队一起合作,将安全性嵌入代码本身,这样云原生应用程序从一开始就是安全的,并一直保持安全性。
    • 统一 DevOps 安全状况的可见性:通过使用单一管理平台来跨 DevOps 平台显示 DevOps 安全态势见解,从而最大限度地减少盲点。
    • 让安全团队关注新出现的威胁:强化代码中的云资源配置,以减少影响生产环境的安全问题。

  • 组织需要注意以下云风险:

    • 帐户被盗用:攻击者经常使用网络钓鱼活动来窃取员工密码并获得对系统和公司重要资产的访问权限。
    • 硬件和软件漏洞:无论组织使用公有云还是私有云,硬件和软件都需要进行修补并保持最新状态,这一点至关重要。
    • Internal 威胁:人为错误是安全漏洞的主要驱动力。错误配置可能会为恶意攻击者制造机会。员工经常会单击一些不良链接或无意中将数据移动到安全性较低的位置。
    • 缺乏云资源可见性:这种云风险使得难以检测和响应安全漏洞和威胁,这可能导致违反和数据丢失。
    • 缺少风险优先级:安全管理员了解云资源后,用于改善安全状况的建议数量可能是巨大的。请务必设置风险优先级,这样管理员知道对安全性产生最大影响的关注点。
    • 高风险云权限:云服务和标识的激增导致高风险云权限数量增加,这会扩大可能的攻击面。权限蠕变指数 (PCI) 指标衡量标识基于其权限可能导致的破坏程度。
    • 新出现的威胁形势:云安全风险不断演变。为了防范安全漏洞和数据丢失,请务必在新威胁出现时保持与时俱进。
    • 缺少云原生开发和安全性之间的集成:安全和开发团队一起合作,在应用部署到云之前识别和解决代码问题,这很重要。

  • 云安全是旨在保护基于云的系统和数据的技术、程序、策略和控制措施。云安全的一些示例包括:

    • 云访问安全代理等工具,用于了解组织使用的应用和数据。
    • 云安全态势管理,用于帮助识别和修复配置错误。
    • 用于帮助安全和开发团队一起合作将安全性嵌入到代码本身的工具。
    • 云工作负载保护平台,用于增强开发过程中的安全性。
    • 实施策略,帮助员工设备保持最新状态,包括定期修补软件。
    • 制定培训计划,确保员工了解最新的威胁和网络钓鱼手段。

  • 通过保护云系统和数据免受内部和外部威胁,云安全可降低网络攻击风险。云安全还通过控制谁有权访问资源支持混合工作模式,无论员工、承包商和业务合作伙伴是在现场还是远程工作,都是如此。另一个好处是云安全可加强数据隐私并帮助组织遵守 GDPR 和 HIPAA 等法规。不遵守这些法规可能会导致高额罚款和名誉受损。

  • 云安全最佳做法涵盖组织的技术、流程和控制措施,包括:

    • 确保你的云原生应用平台包含云工作负载保护平台、云基础结构权利管理和云安全态势管理,以帮助你减少错误、增强安全性并有效管理访问。
    • 定期进行培训,以帮助员工识别网络钓鱼活动和其他社会工程技术。此外,实施可帮助你防范、检测和应对攻击的流程,包括加密敏感数据、定期修补软件和硬件以及制定强密码策略。
    • 采用零信任框架,明确验证所有访问请求。这包括采用最小特权访问,只允许用户访问他们需要的资源,其他资源禁止访问。
    • 通过在 DevOps 管道中将安全性左移,支持安全和开发团队一起合作,将安全性嵌入代码本身,这样云原生应用程序从一开始就是安全的,并一直保持安全性。

关注 Microsoft 安全