如今,確保儲存在雲端的客戶資料的安全性對組織來說是一個不斷增長的挑戰。網路威脅的數量不斷增長,其品質和複雜程度也在不斷提高。
根據研究機構Gartner公司的調查,在雲端發生的所有資料外洩中,80%是由於IT部門的錯誤配置、帳戶管理和其他錯誤造成的,而不是來自雲端運算供應商雲端平台的漏洞。因此,IT企業必須專注於其內部業務流程和人員培訓,以加強整體安全。
另一項研究表明,64%的企業認為雲端運算基礎設施比傳統資料中心更安全。在採用雲端運算的企業中,75%的企業在雲端運算供應商提供的保護措施之外採取了額外的保護措施。而對於這些額外的安全措施,61%的企業採用資料加密,52%的企業採用更嚴格的存取策略,48%的企業採用頻繁的系統稽核。
網路攻擊者並不關心資料是位於虛擬機器還是實體機器上,他們的目標是採用任何方式來取得存取權限。因此,為了保護雲端中的數據,企業希望可以使用資料中心具有的相同工具。安全專家確定了確保雲端運算安全的三個主要措施:資料加密、有限的資料存取、發生攻擊時的資料復原(如勒索軟體)。
另外,專家建議仔細研究API。因為開放和不受保護的介面可能成為資料保護的薄弱環節,也是雲端運算平台的一個主要漏洞。
分析與機器學習
為了解決許多安全問題,企業可以使用人工智慧(AI)技術。人工智慧框架和機器學習有助於自動化資料保護,並簡化日常任務的執行。人工智慧在公有雲和私有雲基礎架構中提供服務,以加強其安全性。
這種方法的一個例子是開源專案MineMeld,它對來自外部來源的威脅資料製定安全性策略和動態調整配置。它可能在某些情況下解決所有特定公司的需求。另一個例子是Gurucul雲端分析平台,該平台使用行為分析和機器學習來偵測外部和內部威脅。
加密資料
企業沒有必要加密所有的資料。為了確保安全,企業需要一個詳細的策略。首先,確定自己的哪些資料需要位於雲端,以及流量的位置。這樣,才能決定哪些資訊值得加密。
在加強安全措施之前,企業評估其可行性。應評估引入新措施的成本,並將其與資料外洩造成的潛在損失進行比較。另外,企業也應該分析加密、存取控制、用戶身份驗證對系統效能的影響。
資料保護可以在多個層面上實施。例如,用戶發送到雲端的所有資料都可以使用AES演算法進行加密,該演算法提供了匿名性和安全性。下一級保護是雲端運算儲存伺服器中的資料加密。雲端運算提供者通常將資料儲存在多個資料中心中,透過冗餘來幫助保護客戶資訊。
基礎設施監控
在遷移到雲端時,許多客戶需要實施新的安全性策略。例如,他們必須更改其防火牆和虛擬網路的設定。根據研究機構Sans公司進行的一項研究,資料中心使用者擔心未經授權的存取(68%)、應用漏洞(64%)、惡意軟體感染(61%)、社交工程和不合規(59%)以及內部威脅53%)。
同時,攻擊者幾乎總是能找到破解系統的方法。因此,企業的主要任務是防止攻擊傳播到網路的其他部分。如果安全系統阻止工作負載之間的未授權交互,並防止非法連接請求,則可以這樣實施。
還有許多產品可以監控資料中心的基礎架構。例如,思科公司為IT經理提供了網路活動的完整圖景,使他們不僅可以查看誰連接到網絡,還可以設定使用者規則,並管理人們的應做事項,以及他們擁有哪些存取權限。
採用自動化工具
另一種可以提高資料中心可靠性的方法是將安全系統與DevOps的實踐結合。這樣做可以讓企業加快部署新的應用程序,並更快地引入變更。適應性安全體系結構應與管理工具整合在一起,使安全設定變更成為持續部署流程的一部分。
在雲端運算基礎架構中,安全性成為持續整合和持續部署的組成部分。它可以透過諸如Jenkins插件之類的工具提供,這些工具使程式碼和安全性測試成為品質保證不可缺少的階段。用於安全測試和監控的其他DevOps工具包括靜態分析(SAST)和動態分析(DAST)解決方案。靜態分析(SAST)可以分析處於靜態狀態的應用程式的原始程式碼,並識別其安全漏洞。動態分析(DAST)在應用程式運行時偵測潛在的安全漏洞。
在以往,一個單獨的團隊將處理產品安全問題。但是這種方法增加了在產品上工作的時間,並不能消除所有的漏洞。如今,安全整合可以在多個方向進行,甚至使用單獨的術語:DevOpsSec,DevSecOps和SecDevOps。這些術語之間有區別。人們應該考慮產品開發所有階段的安全性,其包括雲端運算基礎設施。
