使用云服務之前，必須建立的云安全架構知識

隨著數(shù)字化轉型的逐漸深入，大部分企業(yè)紛紛開啟了自己上云進程。然而在上云的過程中，“如何在公有云環(huán)境下有效保證企業(yè)數(shù)據(jù)及業(yè)務安全”成了困擾企業(yè)的難題。大部分企業(yè)不能做到全面安全，只能是哪里告急補哪里，補來補去心里沒底。

針對以上難題，新網(wǎng)云為企業(yè)準備了“安全上云”攻略秘籍，助力企業(yè)全面的提升公有云安全管理能力。
一、云安全的主要挑戰(zhàn)
1、身份和訪問
云系統(tǒng)默認不安全，員工很容易在云上創(chuàng)建資源而無人看管。所有云提供商都提供強大的身份和訪問管理 (IAM) 功能，但應由組織來正確設置它們并將它們一致地應用于所有工作負載。
2、不安全的 API
云中的一切都有一個 API，這既強大又極其危險。未充分保護或使用弱身份驗證的 API 可能允許攻擊者訪問和控制整個環(huán)境。API 是通向云的前門，它通常是敞開的。
3、錯誤配置
云環(huán)境有大量移動部件，包括計算實例、存儲桶、數(shù)據(jù)庫、容器和無服務器功能。其中大部分都是短暫的，每天都有新實例啟動和關閉。這些資源中的任何一個都可能被錯誤配置，從而允許攻擊者通過公共網(wǎng)絡訪問它們、泄露數(shù)據(jù)并對關鍵系統(tǒng)造成損害。
4、合規(guī)風險

組織必須確保云提供商支持所有相關的合規(guī)要求，并了解可以使用哪些控制和服務來滿足合規(guī)義務。
二、構建云安全架構的技巧
新網(wǎng)云提供了包括物理安全，硬件安全，虛擬化安全，云產(chǎn)品安全等4個云平臺層面的安全架構保障；以及賬戶安全，主機安全，應用安全，網(wǎng)絡安全，數(shù)據(jù)安全，安全運營，業(yè)務安全等7個云用戶層面的安全架構保障，真真是將安全武裝到了“牙齒”。企業(yè)可以根據(jù)這份指南搭建一個更簡單、更智能的安全架構，確保生產(chǎn)效率，創(chuàng)造更多的價值。
1、進行盡職調(diào)查
在遷移到云提供商或將云部署擴展到其他云提供商之前，組織應仔細調(diào)查整個云提供商的安全性和彈性屬性以及他們打算使用的特定服務。
2、確定哪些數(shù)據(jù)最敏感
對于大多數(shù)組織而言，對所有數(shù)據(jù)應用嚴格的安全措施是不可行的。某些數(shù)據(jù)可能仍然不安全，但必須確定需要保護哪些數(shù)據(jù)類別以防止違規(guī)和違反合規(guī)性。
可以使用數(shù)據(jù)檢測和分類了解需要保護的內(nèi)容至關重要，這通常是使用自動數(shù)據(jù)分類引擎來實現(xiàn)的。這些工具旨在跨網(wǎng)絡、端點、數(shù)據(jù)庫和云查找敏感內(nèi)容，使組織能夠識別敏感數(shù)據(jù)并建立必要的安全控制。
3、防止影子IT
僅僅因為組織擁有企業(yè)云安全策略并不意味著員工會遵守它。在使用常見的云服務之前，員工很少咨詢 IT 部門。組織的Web代理，防火墻和SIEM日志是衡量員工對云的影子使用情況的良好資源，它可以提供有關正在使用哪些服務以及由哪些員工使用的全面視圖。在發(fā)現(xiàn)影子云使用情況時，可以根據(jù)服務帶來的風險評估服務的附加價值。
4、保護云端點
許多組織正在部署具有多層保護的端點保護平臺，包括端點檢測和響應(EDR)，下一代防病毒(NGAV)以及用戶和實體行為分析(UEBA)。
端點保護在云中更為重要，在云中端點是計算實例、存儲卷和存儲桶以及 Amazon RDS 等托管服務。云部署有大量端點，它們的變化比本地更頻繁，因此需要更高級別的可見性。端點保護工具可以幫助組織控制其云工作負載并保護其安全狀況中最薄弱的環(huán)節(jié)。
總之，構建云安全架構并非易事，組織需要為云環(huán)境解決安全策略、相關合規(guī)標準和安全最佳實踐，同時應對云基礎架構的高度復雜性和動態(tài)性。
新網(wǎng)云是行業(yè)領先的云計算信息技術服務企業(yè)。具有豐富的云服務經(jīng)驗，具有較強的自主研發(fā)能力。自成立以來，累計服務云用戶上萬，行業(yè)包括政府、能源、醫(yī)療、教育、制造業(yè)、電商、物聯(lián)網(wǎng)、文化傳媒、游戲等,為企業(yè)提供上云、用云、管云一站式全生命周期服務。http://www.xinnet.com/cs/cs.html