目录

什么是云安全?

目录

云安全,或云计算安全,就是要保障旨在保护云计算系统、数据和基础设施免受网络威胁的措施、技术、流程和政策。它能确保您在云中存储和处理的数据保持机密性、完整性和可用性,使用户和组织免受未经授权的访问、违规操作和数据丢失的影响。

网络安全涵盖信息系统的各种保护措施,而云安全则专注于保护托管在第三方服务提供商基础设施上的资产。

 

云安全为何重要?

云安全可保护云中托管的敏感数据、应用程序和基础设施。随着组织越来越多地使用云计算和第三方 云服务提供商(CSP),它们面临着独特的安全挑战,包括 数据泄露、未经授权的访问和监管合规性。

  • 数据保护:云环境通常存储敏感的个人、财务和知识产权数据。强大的云安全措施可保护这些数据免遭盗窃、丢失和未经授权的访问。
  • 监管合规性:GDPRHIPAAPCI DSS 等合规性标准制约着许多行业。云安全可帮助组织满足这些要求,避免法律后果和经济处罚。
  • 缓解网络威胁:云环境经常成为网络攻击的目标,包括网络钓鱼、勒索软件和 DDoS 攻击。有效的云安全解决方案可防范这些威胁,确保业务的持续性。
  • 共同责任模式:在云计算中,安全是服务提供商和客户的 共同责任 。云安全工具和实践使各组织能够参与这种伙伴关系。
  • 安全远程访问:随着远程工作的兴起,员工经常从不同地点和设备访问云系统。虚拟专用网络(VPN)、零信任网络安全访问(ZTNA)和安全网关可确保访问安全,而不会危及组织的数据。
  • 维护客户信任:数据泄露或安全故障会损害公司声誉,削弱客户信任。强大的云安全措施有助于维护客户的信心和忠诚度。
  • 成本效益:积极主动的云安全可防止代价高昂的数据泄露和停机,降低与事故恢复和合规性违规相关的长期成本。

确定最适合贵组织的方案: CSP 内置安全与第三方云原生安全

 

云安全策略的基本要素

要掌握云安全,就必须关注战略性云安全计划的 核心原则 ,其中涉及保护数据、应用程序和基础设施的策略和技术。主要领域包括

  • 数据保护:通过加密和 访问控制,保障数据在静态、传输和处理过程中的安全。
  • 身份和访问管理(IAM)确保只有授权用户和设备才能访问云资源。
  • 合规性和治理:遵守法律和监管要求,如 GDPR、HIPAA 或 CCPA
  • 可见度:监控云活动,通过日志、审计和分析工具识别潜在的安全威胁。
  • 网络安全:使用防火墙、入侵检测系统 (IDS) 和其他工具保护云环境内部和云环境之间的通信和连接。
  • 威胁检测和预防:通过自动化工具、机器学习和威胁情报,识别并降低漏洞和风险。
  • 事件响应:建立有效处理安全漏洞或网络攻击的程序。
  • 应用安全:确保云中托管的应用程序不会出现漏洞或配置错误。

 

云安全的三大支柱

云安全的三大支柱--保密性、完整性和可用性--为云环境的安全提供了一个基础框架。这些原则通常被称为中央情报局三原则,是云安全和整体网络安全原则的支柱。

保密性

机密性确保只有经过授权的个人和系统才能访问敏感数据。要做到这一点,需要对数据进行加密,使用多因素身份验证(MFA)和基于角色的访问控制(RBAC)等强大的访问控制,并在应用最低权限原则的同时确保应用程序接口的安全。通过保障保密性,组织可以保护其运营和用户信任。

诚信

完整性可确保数据和系统保持准确、可靠和不被篡改。组织利用散列和校验和等技术验证数据,实施版本控制和备份以防止更改,并采用安全 DevOps (DevSecOps)实践来确保应用程序的安全性。

可用性

可用性确保云服务、应用程序和数据在需要时可以访问。各组织通过冗余和故障转移机制、实施分布式拒绝服务(DDoS)保护以及定期进行系统更新和打补丁来减少可能导致宕机的漏洞,从而实现这一目标。

 

云安全是如何工作的?

云安全功能横跨三种主要环境:公共云、私有云和混合云。

公共云

公共云通过互联网交付 IT 服务。第三方供应商拥有并运营底层基础设施。各组织将 公共云服务 用于各种应用,包括基于网络的解决方案和数据存储。这些服务按年或按实际使用量计费,费用与资源消耗和数据流量挂钩。

在公共云环境中,组织与其他用户共享基础设施,但通过个人账户管理资源。公共云可在全球范围内快速部署可扩展的应用程序,无需大量前期投资。

Private Cloud

Private Cloud 由单一企业或组织专用。它可以由公司、第三方服务提供商或两者共同拥有、管理和运营,可以本地部署,也可以异地部署。

Private Cloud 具有与公共云相同的优势,如弹性可扩展性和成本节约、资源可用性、全面控制、隐私和监管合规性。它们非常适合有严格合规性要求或要求绝对数据控制的组织,如政府机构和金融机构。

混合云

A 混合云 将本地部署、私有 云 和公共环境结合在一起,同时保持它们的协调性和差异性。数据和应用程序可以在这些环境之间移动,从而提供更大的灵活性。混合云适合组织扩展本地部署的基础设施,并提供特定的云使用案例。

例如,公共云可以处理基于 Web 的应用程序等大容量、安全性较低的需求,而 Private Cloud 则可以管理财务报告等敏感的关键业务操作。混合云的适应性使其成为许多企业颇具吸引力的选择。

 

共同责任模式

The 分担责任模式 在 CSP 和客户之间划分安全责任。组织必须根据这种模式调整其安全策略,以保护其数据、应用程序和合规性状态,同时充分利用云计算的优势。 了解各方的作用 可降低脆弱性风险。

CSP 的责任

  • 基础设施安全:确保服务器、存储和网络等物理基础设施的安全。
  • 软件安全:确保包括管理程序和操作系统在内的基础服务的安全。
  • 合规性:维护其基础设施的认证和合规性,以符合 SOC、ISO、GDPR 或 HIPAA 等标准。

客户的责任

  • 数据安全:确保云中存储的数据安全,包括加密和访问控制。
  • IAM:管理用户身份、角色和权限,确保只有获得授权的人才能访问资源。
  • 应用安全:保护部署在云中的应用程序、配置或工作负载。
  • 合规性:确保使用符合特定组织的监管要求。
客户的责任
图 1: 云金字塔代表了服务抽象程度的不断提高和控制能力的不断降低,其中 IaaS 构成基础,给予用户对基础设施的控制能力最强。

工作量责任

工作量 责任因云服务类型而异:

  • 基础设施即服务(IaaS)CSP 处理物理基础设施和虚拟化;客户管理操作系统、应用程序和数据。
  • 平台即服务(PaaS):CSP 管理平台,包括基础设施和运行时;客户则专注于应用程序开发、配置和数据。
  • 软件即服务(SaaS):CSP 负责基础设施、平台和软件;客户负责用户访问和软件内的数据安全。
云安全团队面临的主要挑战
图 2: 云安全团队面临的主要挑战

 

云安全的主要风险和挑战

组织面临着若干云安全挑战,要求制定战略规划、采取积极主动的安全措施并勤于监控。主要挑战包括

  • 无序扩张:云服务很容易启动,但以合理的方式进行管理和合并却比较困难。快速移动的团队可能会发现自己在没有集中管理策略的情况下,杂乱无章地启动虚拟机、数据库等。因此,系统地发现和保护所有这些工作负载变得极具挑战性。
  • 影子 IT:同样,团队或个人可能会启动影子 IT 或只有他们自己知道的 工作负载 ,而这些 工作负载 并没有与中央 IT 管理系统集成。这些工作负载也很难被集中检测和保护。
  • 技术安全债务:为了快速创新,安全小组可能会忽视安全态势中的薄弱环节,从而增加了查找和修复漏洞所需的时间和精力。
  • 事件响应不足:云环境需要专门的事件响应策略,许多组织可能缺乏必要的专业知识和工具来有效应对云中的安全事件。
  • 第三方风险:对第三方供应商和服务的依赖会带来更多漏洞,并使安全形势更加复杂。
  • 资源限制:组织可能缺乏有效管理和保护云环境的预算、人员或专业知识,从而导致安全状况出现漏洞。
  • 确保混合和多云环境的安全:在不同环境中实现一致的安全性可能具有挑战性,而且需要大量资源。
  • 云技术的快速发展:与云服务和安全领域的创新保持同步至关重要,因为过时的做法会增加受到威胁的可能性。

了解如何评估云基础设施的潜在漏洞和威胁: 如何评估云中的风险

 

云安全工具

强大的云安全策略包括采用专为确保云环境安全而设计的工具。基本工具应提供

  • 云应用程序活动的可见性。
  • 详细的使用分析,防范数据风险和合规性违规。
  • 情境感知政策控制,以执行和纠正违规行为。
  • 实时威胁情报,检测和预防新的恶意软件。

云安全工具的类型

云安全工具可保护云环境、应用程序和数据免受威胁、未经授权的访问和漏洞。主要工具包括

  • 云访问安全代理(CASB):监控和管理对云应用程序的访问,执行安全策略,并提供云使用情况和合规性的可见性(如 Prisma Access)。
  • 云工作负载保护平台(CWPP):确保多云环境中工作负载的安全,提供运行时保护和漏洞管理(如 Prisma Cloud)。
  • IAM 工具:确保只有经过授权的人才能访问云资源,支持 SSO、MFA 和 RBAC(例如,Prisma Cloud 的云基础设施授权管理)。
  • 云加密工具:利用密钥管理服务对静态、传输或处理过程中的数据进行加密。
  • 云安全态势管理(CSPM) 工具:持续监控云环境的配置错误和合规性风险,提供自动补救措施(如 Prisma Cloud)。
  • 网络应用防火墙(WAF): 保护云托管的网络应用程序免受 SQL 注入和 DDoS 攻击等威胁(如 Prisma Cloud 的网络应用程序和 API 安全性)。
  • 端点保护 工具:确保访问云资源的端点安全,检测并应对恶意软件和其他威胁(如 Cortex XDR)。
  • 数据丢失防护 (DLP) 工具: 防止未经授权共享或传输敏感数据(如 Prisma Cloud 的 DSPM)。
  • 入侵检测和防御系统(IDPS):检测并应对云环境中的可疑活动。
  • 云监控和分析工具:提供云性能、使用情况和安全威胁的可见性,实现日志记录和事件分析(如 Prisma Cloud)。

 

云安全最佳实践

保护云中的数据、应用程序和系统需要遵循 实用的安全实践。勾选以下步骤有助于组织防范网络威胁,确保业务运营顺畅、合规:

  • 了解共同责任。
  • 确保周边安全。
  • 监控配置错误。
  • 使用 IAM 实践来实施强大的密码、设备和访问管理。
  • 实现安全态势可见性。
  • 实施政策,防止未经授权的应用程序访问,确保数据安全。
  • 限制必要人员访问数据,以防泄密。
  • 确保容器安全。
  • 定期进行安全审计、漏洞扫描并及时打安全补丁。
  • 采用零信任方法,以满足更新的安全策略和远程访问需求。
  • 对员工进行当前云安全趋势的教育和培训,以识别可疑行为。
  • 使用日志管理和持续监控。
  • 进行渗透测试。
  • 加密数据,确保数据安全,只有授权用户才能访问。
  • 符合合规性要求。
  • 实施事件响应计划,处理安全事件。
  • 确保所有应用程序的安全。
  • 保持弹性数据安全态势。
  • 合并网络安全解决方案。
  • 利用云检测和响应方法。

有了这些以人为本的指导方针和战略重点,组织就能高效地管理云环境并确保其安全,从而确保针对不断演变的网络威胁和合规性提供强有力的保护。

 

云安全常见问题

多云安全包含了在 AWS、Azure 和 Google Cloud 等多个云平台上保护数据、应用程序和服务的策略和技术。尽管每个提供商的本地控制各不相同,但它能确保一致的安全策略执行和威胁防护。主要挑战包括管理复杂的配置、防止数据泄露以及在不同的云环境中保持可见性和合规性。
混合云安全涉及对集成本地部署基础设施、Private Cloud 和公共云的保护。这包括确保数据传输安全、管理访问控制和执行一致的安全策略。之所以复杂,是因为数据在不同环境之间移动时需要保护,同时还要利用云资源的可扩展性和灵活性。
零信任网络安全是一种战略方法,它假定组织网络内部和外部的所有用户和设备都是潜在威胁。它要求进行严格的身份验证、最低权限访问,并持续监控所有网络流量。实施零信任网络安全包括分割网络、应用多因素身份验证以及采用实时安全分析来检测和应对威胁。
云安全治理包括制定政策、程序和控制措施,以管理云中的风险并确保合规性。它需要一个符合组织目标、监管要求和安全最佳实践的框架。治理策略包括风险评估、事件管理和定期审计,以维护云资源的完整性和安全性。
云事件响应是指组织用于检测、响应和恢复云环境中安全事件的方法和流程。它包括制定响应计划、迅速检测安全事件、容器安全、消除根源和恢复服务。事故后分析对于完善事故响应策略和加强云防御至关重要。
云安全架构是一个蓝图,概述了如何将安全控制集成到云基础设施中。这包括设计包括防火墙、入侵防御系统、加密和数据丢失防护机制在内的架构。如果设计得当,它可以支持监管合规性、防范威胁,并在不影响性能的情况下适应云计算的动态特性。
云安全框架为确保云计算环境的安全提供了标准化指南和最佳实践。它们提供了管理风险、实施安全控制和保持合规性的结构化方法。例如,NIST 网络安全框架、ISO 27017 和云安全联盟的云控制矩阵,每一个都是为应对云安全管理的独特挑战而量身定制的。
云中的 DevSecOps 将安全实践整合到 DevOps 流程中,在云软件开发和部署的每个阶段都实现自动化并嵌入安全功能。它强制要求在代码提交、容器协调和基础架构配置过程中进行安全检查。团队利用自动化工具进行漏洞扫描、合规性监控和威胁检测,在不影响云服务交付速度的情况下降低风险。
云安全态势管理(CSPM) 可自动识别和修复云基础设施中的风险。CSPM 工具可持续扫描配置错误、执行安全策略并确保符合行业标准。它们提供云资产及其配置的可见性,使安全小组能够在动态云环境中保持强大的安全态势。
云原生应用程序保护平台(CNAPP)是为云原生应用程序提供全面安全保护的集成套件。CNAPP 结合了 CSPM、CWPP 和应用安全等功能,可在整个软件生命周期内保护云环境。它可以解决从代码到运行时的风险,提供威胁检测、漏洞管理和合规性监控。
云访问安全代理(CASB)作为用户和云服务提供商之间的中介,负责执行安全策略。CASB 可提供跨多个云服务的云应用使用、数据保护、威胁预防和合规性的可视性。它们使组织能够将其安全控制从本地部署的基础设施扩展到云。
云工作负载保护平台(CWPP)可确保公有云、私有云和混合云环境中跨虚拟机、容器和无服务器功能的工作负载的安全。CWPP 解决方案提供运行时保护、系统完整性监控、网络控制和漏洞管理,以保护工作负载免受威胁并确保合规性。
云计算基础设施安全包括用于保护云计算重要组成部分(包括硬件、软件、网络和设施)的实践和技术。这包括确保虚拟化环境的安全、管理访问控制、加密静态和传输中的数据,以及部署入侵检测系统以保护基础设施免受威胁。
云数据保护需要保护云服务中的数据,防止数据损坏、泄露和丢失。它包括加密、令牌化、访问控制和备份解决方案。安全小组实施这些措施,即使数据在本地和云环境之间移动,也能确保数据的保密性、完整性和可用性。
云合规性管理可确保云服务和运营遵守监管标准和行业最佳实践。它涉及定期评估、审计和自动控制,以满足 GDPRHIPAAPCI DSS. 等框架的要求。各组织利用合规性管理来保护敏感数据、避免处罚和维护客户信任。
相关内容
CNAPP 综合指南
开始阅读《O'Reilly 云原生应用保护平台》:CNAPP 指南和全面云安全基础》。
云原生安全现状报告
从我们的年度安全报告中获取多行业情报,为您的云安全策略提供依据,该报告探讨了最重要的安全优势、需求、差距和挑战。
容器安全权威指南
确保容器化应用程序的安全是维护云服务完整性、保密性和可用性的关键组成部分。
DSPM 和 DDR 购买指南
了解云数据安全提供商应具备的条件,以及 DSPM 和 DDR 如何显著增强组织的安全态势。

获取最新资讯、活动邀请以及威胁警报