0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

云计算怎么保证数据安全

电子工程师 来源:工程师曾玲 2019-05-02 14:51 次阅读

在过去的十年,云计算代表了企业IT中最具颠覆性的一种趋势,安全团队在转型过程中并没有摆脱“混乱”。对于安全专业的人员而言,他们感觉自己已经失去了对云计算的控制权,并且在试图处理云计算“混乱”以确保其免受威胁时而感到沮丧,这是可以理解的。

以下将了解云计算破坏安全性的方式,深入了解安全团队如何利用这些变化,并成功完成保证数据安全的关键任务。

1.云计算减轻了一些重大责任

企业在采用云计算技术时,可以摆脱获取和维护物理IT基础设施的负担,这意味着企业的安全部门不再对物理基础设施的安全负责。云计算的共享安全模型规定,例如AWS和Azure等云计算服务提供商(CSP)需要负责物理基础设施的安全性。用户自己负责安全使用云计算资源。然而,关于共享责任模型存在很多误解,这带来了风险。

2.在云中,开发人员自己做出基础设施决策

云计算资源可通过应用程序编程接口(API)按需提供。由于云计算是一种自助服务,开发人员可以快速采取行动,避开了传统的安全网关。当开发人员为其应用程序启动云计算环境时,他们正在配置其基础设施的安全性。但开发人员可能会犯一些错误,其中包括严重的云计算资源配置错误和违反法规遵从性策略。

3.开发人员不断改变基础设施配置

企业可以在云中比在数据中心更快地进行创新。持续集成和持续部署(CI/CD)意味着对云计算环境的持续更改。开发人员很容易更改基础设施配置,以执行诸如从实例获取日志或解决问题等任务。因此,即使他们在第一天的云计算基础设施的安全性是正确的,也许第二天可能会引入错误配置漏洞。

4.云计算是可编程的,可以实现自动化

由于可以通过API创建、修改和销毁云计算资源,开发人员已经放弃了基于Web的云计算“控制台”,并使用AWS CloudFormation和Hashicorp Terraform等基础设施代码工具对其云计算资源进行编程。可以预定义,按需部署大规模云平台环境,并以编程方式和自动化方式进行更新。这些基础设施配置文件包括关键资源的安全相关配置。

5.云中还有更多的基础设施需要保护

在某些方面,数据中心的安全性更容易管理。企业的网络、防火墙和服务器都在机架上运行,而云计算也以虚拟化形式存在。但云计算也提供了一系列新的基础设施资源,如无服务器和容器。在过去的几年中,仅AWS公司就推出了数百种新的服务。即使是熟悉的东西,如网络和防火墙,在云中也以不熟悉的方式运行。所有这些都需要新的和不同的安全姿势。

6.云中还有更多基础设施可以保护

组织需要更多的云计算基础设施资源来跟踪和保护,并且由于云计算的弹性,更多会随着时间而变化。在云中大规模运营的团队可能正在管理跨多个区域和帐户的数十个云平台环境,每个团队可能涉及数万个单独配置并可通过API访问的资源。这些资源相互作用,需要自己的身份和访问控制(IAM)权限。微服务架构使这个问题复杂化。

7.云计算安全性与配置错误有关

云计算运营完全与云计算资源配置有关,其中包括网络、安全组等安全敏感资源,以及数据库和对象存储的访问策略。如果企业不必运营和维护物理基础设施,安全重点将转移到云计算资源的配置上,以确保它们在第一天是正确的,并且它们在第二天及以后保持这种状态。

8. 云安全也与身份管理有关

在云中,许多服务通过API调用相互连接,要求对安全性进行身份管理,而不是基于IP的网络规则、防火墙等。例如,使用附加到lambda接受其服务标识的角色的策略来完成从lambda到S3存储桶的连接。身份和访问管理(IAM)以及类似的服务都是复杂的,其功能丰富。

9.对云计算的威胁的性质是不同的

糟糕的参与者使用代码和自动化来查找云计算环境中的漏洞并加以利用,自动化威胁将始终超过人工或半人工的安全防御。企业的云安全必须能够抵御当今的威胁,这意味着它们必须涵盖所有关键资源和策略,并在没有人工参与的情况下自动从这些资源的任何错误配置中恢复。这里的关键指标是关键云计算配置错误的平均修复时间(MTTR)。如果以小时、天、周来衡量,那么还有工作需要做。

10.数据中心安全性在云中不起作用

到目前为止,人们可能已经得出结论,在数据中心中工作的许多安全工具在云中没有多大用处。这并不意味着企业需要抛弃一直在使用的所有东西,但要知道哪些仍然适用,哪些已经过时。例如,应用程序安全性仍然很重要,但依靠跨度或点击来检查流量的网络监视工具不会因为云计算服务供应商不提供直接网络访问。企业需要填补的主要安全漏洞与云计算资源配置有关。

11.云中的安全性可以更容易、更有效

由于云计算是可编程的并且可以实现自动化,这意味着云中安全性可以比数据中心更容易、更有效。

监控配置错误和偏差的情况可以完全实现自动化,企业可以为关键资源使用自我修复基础设施来保护敏感数据。在配置或更新基础设施之前,企业可以运行自动化测试来验证作为代码的基础设施是否符合其企业安全策略,就像企业保护应用程序代码一样。这让开发人员可以更早地了解是否存在需要修复的问题,并最终帮助他们更快地行动,并不断创新。

12.在云中,合规性也可以更容易、更有效

这对合规性分析师也是好消息。传统的云计算环境人工审计的成本可能非常高昂,容易出错且耗时,而且在完成之前它们通常已经过时。由于云计算是可编程的,并且可以实现自动化,因此也可以进行合规性扫描和调查报告。现在可以在不投入大量时间和资源的情况下,自动执行合规性审计并定期生成报告。由于云计算环境变化如此频繁,超过一天的审计间隔可能太长。

从哪里开始使用云安全性

(1)了解开发人员正在做什么

他们使用的是什么云计算环境,他们如何通过帐户(即开发、测试、产品)分离问题?他们使用什么配置和持续集成和持续部署(CI/CD)工具?他们目前正在使用任何安全工具吗?这些问题的答案将帮助企业制定云计算安全路线图,并确定需要关注的理想领域。

(2)将合规性框架应用于现有环境

识别违规行为,然后与企业的开发人员合作以使其符合规定。如果企业不遵守HIPAA、GDPR、NIST 800-53或PCI等合规制度,则采用互联网安全中心(CIS)基准。像AWS和Azure这样的云计算提供商已经将其应用到他们的云平台,以帮助消除他们如何应用于企业正在做什么的猜测。

(3)确定关键资源并建立良好的配置基线

不要忽视关键细节。企业与开发人员合作,确定包含关键数据的云计算资源,并为他们建立安全的配置基线(以及网络和安全组等相关资源)。开始检测这些配置偏差,并考虑自动修复解决方案,以防止错误配置导致事故。

(4)帮助开发人员更安全地开展工作

通过与开发人员合作,在软件开发生命周期早期(SLDC)中加入安全性,实现“左移”。DevSecOps方法(例如开发期间的自动策略检查)通过消除缓慢的人工安全性和合规性流程来帮助保持创新的快速发展。

有效且具有弹性的云安全态势的关键是与企业的开发和运营团队密切合作,以使每个成员都在同一页面上并使用相同的语言沟通。而在云中,安全性不能作为独立功能运行。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 云计算
    +关注

    关注

    39

    文章

    7736

    浏览量

    137205
  • 数据安全
    +关注

    关注

    2

    文章

    677

    浏览量

    29924
收藏 人收藏

    评论

    相关推荐

    计算数据中心的关系

    设备,以及冗余的数据通信连接、环境控制设备、监控设备和各种安全装置。数据中心是全球协作的特定设备网络,基于互联网的相关服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。
    的头像 发表于 10-24 16:15 277次阅读

    边缘计算计算的区别

    边缘计算计算是两种不同的计算模式,它们在计算资源的分布、应用场景和特点上存在显著差异。以下是对两者的对比: 一、
    的头像 发表于 10-24 14:08 259次阅读

    计算对于远程办公的支持

    计算技术对于远程办公的支持是多方面的,它为企业和员工提供了高效、灵活和安全的远程工作环境。 一、提供强大的计算和存储能力
    的头像 发表于 10-24 09:21 255次阅读

    计算与边缘计算的结合

    计算与边缘计算的结合是当前信息技术发展的重要趋势,这种结合能够充分发挥两者的优势,实现更高效、更可靠的数据处理和分析。以下是对
    的头像 发表于 10-24 09:19 323次阅读

    计算在大数据分析中的应用

    计算在大数据分析中的应用广泛且深入,它为用户提供了存储、计算、分析和预测的强大能力。以下是对计算
    的头像 发表于 10-24 09:18 318次阅读

    计算安全性如何保障

    计算安全性是一个复杂而多维的问题,涉及多个层面和多种技术手段。为了保障计算安全性,需要采
    的头像 发表于 10-24 09:14 184次阅读

    计算的优势与应用

    计算是一种基于互联网的计算方式,通过互联网将算力以按需使用、按量付费的形式提供给用户,包括计算、存储、网络、数据库、大
    的头像 发表于 10-24 09:12 294次阅读

    HPC计算前景

    高性能计算(HPC)与计算的结合,正逐步成为推动科技创新和产业升级的重要引擎。随着数据规模的不断扩大和计算需求的日益复杂,HPC
    的头像 发表于 10-16 10:17 183次阅读

    如何理解计算

    计算的工作原理是什么? 计算和传统IT技术的区别? 华纳如何帮助您实现
    发表于 08-16 17:02

    关于计算的3个误解

    虽然计算应用已经从概念成为现实并且有相当长时间了,但是仍然有一些人对计算持有误解。以下是关于计算
    的头像 发表于 07-26 16:33 238次阅读

    计算安全技术与信息安全技术之间的关系

    一、引言 随着信息技术的快速发展,计算已成为企业和个人存储、处理和分析数据的重要方式。然而,计算的普及也带来了一系列
    的头像 发表于 07-02 09:30 641次阅读

    网络与计算:有什么区别?

    则关注的是应用程序之间的连接如何管理和交付。 计算 计算将企业工作负载托管从传统的内部或共置数据中心转移到
    的头像 发表于 06-25 11:43 470次阅读
    <b class='flag-5'>云</b>网络与<b class='flag-5'>云</b><b class='flag-5'>计算</b>:有什么区别?

    请问NFC数据传输如何保证数据安全

    NFC数据传输如何保证数据安全
    发表于 04-07 06:18

    现在常说的边缘计算计算有什么不同?

    现在常说的边缘计算计算有什么不同? 边缘计算计算是两种不同的
    的头像 发表于 02-06 14:38 637次阅读

    边缘计算计算的区别

    提供灵活的计算资源的模式,包括计算、存储和各种应用服务。计算的基本概念是将计算资源集中在大型数据
    的头像 发表于 12-27 15:46 2599次阅读