業采用云計算，需提高其安全性

云計算是新一代信息技術之一，其不僅具備強大的運算能力，還具有一定的存儲能力，因此備受企業青睞。如今，越來越多的企業采用云計算技術，而如何提高云安的全性，也是很多企業所面臨的問題。

雖然云部署率已經到達了一個新的高度，但是在相應的安全標準上卻遲遲未能跟上發展的步伐。由于公司需要對自己的云安全負責的，所以下面這五個實用的小技巧將會對大家有所幫助。

毫無疑問，云的廣泛使用促進了更大規模的協作，推動了創新與創造力的提升。分布在各個地方的員工可以和諧地共同工作，IT部門能夠降低昂貴的硬件與維護成本，同時企業也可從軟件工具的最新發展中受益。但是這也不可避免地產生了一個問題。人們往往會在興奮之中忘記了安全。許多企業都產生了一個危險的想法，那就是由云服務提供商負責安全性，然而為了防止發生代價高昂的數據泄露事件，企業應當迅速打消這種想法。

由于要面對許多不同類型的云安全威脅，企業制定牢固且周密的云安全策略是至關重要的。為此，企業可以采取以下五個措施來提升自己的云安全性。

建立完整的可見性

企業要想實現有序地發展，需要獲取和部署可與遺留系統集成在一起的新工具，并與不同供應商和合作伙伴建立新關系。在本地服務器和多個外部云服務之間傳輸數據的混合云環境并不少見，但是日益增加的復雜性卻使得企業難以通觀全局。

在對570名網絡安全人員和IT專業人員進行的一項調查當中，當被問及在保護云工作負載時遇到的最頭疼的問題是什么時，認為是基礎設施安全性的可見性比例最高，為43％，其次是合規性（38％），再次為設置統一的安全策略（35％）。如果沒有充分映射并建立實時可見性，那么企業將無法保護自己的云環境。

培訓員工

無論是錯誤配置、訪問控制權不當、網絡釣魚攻擊還是其他的簡單錯誤，絕大多數數據泄露都可以追溯為人為錯誤。這就是適當的安全意識培訓如此重要的原因。企業需要為員工提供一些知識和技能，以降低惡意軟件或未經授權的訪問風險，并確保他們能夠及時報告潛在事件。

確保員工具備正確配置手中工具所需技能只是其中的一部分。企業還需要培養員工良好的安全習慣，并制定清晰細致的規章制度，規定誰應當為此負責以及明確發生潛在事件時的處置程序。完全杜絕錯誤是不可能的，但是正確的反應可以徹底扭轉被動局面。

盡可能早地考慮安全性

對于任何想保護云安全的人來說，部分問題在于他們常常需要為在設計時很少考慮安全性的系統進行安全改造。負責安全的人往往會努力說服承受著各種壓力的設計團隊修改他們的流程，但是部門之間的隔閡可能會導致設計團隊出現不滿和抵制情緒。

向DevSecOps轉變的一個重要內容就是將安全性納入開發過程中并消除隔閡，因為DevSecOps允許從項目啟動之初就將安全性納入到設計當中。雖然這可能是一個雄心勃勃的目標，但是無論是關于部署新工具、開發軟件還是調整云架構，在任何討論中盡早考慮安全性這一基本原則是非常行之有效的。

持續監控

能夠為自己的云創建一個快照并精準映射數據在任何時間的存儲位置只是基礎，企業還需要不斷保持警惕以應對可能出現的麻煩。數據應始終處于加密狀態，訪問權限應被嚴格控制，流量要被監控起來，漏洞也需盡快被識別和修復。

持續監控自己的網絡并連續提供有關潛在威脅的新信息至關重要。企業應確保可疑行為被標記出來，以便發現居心不良的內部人員和未經授權的訪問，并為所有的數據修改或刪除建立清晰的審計跟蹤。企業發現問題的速度越快，獲得解決問題的機會也就越佳。

定期測試

將數據遷移到云端并不會隨之將責任也轉移給云服務提供商，這與目前流行的觀點不同。如果發生數據丟失，企業仍要承擔監管處罰、公信力損失以及所有其他相關后果。這就是為什么企業必須對合作伙伴進行盡職調查并確保他們完全理解合規對企業的意義。

確保內部和外部防御機制正常工作的唯一辦法就是測試它們。企業應當制定并實施定期測試程序，包括從滲透測試到模擬網絡釣魚攻擊的所有內容。在測試中創建反饋循環并加入新興威脅是確保企業安全系統快速發展的最佳方法。此外，企業不要忘記將測試與可操作的補救建議聯系起來，以便安全團隊能夠進行必要的改進。再次強調一下，不要忘記文檔、文檔、文檔，重要的事情說三遍！

雖然云安全還有許多東西需要進行深入挖掘，并且每家企業的網絡看起來都不相同，但是上述這些指導原則應該會有幫助。

來源：青沐沐

原文鏈接：http://security.infosws.cn/20181212/15535.html