什么是云安全？

跳到主体内容

云安全定义

云安全是专门保护云计算系统的网络安全学科。这包括在基于在线的基础架构、应用程序和平台上保持数据的私密和安全。保护这些系统需要云提供商和使用它们的客户的努力，无论是个人、中小型企业还是大企业使用。

云提供商通过始终在线的互联网连接将服务托管在其服务器上。由于他们的业务依赖于客户的信任，因此使用云安全方法来确保客户数据的私密和安全存储。但是，云安全也部分掌握在客户手中。理解这两个方面对于健康的云安全解决方案至关重要。

云安全的核心由以下几个类别组成：

数据安全
身份和访问管理 (IAM)
治理（有关威胁预防、检测和缓解的策略）
数据保留 (DR) 和业务连续性 (BC) 规划
法律合规性

云安全看起来像是传统的 IT 安全，但此框架实际上需要不同的方法。在深入探讨之前，我们先来看看什么是云安全。

什么是云安全？

云安全是一整套技术、协议和最佳做法的总称，旨在保护云计算环境、云中运行的应用程序和云中保存的数据。要保护云服务，首先应了解要保护的确切内容，以及必须管理的系统方面。

总的来说，针对安全漏洞的后台开发主要掌握在云服务提供商手中。除了选择具有安全意识的提供商，客户应主要注重正确的服务配置和安全的使用习惯。此外，客户应确保任何最终用户硬件和网络均受到适当保护。

全面的云安全旨在保护以下组件，无论您的责任如何：

物理网络 — 路由器、电力、布线、气候控制等
数据存储 — 硬盘驱动器等
数据服务器 — 核心网络计算硬件和软件
计算机虚拟化框架 — 虚拟机软件、主机和客户机
操作系统 (OS) — 支持所有计算机功能的软件
中间件 — 应用程序编程接口 (API) 管理
运行时环境 — 正在运行的程序的执行和维护
数据 — 存储、修改和访问的所有信息
应用 — 传统软件服务（电子邮件、税务软件、生产力套件等）
最终用户硬件 — 计算机、移动设备、物联网 (IoT) 设备等

在云计算中，这些组件的所有权可能相差很大。这可能会使客户的安全责任范围不明确。由于对云的保护可能因每个组件所有权的不同而有所不同，因此了解这些组件通常如何分组非常重要。

简单来说，从两个主要角度保护云计算组件：

1. 云服务类型 由第三方提供商提供，作为用于创建云环境的模块。根据服务类型，您可能管理不同等级的服务内组件：

任何第三方云服务的核心都涉及提供商，提供商负责管理物理网络、数据存储、数据服务器和计算机虚拟化框架。服务存储在提供商的服务器上，并通过其内部管理的网络进行虚拟化，以交付给客户进行远程访问。这省去了硬件和其他基础设施的成本，使客户可以从任何地方通过互联网连接来满足他们的计算需求。
软件即服务 (SaaS) 云服务允许客户访问完全在提供商的服务器上托管和运行的应用程序。提供商管理应用程序、数据、运行时、中间件和操作系统。客户只负责访问他们的应用程序。SaaS 的例子包括 Google Drive、Slack、Salesforce、Microsoft 365、Cisco WebEx、Evernote。
平台即服务云服务为客户提供了一个可自行开发应用程序的主机，这些应用程序在提供商服务器上的客户“沙盒”空间内运行。提供商管理运行时、中间件和操作系统。客户负责管理他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。PaaS 的例子包括 Google App Engine、Windows Azure。
基础设施即服务 (IaaS) 云服务为客户提供硬件和远程连接框架，以承载其大量计算，乃至操作系统。提供商只管理核心云服务。客户负责保护操作系统上堆叠的一切内容，包括应用程序、数据、运行时、中间件和操作系统本身。此外，客户还需要管理用户访问、最终用户设备和最终用户网络。IaaS 的例子包括 Microsoft Azure、Google Compute Engine (GCE)、Amazon Web Services (AWS)。

2. 云环境是指部署模型，一个或多个云服务在其中为最终用户和组织创建系统。这些模型细分了客户和提供商之间的管理责任（包括安全性）。

目前使用的云环境有：

公有云环境由多租户云服务组成，其中一个客户与其他客户共享提供商的服务器，例如办公楼或众创空间。这些服务是提供商运行的第三方服务，通过网络为客户提供访问。
私有第三方云环境基于云服务的使用，允许客户独占使用他们自己的云。这些单租户环境通常由外部提供商异地拥有、管理和运营。
私有内部云环境也由单租户云服务服务器组成，但它们在自己的私有数据中心内运行。在这种情况下，该云环境由企业自己运行，允许对每个元素进行全面的配置和设置。
多云环境包括使用来自不同提供商的两种或更多种云服务。这些服务可以是任何公有和/或私有云服务的混合。
混合云环境包括将私有第三方云和/或现场私有云数据中心与一个或多个公有云混合使用。

通过从这个角度进行构架，我们可以了解到，根据用户使用的云空间类型，基于云的安全性可能会有所不同。但是，个人和组织客户都会感受到这种影响。

云安全的原理

每一项云安全措施都旨在完成以下一个或多个目标：

在数据丢失的情况下启用数据恢复
保护存储和网络，防止恶意数据窃取
防止可导致数据泄露的人为错误或疏忽
减少任何数据或系统泄露的影响

数据安全是云安全的一个方面，涉及威胁防御的技术端。工具和技术允许提供商和客户在敏感数据的访问权限和可见性之间插入屏障。其中，加密是目前最强大的工具之一。加密会对您的数据进行加扰，这样只有拥有加密密钥的人才能读取。如果您的数据丢失或被盗，实际上将无法读取且毫无意义。虚拟专用网 (VPN) 等数据传输保护方式也在云网络中占有更高比重。

身份和访问管理 (IAM) 与提供给用户帐户的可访问性权限有关。管理用户帐户的身份验证和授权也在此有所应用。访问控制是限制用户（合法用户和恶意用户）进入和破坏敏感数据和系统的关键。密码管理、多因素身份验证和其他方法都属于 IAM 的范畴。

治理着重于威胁预防、检测和缓解的策略。对于中小型企业和大企业，威胁情报等方面有助于跟踪威胁和确定威胁优先级，以确保基本系统受到精心保护。不过，即使个人云客户也可以从评估安全用户行为策略和培训中获益。这些策略主要适用于组织环境，但安全使用和应对威胁的规则对任何用户都有帮助。

数据保留 (DR) 和业务连续性 (BC) 规划涉及数据丢失时的技术性灾难恢复措施。任何 DR 和 BC 计划的中心都是数据冗余方法，例如备份。此外，拥有确保不间断运行的技术系统也会有所帮助。用于测试备份有效性的框架和详细的员工恢复说明对于全面的业务连续性计划同样有价值。

法律合规性以保护立法机构规定的用户隐私为主题。政府已经开始重视保护私人用户信息，防止其被人利用来牟利。同样，各组织必须按照规定遵守这些政策。一种方法是使用数据屏蔽，通过加密方法隐藏数据中的身份。

云安全的不同之处是什么？

由于业界转向基于云的计算，传统 IT 安全已感受到巨大演变。虽然云模式可提供更多便利，但始终在线的连接有新的问题需要考虑以确保其安全。云安全作为现代化的网络安全解决方案，与传统 IT 模式相比有以下几个方面的优势。

数据存储：最大的区别是，较旧的 IT 模式严重依赖于现场数据存储。长期以来，各组织发现在内部构建所有 IT 框架进行详细自定义安全控制的成本高昂且死板。基于云的框架帮助节省了系统开发和维护的成本，但也去掉了用户的一些控制权。

扩展速度：同样，在扩展组织 IT 系统时，需要特别注意云安全。以云为中心的基础架构和应用非常模块化，可以快速调动。尽管此功能可以使系统针对组织的变化进行统一调整，但是当组织对升级和便利性的需求超过其跟上安全性的能力时，就会带来问题。

最终用户系统接口：对于组织和个人用户，云系统还与许多其他必须保护的系统和服务进行连接。从最终用户设备级别到软件级别甚至网络级别都必须保持访问权限。除此之外，提供商和用户必须留意他们可能通过不安全的设置和系统访问行为造成的漏洞。

与其他联网数据和系统的接近性：由于云系统是云提供商与其所有用户之间的持久连接，这种大规模网络甚至可能损害提供商自己。在网络环境中，单个弱小的设备或组件就可以被利用感染其余设备。云提供商将自己暴露在与他们互动的许多最终用户的威胁之下，无论他们提供数据存储还是其他服务。额外的网络安全责任会落在提供商身上，他们交付的产品本来只是在最终用户系统上（而不是在他们自己的系统上）运行。

解决大多数云安全问题意味着用户和云提供商（在个人和企业环境中）都必须对自己在网络安全中的角色保持主动。这种双管齐下的方法意味着用户和提供商相互必须解决：

安全系统配置和维护。
用户安全教育 — 行为上和技术上。

最终，云提供商和用户必须具有透明度和责任制，才能确保双方安全。

云安全风险

云计算有哪些安全问题？因为如果您不了解的话，那又如何采取适当的措施？毕竟，薄弱的云安全会使用户和提供商面临各种类型的网络安全威胁。一些常见的云安全威胁包括：

基于云的基础架构的风险，包括不兼容的传统 IT 框架和第三方数据存储服务中断。
由于人为错误（例如，用户访问控制配置错误）导致的内部威胁。
几乎完全由恶意行为者（例如恶意软件、网络钓鱼和 DDoS 攻击）造成的外部威胁。

云的最大风险是没有周界。传统的网络安全侧重于保护周界，但云环境是高度连接的，这意味着不安全的 API（应用程序编程接口）和帐户劫持会带来真正的问题。面对云计算安全风险，网络安全专业人员需要转向以数据为中心的方法。

互连性也给网络带来了问题。恶意行为者通常通过已泄露或薄弱的凭据入侵网络。一旦黑客成功登陆，他们就可以轻松地扩展并使用云中未得到充分保护的接口来查找不同数据库或节点上的数据。他们甚至可以将自己的云服务器作为输出和存储任何被盗数据的目的地。安全性需要在云中，而不只是保护对云数据的访问。

第三方数据存储和通过互联网访问也都构成了各自的威胁。如果这些服务由于某些原因而中断，您的数据访问权限可能会丢失。例如，电话网络中断可能意味着您无法在关键时刻访问云。或者，停电可能影响存储数据的数据中心，造成永久性数据丢失。

这种中断可能有长期影响。最近，Amazon 云数据基础设施发生了一次停电事故，导致一些客户的数据丢失，服务器也出现硬件损坏。这恰好说明了为什么至少应该对一些数据和应用程序进行本地备份。

为什么云安全非常重要

在 20 世纪 90 年代，企业和个人数据都存储在本地，安全性也在本地。数据位于家里 PC 的内部存储中，如果您在公司工作，则数据在企业服务器上。

云技术的引入已迫使所有人重新评估网络安全性。您的数据和应用程序可能在本地和远程系统之间浮动，而且总是可以通过互联网访问。如果您在智能手机上访问 Google Docs，或者使用 Salesforce 软件管理您的客户，这些数据可能保存在任何地方。因此，与以前只是阻止不受欢迎的用户获取网络访问权限相比，保护数据变得更加困难。云安全需要调整一些以前的 IT 做法，但由于两个关键原因，这变得更加重要：

便利性高于安全性。云计算作为工作场所和个人使用的主要方法，呈指数级增长。创新使新技术的实施速度快于行业安全标准的跟进速度，从而给用户和提供商带来更多责任去考虑可访问性风险。
集中化和多租户存储。每一个组件（从核心基础架构到电子邮件和文档等小型数据）现在都可以通过全天候的网络连接进行定位和访问。所有这些数据都收集在几个主要服务提供商的服务器中，这可能非常危险。威胁行为者现在能以大型多组织数据中心为目标，并造成大规模数据泄露。

不幸的是，恶意行为者意识到基于云的目标的价值，并越来越多地探测它们的漏洞加以利用。虽然云提供商承担了客户的许多安全角色，但他们并不管理所有事情。这甚至给非技术用户带来了针对云安全进行自我教育的义务。

也就是说，在云安全责任方面，用户并不孤单。了解安全责任的范围将有助于整个系统更加安全。

如何通过云安全保护您的数据

云安全问题 – 隐私

相关法律已制定，帮助防止最终用户的敏感数据被出售和分享。一般数据保护条例 (GDPR) 和健康保险便利和责任法案 (HIPAA) 在保护隐私方面各尽其责，限制数据的存储和访问方式。

数据屏蔽等身份管理方法已被用于从用户数据中分离出可识别的特征，以符合 GDPR 要求。为了符合 HIPAA，医疗机构等组织必须确保其提供商在限制数据访问方面也尽到职责。

CLOUD 法案给予云提供商各自要遵守的法律限制，有可能以牺牲用户隐私为代价。美国联邦法律现在允许联邦级执法部门请求云提供商服务器上的数据。虽然这可以使调查有效进行，但是可能会规避某些隐私权，并可能造成权力滥用。

云安全风险

如何保护云

幸运的是，您可以做很多事情来保护您在云中的数据。我们来探讨一些流行的方法。

加密是保护云计算系统的最佳方法之一。使用加密有多种不同的方式，它们可能由云提供商或单独的云安全解决方案提供商提供：

与云的通信完全加密。
尤其是敏感数据加密，例如帐户凭据。
对上传到云端的所有数据进行端到端加密。

在云中，移动中的数据更有被拦截的风险。当数据在一个存储位置和另一个存储位置之间移动或传输到现场应用程序时，很容易受到攻击。因此，端到端加密对于关键数据来说是最佳的云安全解决方案。使用端到端加密时，如果没有加密密钥，您的通信在任何时候都不会被外界获取。

您可以在将数据存储到云端之前自行加密，也可以使用云服务提供商来加密数据（其服务的一部分）但是，如果仅使用云来存储不敏感的数据（如公司图形或视频），则端到端加密可能有点过度。另一方面，对于财务、机密或商业敏感信息，则至关重要。

如果要使用加密，请记住，加密密钥的安全管理至关重要。保留密钥备份，最好不要保存在云端。您可能还需要定期更改加密密钥，这样即使有人获取了它们，更换后也会将它们锁定在系统之外。

配置是云安全中的另一个有力做法。许多云数据泄露来自于基本漏洞，如配置错误。通过预防这些漏洞，云安全风险将大大降低。如果您对单独执行此操作没有信心，最好考虑使用单独的云安全解决方案提供商。

以下是几个可以遵循的原则：

决不要保持默认设置不变。使用默认设置就是给了黑客前门访问权限。避免这样做，让黑客进入系统的路径复杂化。
决不要开放云存储桶。开放的存储桶可能让黑客只需打开存储桶的 URL 就能看到内容。
如果云供应商提供了可以开启的安全控制，请加以使用。安全选项选择不当可能会使您面临风险。

任何云实现都应遵循基本的网络安全提示。即使您在使用云，也不应忽略标准的网络安全做法。因此，如果您希望尽可能安全地在线，值得考虑以下事项：

使用强密码。包括字母、数字和特殊字符的组合，这将使您的密码更难以破解。尽量避免明显的选择，例如用 $ 符号代替 S。字符串越随机越好。
使用密码管理器。您可以为您使用的每个应用程序、数据库和服务提供单独的密码，而不必记住所有密码。但是，必须确保使用一个强大的主密码来保护密码管理器。
保护所有用来访问云数据的设备，包括智能手机和平板电脑。如果您的数据在众多设备间同步，则其中任何一个设备都可能是薄弱环节，使整个数字足迹面临风险。
定期备份数据，这样即使云提供商发生云中断或数据丢失，仍可以完全还原数据。该备份可以在您的家用 PC 上、外置硬盘上，甚至是云到云备份，只要您确定两个云提供商不共享基础设施。
除非必要，否则应修改权限以防止任何个人或设备访问您的所有数据。例如，企业将通过数据库权限设置来实现这一点。如果您有家庭网络，请让您的孩子、物联网设备和电视使用访客网络。保存“访问所有区域”的通路供自己使用。
使用反病毒和反恶意软件保护自己。如果恶意软件进入您的系统，黑客可以轻易访问您的帐户。
避免在公共 Wi-Fi 上访问您的数据，特别是不使用强身份验证时。不过，可使用虚拟专用网络 (VPN) 保护云的网关。

云存储和文件共享

云计算安全风险可影响从企业到个人消费者的每个人。例如，消费者可以使用云来存储和备份文件（使用 Dropbox 等服务），使用电子邮件和办公应用等服务，或者制作税务表格和账目。

如果您使用基于云的服务，您可能需要考虑如何与他人共享云数据，尤其是如果您的身份是顾问或自由职业者。虽然通过 Google Drive 或其他服务来共享文件可能是与客户共享工作的简单方法，但您可能需要检查您是否正确管理了权限。毕竟，您将要确保不同的客户不会看到彼此的名字或目录，也不会更改彼此的文件。

请记住，许多常用的云存储服务并不加密数据。如果您希望通过加密来保护数据安全，则需要在上传数据之前自行使用加密软件完成。然后，您必须为客户提供密钥，否则他们将无法读取文件。

检查云提供商的安全性

选择云安全提供商时，安全性应该是考虑的重点之一。这是因为您的网络安全不再只是您的责任：云安全公司必须在创建安全的云环境和分担数据安全责任方面发挥作用。

遗憾的是，云公司不会为您提供其网络安全的蓝图。这相当于银行向您提供了其保险库的详细信息，包括保险柜的组合编号。

但是，获得一些基本问题的正确答案可以让您更有信心确定您的云资产是安全的。此外，您将更加了解您的提供商是否妥善处理了明显的云安全风险。我们建议向您的云提供商询问以下一些问题：

安全审计：“你们是否定期对安全性进行外部审计？”
数据分割：“客户数据是否在逻辑上分段，并分开保存？”
加密：“我们的数据是否被加密？哪些部分被加密了？”
客户数据保留：“你们遵循哪些客户数据保留政策？”
用户数据保留：“如果我不再使用你们的云服务，我的数据是否被适当删除？”
访问管理：“如何控制访问权限？”

您还需要确保您已阅读提供商的服务条款 (TOS)。阅读服务条款对于了解您是否确实获得您所需要的服务至关重要。

一定要确认您也了解随提供商使用的所有服务。如果您的文件在 Dropbox 上，或者备份在 iCloud（Apple 的存储云）上，这很可能意味着它们实际保存在 Amazon 的服务器上。因此，您需要调查一下 AWS，以及您直接使用的服务。

混合云安全解决方案

对于中小企业和大企业空间的客户来说，混合云安全服务可能是非常明智的选择。它们对于中小企业和大企业应用最为可行，因为它们通常过于复杂，不适合个人使用。但是正是这些组织可以将云的规模和可访问性混合起来与特定数据的现场控制结合使用。

以下是混合云安全系统的几个安全优势：

服务分离可以帮助组织控制如何访问和存储数据。例如，将更多敏感数据放在现场，同时将其他数据、应用程序和流程分流到云中，可以帮助您适当地进行安全分层。此外，分离数据可以提高组织在法律上遵守数据法规的能力。

冗余也可以通过混合云环境来实现。通过利用公有云服务器执行日常操作，并将系统备份在本地数据服务器中，即使一个数据中心离线或感染勒索软件，组织仍可以保持正常运营。

中小企业云安全解决方案

虽然企业可以坚持使用私有云（相当于拥有自己的办公楼或园区的互联网），但个人和小型企业必须使用公有云服务进行管理。这就像与其他几百个租户合用一间办公室或住在一幢公寓楼里一样。因此，您的安全需要作为首要考虑因素。

在中小型企业应用中，您会发现云安全很大程度上取决于您使用的公有云提供商。

但是，您可以采取措施来保护自己的安全：

多租户数据分离：企业必须确保其数据不能被云供应商的任何其他客户访问。无论是存放在分离的服务器中，还是经过精心加密，都要确保分离措施到位。
用户访问控制：控制权限可能意味着将用户访问限制到不方便的级别。但是，施加限制和逆向寻找平衡比允许松散的权限而导致网络被渗透要安全得多。
合法数据合规性：确保数据符合 GDPR 等国际法规，对于避免重罚和名誉损害至关重要。确保数据屏蔽和敏感数据分类等措施是您组织的优先事项。
小心扩展云系统：随着云系统的快速实施，请确保您花时间检查组织系统的安全性，而不是便利性。云服务可能会迅速扩展到缺乏监管的程度。

大型企业云安全解决方案

由于目前超过 90% 的大型企业在使用云计算，云安全已成为企业网络安全的重要组成部分。对于企业级组织来说，私有云服务和其他更昂贵的基础设施可能是可行的。但是，您仍然必须确保内部 IT 完全负责网络整个表面区域的维护。

对于大型企业的使用，如果您对基础设施进行一些投资，云安全可以更加灵活。

有几个关键要点需要注意：

主动管理您的帐户和服务：如果您不再使用某项服务或软件，请正确关闭它。黑客可以通过未打补丁的漏洞，利用老旧的休眠账户轻松访问整个云网络。
多因素身份验证 (MFA)：这可能是生物特征数据（例如指纹）或发送到您的移动设备的密码和单独代码。这会费一点时间，但对最敏感的数据很有用。
评估混合云的成本效益：在企业中使用数据分离非常重要，因为您将处理大量数据。您需要确保您的数据与其他客户的数据是分开的，无论是单独加密还是逻辑上分段以单独存储。混合云服务可以对此提供帮助。
警惕影子 IT：教育员工避免在网络上或在公司工作中使用未经授权的云服务，这一点至关重要。如果敏感数据通过不安全的通道传输，您的组织可能会面临恶意行为者或法律问题。

因此，无论您是个人用户、中小企业用户或者企业级云用户，确保您的网络和设备尽可能安全是非常重要的。首先应在个人用户级别充分了解基本网络安全，并确保使用针对云构建的强大安全解决方案来保护您的网络和所有设备。

相关产品：

相关文章：