如今,确保存储在云端的客户数据的安全性对组织来说是一个不断增长的挑战。网络威胁的数量在不断增长,其质量和复杂程度也在不断提高。
根据调研机构Gartner公司的调查,在云端发生的所有数据泄漏中,80%是由于IT部门的错误配置、账户管理和其他错误造成的,而不是来自云计算提供商云平台的漏洞。因此,IT企业必须关注其内部业务流程和人员培训,以加强整体安全。
另一项研究表明,64%的企业认为云计算基础设施比传统数据中心更安全。在采用云计算的企业中,75%的企业在云计算提供商提供的保护措施之外采取了额外的保护措施。而对于这些额外的安全措施,61%的企业采用数据加密,52%的企业采用更严格的访问策略,48%的企业采用频繁的系统审计。
网络攻击者并不关心数据是位于虚拟机还是物理机上,他们的目标是采用任何方式获取访问权限。因此,为了保护云中的数据,企业希望可以使用数据中心具有的相同工具。安全专家确定了保证云计算安全的三个主要措施:数据加密、有限的数据访问、发生攻击时的数据恢复(如勒索软件)。
另外,专家建议仔细研究API。因为开放和不受保护的接口可能成为数据保护方面的薄弱环节,也是云计算平台的一个主要漏洞。
分析和机器学习
为了解决许多安全问题,企业可以使用人工智能(AI)技术。人工智能框架和机器学习有助于自动化数据保护,并简化日常任务的执行。人工智能在公共云和私有云基础架构中提供服务,以加强其安全性。
这种方法的一个例子是开源项目MineMeld,它对来自外部来源的威胁数据制定安全策略和动态调整配置。它可能在某些情况下解决所有特定公司的需求。另一个例子是Gurucul云分析平台,该平台使用行为分析和机器学习来检测外部和内部威胁。
加密数据
企业没有必要加密所有的数据。为了确保安全,企业需要一个详细的策略。首先,确定自己的哪些数据需要位于云端,以及流量的位置。只有这样,才能决定哪些信息值得加密。
在加强安全措施之前,企业评估其可行性。应评估引入新措施的成本,并将其与数据泄露造成的潜在损失相比较。另外,企业还应该分析加密、访问控制、用户身份验证对系统性能的影响。
数据保护可以在多个层面上实施。例如,用户发送到云端的所有数据都可以使用AES算法进行加密,该算法提供了匿名性和安全性。下一级保护是云计算存储服务器中的数据加密。云计算提供商通常将数据存储在多个数据中心中,通过冗余来帮助保护客户信息。
基础设施监控
在迁移到云端时,许多客户需要实施新的安全策略。例如,他们必须更改其防火墙和虚拟网络的设置。根据调研机构Sans公司进行的一项研究,数据中心用户担心未经授权的访问(68%)、应用漏洞(64%)、恶意软件感染(61%)、社交工程和不合规(59%)以及内部威胁53%)。
与此同时,攻击者几乎总能找到破解系统的方法。因此,企业的主要任务是防止攻击传播到网络的其他部分。如果安全系统阻止工作负载之间的未授权交互,并防止非法连接请求,则可以这样实施。
还有许多产品可以监控数据中心的基础设施。例如,思科公司为IT经理提供了网络活动的完整图景,使他们不仅可以查看谁连接到网络,还可以设置用户规则,并管理人们的应做事项,以及他们拥有哪些访问权限。
采用自动化工具
另一种可以提高数据中心可靠性的方法是将安全系统与DevOps的实践相结合。这样做可以让企业加快部署新的应用程序,并更快地引入更改。适应性安全体系结构应与管理工具集成在一起,使安全设置更改成为持续部署过程的一部分。
在云计算基础设施中,安全性成为持续集成和持续部署的组成部分。它可以通过诸如Jenkins插件之类的工具提供,这些工具使代码和安全性测试成为质量保证不可缺少的阶段。用于安全测试和监控的其他DevOps工具包括静态分析(SAST)和动态分析(DAST)解决方案。静态分析(SAST)可以分析处于静态状态的应用程序的源代码,并识别其安全漏洞。动态分析(DAST)在应用程序运行时检测潜在的安全漏洞。
在以往,一个单独的团队将处理产品安全问题。但是这种方法增加了在产品上工作的时间,并不能消除所有的漏洞。如今,安全整合可以在多个方向进行,甚至使用单独的术语:DevOpsSec,DevSecOps和SecDevOps。这些术语之间有区别。人们应该考虑产品开发所有阶段的安全性,其包括云计算基础设施。