提高云安全的10条规则

据估计，全球50%的企业数据已经存储在云端中，这充分说明了这个仍然相对年轻的行业的爆炸性增长。我们都知道推动这种云存储策略的好处是提高敏捷性、易于扩展和成本效益。

云中的安全性遵循一种称为共享责任模型的模式，该模式规定提供商只对云“的”安全负责，而客户则对云中的安全负责。这实质上意味着要在云中运行，您仍然需要承担安全配置和管理的工作。您的承诺范围可能会有很大差异，因为这取决于您使用的服务:如果您订阅了基础架构即服务(IaaS)产品，您将负责操作系统补丁和更新。如果您只需要对象存储，您的责任范围将仅限于防止数据丢失。

提高云安全的10条规则

1、不要忽视开发人员证书

作为一家每天扫描数以百万计的公共和私人代码存储库的公司，我们如何强调健全的凭证政策的重要性是再怎么不过的了。我们应该确保自己的开发人员至少只使用短期凭证，并最终投入所需的时间来完成一个完整的设置，包括管理（如保险库）和检测。

2、始终查看默认配置

云提供商预先配置了通用的访问控制策略。这些很方便，但经常会发生变化，因为正在引入新服务，它们不一定符合您的需求。通过选择退出不必要或未使用的服务来减少攻击面。

3、列出可公开访问的存储

在新闻中读到一些云存储被开放并公开访问的消息并不少见。无论您为对象和数据选择哪种存储方法，请检查是否只有预期的组件可以公开访问。

4、定期审核访问控制

如前所述，云安全与您的身份和访问管理策略一样强大。基于身份的安全系统逐渐占据主导地位，形成了所谓的“零信任”策略的基础。但就像其他所有事情一样，这些政策将被修改。实施最小特权原则是一个积极的过程，涉及微调对服务、系统和网络的访问。应定期安排手动和自动检查并严格执行。

5、利用网络结构

同样的规则也适用于网络：您应该利用云提供商的控制来构建更好的、细粒度的策略来仔细划分流量。

6、预防性记录和监控

没有强大的监控和日志记录，就无法实现良好的安全性。基于风险的日志记录策略是必须的，但最重要的是，您应该确保警报不仅已启用且正常工作，而且是可操作的，而不是您在事件发生后查看的内容。理想情况下，您应该能够通过API或其他机制在您自己的日志系统上聚合云日志。

7、丰富您的资产清单

使用供应商的API来减轻库存管理的艰巨任务固然不错，但是通过有关所有权、用例和敏感性的额外信息来丰富这一点会更好。在你的策略中考虑它。

8、防止域劫持

云服务和DNS条目之间经常存在传递信任。定期检查您的DNS和云配置，以防止出现接管情况。

9、灾难恢复计划不是可选的

云环境不会自动解决灾难恢复(DR)问题。考虑什么级别的投资适合您的云环境中的灾难性事件。设计一个DR程序以从外部帐户、提供商或语言环境中恢复。

10、限制手动配置

利用云原生安全工具和控制意味着自动化。请记住，漏洞源于错误配置，而错误配置就是错误。需要完成的手动工作越多，错误潜入的大门就越多。您需要推动您的团队实现更多自动化，尽可能使用安全即代码并逐步强制执行不变性（不再可能手动配置）。