构建云安全架构的几个技巧

随着基于云的技术的普及，对云安全的需求也随之增加，与任何类型的计算一样，将云用于您的业务也带来风险。因此云安全架构对于确保工作负载的安全性变得至关重要。云安全架构是一个框架，它定义了组织如何处理其运营的每个云模型的云安全，以及它打算使用哪些解决方案和技术来创建安全环境。

云安全最佳实践应该成为云安全架构的起点。这些标准可能来自于一个由云供应商发布的文件，国家标准与技术研究院等组织或互联网安全中心等安全研究组织的合规性标准。云安全架构还必须考虑组织与基础结构即服务(IaaS)提供者之间的共同责任，规定组织应该如何在保护云提供商平台上的数据和工作负载方面发挥作用。

构建云安全架构的几个技巧

1.进行尽职调查

在迁移到云提供商或将云部署扩展到其他云提供商之前，组织应仔细调查整个云提供商的安全性和弹性属性以及他们打算使用的特定服务。

尽职调查过程应包括：

根据来自同行业组织的数据定义安全性和可用性基准
发现云提供商的安全最佳实践及其对组织的影响
尝试云提供商的安全功能，例如加密、日志记录以及身份和访问管理(IAM)
了解云提供商如何帮助满足您的合规义务以及它获得认证的标准
了解您的云提供商的责任共担模型的细节以及您的组织负责哪些安全元素
评估第一方安全服务(由云平台提供)并将它们与第三方替代产品进行比较
评估现有的安全工具是否与新的云环境相关

2.确定哪些数据最敏感

对于大多数组织而言，对所有数据应用严格的安全措施是不可行的。某些数据可能仍然不安全，但您必须确定必须保护哪些数据类别以防止违规和违反合规性。使用数据检测和分类了解您需要保护的内容至关重要。

这通常是使用自动数据分类引擎来实现的。这些工具旨在跨网络、端点、数据库和云查找敏感内容，使组织能够识别敏感数据并建立必要的安全控制。

3.让员工云使用走出阴影

仅仅因为您拥有企业云安全策略并不意味着员工会遵守它。在使用常见的云服务(例如Dropbox或基于网络的电子邮件)之前，员工很少咨询IT部门。

组织的Web代理，防火墙和SIEM日志是衡量员工对云的影子使用情况的良好资源。这些可以提供有关正在使用哪些服务以及由哪些员工使用的全面视图。在发现影子云使用情况时，您可以根据服务带来的风险评估服务的附加价值。您可以选择“合法化”影子云服务，也可以进行打击并采取措施禁止它们。

影子使用的另一个方面是从不受信任的端点设备访问合法的云资源。由于连接到Internet的任何设备都可以访问任何云服务，因此个人移动设备可能会在您的安全策略中造成差距。为了防止数据从受信任的云服务逃逸到不受管理的设备，在启用访问之前需要设备安全验证。

4.保护云端点

许多组织正在部署具有多层保护的端点保护平台，包括端点检测和响应(EDR)，下一代防病毒(NGAV)以及用户和实体行为分析(UEBA)。

端点保护在云中更为重要。在云中，端点是计算实例、存储卷和存储桶以及Amazon RDS等托管服务。

云部署有大量端点，它们的变化比本地更频繁，因此需要更高级别的可见性。端点保护工具可以帮助组织控制其云工作负载并保护其安全状况中最薄弱的环节。

5.了解您在合规义务中的作用

请记住，合规性最终是您组织的唯一责任。无论您将多少业务功能转移到云端，您都可以选择一个云架构平台来帮助您遵守适用于您所在行业的所有监管标准，无论是PCI DSS、GDPR、HIPAA、CCPA还是任何其他标准或法规。

理解云提供商提供的工具和服务，确保遵守规则，以及您可以使用何种第三方工具创建可遵守并通过审计验证的云系统。