云安全是专门保护云计算系统的网络安全学科。这包括在基于在线的基础架构、应用程序和平台上保持数据的私密和安全。保护这些系统需要云提供商和使用它们的客户的努力,无论是个人、中小型企业还是大企业使用。
一、云安全定义
云安全是专门保护云计算系统的网络安全学科。这包括在基于在线的基础架构、应用程序和平台上保持数据的私密和安全。保护这些系统需要云提供商和使用它们的客户的努力,无论是个人、中小型企业还是大企业使用。
云提供商通过始终在线的互联网连接将服务托管在其服务器上。由于他们的业务依赖于客户的信任,因此使用云安全方法来确保客户数据的私密和安全存储。但是,云安全也部分掌握在客户手中。理解这两个方面对于健康的云安全解决方案至关重要。
云安全的核心由以下几个类别组成:
- 数据安全
- 身份和访问管理 (IAM)
- 治理(有关威胁预防、检测和缓解的策略)
- 数据保留 (DR) 和业务连续性 (BC) 规划
- 法律合规性
云安全看起来像是传统的 IT 安全,但此框架实际上需要不同的方法。在深入探讨之前,我们先来看看什么是云安全。
二、什么是云安全?
云安全是一整套技术、协议和最佳做法的总称,旨在保护云计算环境、云中运行的应用程序和云中保存的数据。要保护云服务,首先应了解要保护的确切内容,以及必须管理的系统方面。
总的来说,针对安全漏洞的后台开发主要掌握在云服务提供商手中。除了选择具有安全意识的提供商,客户应主要注重正确的服务配置和安全的使用习惯。此外,客户应确保任何最终用户硬件和网络均受到适当保护。
全面的云安全旨在保护以下组件,无论您的责任如何:
- 物理网络 — 路由器、电力、布线、气候控制等
- 数据存储 — 硬盘驱动器等
- 数据服务器 — 核心网络计算硬件和软件
- 计算机虚拟化框架 — 虚拟机软件、主机和客户机
- 操作系统 (OS) — 支持所有计算机功能的软件
- 中间件 — 应用程序编程接口 (API) 管理
- 运行时环境 — 正在运行的程序的执行和维护
- 数据 — 存储、修改和访问的所有信息
- 应用 — 传统软件服务(电子邮件、税务软件、生产力套件等)
- 最终用户硬件 — 计算机、移动设备、物联网 (IoT) 设备等
在云计算中,这些组件的所有权可能相差很大。这可能会使客户的安全责任范围不明确。由于对云的保护可能因每个组件所有权的不同而有所不同,因此了解这些组件通常如何分组非常重要。
简单来说,从两个主要角度保护云计算组件:
1. 云服务类型 由第三方提供商提供,作为用于创建云环境的模块。根据服务类型,您可能管理不同等级的服务内组件:
- 任何第三方云服务的核心都涉及提供商,提供商负责管理物理网络、数据存储、数据服务器和计算机虚拟化框架。服务存储在提供商的服务器上,并通过其内部管理的网络进行虚拟化,以交付给客户进行远程访问。这省去了硬件和其他基础设施的成本,使客户可以从任何地方通过互联网连接来满足他们的计算需求。
- 软件即服务 (SaaS) 云服务允许客户访问完全在提供商的服务器上托管和运行的应用程序。提供商管理应用程序、数据、运行时、中间件和操作系统。客户只负责访问他们的应用程序。SaaS 的例子包括 Google Drive、Slack、Salesforce、Microsoft 365、Cisco WebEx、Evernote。
- 平台即服务云服务为客户提供了一个可自行开发应用程序的主机,这些应用程序在提供商服务器上的客户“沙盒”空间内运行。提供商管理运行时、中间件和操作系统。客户负责管理他们的应用程序、数据、用户访问、最终用户设备和最终用户网络。PaaS 的例子包括 Google App Engine、Windows Azure。
- 基础设施即服务 (IaaS) 云服务为客户提供硬件和远程连接框架,以承载其大量计算,乃至操作系统。提供商只管理核心云服务。客户负责保护操作系统上堆叠的一切内容,包括应用程序、数据、运行时、中间件和操作系统本身。此外,客户还需要管理用户访问、最终用户设备和最终用户网络。IaaS 的例子包括 Microsoft Azure、Google Compute Engine (GCE)、Amazon Web Services (AWS)。
2. 云环境是指部署模型,一个或多个云服务在其中为最终用户和组织创建系统。这些模型细分了客户和提供商之间的管理责任(包括安全性)。
目前使用的云环境有:
- 公有云环境由多租户云服务组成,其中一个客户与其他客户共享提供商的服务器,例如办公楼或众创空间。这些服务是提供商运行的第三方服务,通过网络为客户提供访问。
- 私有第三方云环境基于云服务的使用,允许客户独占使用他们自己的云。这些单租户环境通常由外部提供商异地拥有、管理和运营。
- 私有内部云环境也由单租户云服务服务器组成,但它们在自己的私有数据中心内运行。在这种情况下,该云环境由企业自己运行,允许对每个元素进行全面的配置和设置。
- 多云环境包括使用来自不同提供商的两种或更多种云服务。这些服务可以是任何公有和/或私有云服务的混合。
- 混合云环境包括将私有第三方云和/或现场私有云数据中心与一个或多个公有云混合使用。
通过从这个角度进行构架,我们可以了解到,根据用户使用的云空间类型,基于云的安全性可能会有所不同。但是,个人和组织客户都会感受到这种影响。
三、云安全的原理
每一项云安全措施都旨在完成以下一个或多个目标:
- 在数据丢失的情况下启用数据恢复
- 保护存储和网络,防止恶意数据窃取
- 防止可导致数据泄露的人为错误或疏忽
- 减少任何数据或系统泄露的影响
数据安全是云安全的一个方面,涉及威胁防御的技术端。工具和技术允许提供商和客户在敏感数据的访问权限和可见性之间插入屏障。其中,加密是目前最强大的工具之一。加密会对您的数据进行加扰,这样只有拥有加密密钥的人才能读取。如果您的数据丢失或被盗,实际上将无法读取且毫无意义。虚拟专用网 (VPN) 等数据传输保护方式也在云网络中占有更高比重。
身份和访问管理 (IAM) 与提供给用户帐户的可访问性权限有关。管理用户帐户的身份验证和授权也在此有所应用。访问控制是限制用户(合法用户和恶意用户)进入和破坏敏感数据和系统的关键。密码管理、多因素身份验证和其他方法都属于 IAM 的范畴。
治理着重于威胁预防、检测和缓解的策略。对于中小型企业和大企业,威胁情报等方面有助于跟踪威胁和确定威胁优先级,以确保基本系统受到精心保护。不过,即使个人云客户也可以从评估安全用户行为策略和培训中获益。这些策略主要适用于组织环境,但安全使用和应对威胁的规则对任何用户都有帮助。
数据保留 (DR) 和业务连续性 (BC) 规划涉及数据丢失时的技术性灾难恢复措施。任何 DR 和 BC 计划的中心都是数据冗余方法,例如备份。此外,拥有确保不间断运行的技术系统也会有所帮助。用于测试备份有效性的框架和详细的员工恢复说明对于全面的业务连续性计划同样有价值。
法律合规性以保护立法机构规定的用户隐私为主题。政府已经开始重视保护私人用户信息,防止其被人利用来牟利。同样,各组织必须按照规定遵守这些政策。一种方法是使用数据屏蔽,通过加密方法隐藏数据中的身份。