提高云计算安全性的5个技巧

随着云采用率上升到新的高度，安全标准未能跟上其发展的步伐。组织需要对自己的云计算安全负责，而五个实用技巧将会对此有所帮助。

毫无疑问，云计算的广泛采用促进了更大规模的协作，推动了创新和创造。企业分布在各地的员工可以更加和谐地工作，IT部门可以减少昂贵的硬件和维护成本，组织可以从软件工具的最新发展中受益。但不可避免地会面临安全性这个问题。

[[245494]]

安全性已经在云计算应用的兴奋中被遗忘，许多企业已经做出一些危险假设，认为如果发生代价高昂的数据泄露，云计算服务提供商应该负有责任。企业需要担心许多不同的云计算安全威胁，因此制定一个强大的、全面的云安全策略至关重要。

为此，企业可以采取以下五个技巧来改善云计算的安全性。

1. 建立完全可见性

组织有机地开发、获取和采用必须与遗留系统集成的新工具，并与不同的供应商和合作伙伴建立新的关系。在本地服务器和多个外部云计算服务之间传播数据，这并不罕见。日益增加的复杂性使得难以保持全局视图。

在调查中，当570名网络安全人员和IT专业人员被问及尝试保护云计算工作负载时最头痛的问题时，43%的受访者表示是基础设施安全性的可见性，38%的受访者表示是合规性，35%的受访者表示设置一致的安全策略。如果没有完全映射并建立实时可见性，企业无法保护其云计算环境，无论它看起来如何。

2. 培训员工

绝大多数数据泄露事件都能追溯到人为错误，无论是错误配置、访问控制不良、网络钓鱼攻击还是简单错误。这就是适当的安全意识培训如此重要的原因。为企业员工提供所需的信息和技能，以降低恶意软件或未经授权的访问风险，并确保及时报告潜在事件。

确保企业的员工具备正确配置他们正在使用的工具所需的技能，这只是其中的一部分。还需要灌输良好的安全意识，并制定非常明确的政策，规定谁负责以及发生潜在事件时的程序。完全防止错误是不可能的，但正确的反应可以创造一个与众不同的世界。

3. 尽早包含安全性

对于任何试图保护云计算平台的人来说，部分问题在于他们通常会将安全性改造为在设计时很少考虑的系统。负责安全的人往往努力说服压力不足的团队改变他们的流程。部门之间的障碍可能导致怨恨和抵制。

企业引入安全性并消除障碍是向DevSecOps转变的一部分，DevSecOps允许从任何项目的开始设计安全性。这可能是一个雄心勃勃的目标，但在任何讨论中尽早包含安全性的基本原则是有效的，无论是采用新工具，开发软件，还是云计算架构的变更。

4. 持续监控

创建云计算的快照，并精确映射数据在任何给定时刻的位置只是基础，企业还需要不断警惕以应对产生的问题。数据应始终加密，应严格控制访问，监控流量，并尽快识别和修复漏洞。

企业需要持续监控网络，并持续提供有关潜在威胁的新信息。确保标记可疑行为，以便可以发现恶意内部人员以及未经授权的访问。为任何数据修改或删除构建清晰的审计路径。企业发现问题的速度越快，解决问题的机会就越大。

5. 定期测试

与流行的看法相反，将数据转移到云中并不会将责任转移到云计算提供商。如果发生数据丢失，企业仍将承担监管处罚、丧失用户信任，以及所有其他相关后果的责任。这就是为什么企业必须对合作伙伴进行尽职调查并确保他们完全理解合规的意义的原因。

唯一可以确保企业内部和外部防御工作正常的方法就是测试。应该规划和实施定期测试程序，其中包括从渗透测试到模拟网络钓鱼攻击的所有内容。创建反馈循环并激发新兴威胁是确保企业的安全系统快速发展的最佳方法，但不要忘记将测试与可操作的补救建议联系起来，使企业的团队能够进行必要的更改。此外，不要忘记文档的安全。

云计算安全需要深入挖掘，每个组织的网络和业务都各不相同，但这些指导原则应该对其有益。