云安全服务分流 什么是云安全?
云安全是网络安全的分组,采取多管齐下的方法保护置于云上的所有资产,包括虚拟化 IP、数据、应用、服务和云基础设施。
- 云安全为何如此重要?
- 混合云安全有什么影响?
- 云安全有哪些类型?
- 云安全如何运作?
- 云安全有哪些优势?
- 云安全需要应对哪些挑战?
- 云安全有什么风险?
- 什么是云安全的最佳实践?
- 什么是云安全中的零信任?
- HPE 如何通过云安全为客户提供协助?
云安全为何如此重要?
最新研究显示,全球有 97% 的组织使用某种形式的云服务。在这些组织中,25% 表示数据曾被窃取,20% 表示他们的云基础设施遭遇过攻击。
云平台会带来新的风险,因此在制定网络安全计划时,企业对这一方面高度重视。强大的云安全计划会确立保护企业免受威胁的策略、技术、应用和控制措施。
混合云安全的影响
保障安全是持续不断的过程,而非一蹴而就的事情。混合云为本地数据提供了灵活性和安全性,同时利用云提供商的专业服务处理基于云的数据。这能够解放 IT 人员,让他们将主要精力放在满足业务需求上。此外,混合云还实现了合规性、数据传输安全性 (VPN) 和冗余性,所有这些都会引入一些可控开销,但同时会降低各类风险。
云安全的类型
现代化企业通过云计算获享可扩展性、灵活性和经济性优势。企业迁移到云后,保障数据和基础设施的安全显得至关重要。云安全涉及多个级别,各个级别着力于解决特定的问题。我们在此将介绍网络、数据、应用、身份识别和访问管理方面的安全。
- 网络安全:
- 重要性:网络安全充当云计算的第一道防线。它保护云基础设施通信通道免受不必要的访问、数据泄露和网络攻击。
- 方法:使用防火墙、入侵侦测与防御系统 (IDPS)、VPN 和 SSL 加密来保护传输中的数据。定期进行网络流量审计和监控有助于发现和化解潜在安全问题。
- 数据安全:
- 重要性:数据是组织的命脉;因此,保护数据至关重要。云中的数据安全可保护敏感数据免受不必要的访问、丢失和损坏。
- 方法:对静态数据和传输中数据进行加密以提高安全性。强大的云数据安全计划包括访问限制、DLP 技术和频繁备份。遵守行业标准和相关法律可提高数据的完整性和机密性。
- 应用安全:
- 重要性:云服务依赖于应用。为防止攻击者利用漏洞,保护应用安全势在必行。
- 方法:为了修复漏洞,必须定期更新并修补应用。WAF、代码审查和渗透测试可以发现并解决安全漏洞。容器化和微服务设计则可将各组件隔离开,以提高应用安全性。
- 访问权限和身份管理:
- 重要性:管理用户身份以及限制资源访问对于实现云安全非常关键。未经授权的访问可能会置基础设施于险境并破坏数据。
- 方法:使用多重身份验证 (MFA),仅限授权用户访问云资源。RBAC 根据工作职责分配权限,减少不必要的访问。通过定期评估和更改用户权限提高安全性。
完备的云安全计划应解决网络、数据、应用、身份和访问管理方面的问题。组织必须利用技术、监管和持续监控等措施,在不断变化的云环境中保护各自的数字资产。为确保云基础设施的可靠且安全性,需要对相关人员开展培训并随着技术的发展演变而调整安全措施。
云安全如何运作?
云安全计划会监控云中的所有活动,并建立完善计划以在发生数据泄露时快速做出反应。总体上,云安全有四大目标:保护、检测、控制和恢复。
为完成这四个目标,企业需在此后混合部署始终有效的策略、工具和控制措施。
- 策略:企业应将安全性嵌入任何产品或服务的开发流程。这意味着,与其依赖独立的安全验证团队,不如制定一项策略,规定打造新产品/服务的业务部门应纳入 DevOps 和 DevSecOps。该策略要求各部门和员工参与资产识别、分类,责任制也有助于建立意识和保护。
- 妥善配置:IT 部门需要配置云资产,以将数据与操作分开、自动识别及仅批准需要完成工作之人员和系统的访问请求。
- 集中管理:许多组织实施了不同的云解决方案,而不同提供商也会提供他们自己的管理工具。统一跨所有服务和提供商的云安全,让 IT 能够从一个位置了解每一个访问点,因而能够更轻松地监控和检测威胁。
- 持续监控:IT 可通过现成的工具,了解用户正在访问哪些云计算平台和服务,以及哪些活动会让组织陷入风险之中。此外,这类工具能够确保全天候满足所有安全和合规要求。对所用应用和设备的常规审核,以及对风险的评估也将不间断进行。
- 数据保护:企业应用多种策略来防止数据丢失和/或泄漏。这些策略包括 VPN、加密、掩码(加密可识别身份的信息)以及传输层安全性 (TLS),以防止窃听以及消息篡改。
- 维护:维持冗余以及存储在其他位置的完整数据备份十分关键,许多服务提供商将这些功能捆绑到其订阅中。此外,通常由服务提供商负责跟上更新和安全修补程序软件的步伐,但内部 IT 需要负责修补其自己的服务。
云安全有哪些优势?
降低威胁的能力让企业大获裨益,尽管使用云服务带来一定风险,但是也能够全力以赴保持运营。云安全的主要优势可以归结为其能够做到的预防,预防未经授权的用户和恶意活动。下列为实施云安全计划的各种优势。
- 预防 DDoS 攻击:云安全计划辅以持续监控和分析及缓解工具,可做好万全准备,随时消灭这些刁钻攻击愈演愈烈的威胁。
- 保护数据:将数据与用户和应用分开,以便将敏感数据集中在可自动控制访问的安全位置。
- 更全面的了解:有了集成式云安全计划之后,IT 能够从单个点监控所有活动,不必时刻关注多个云。
- 更高的可用性:由于冗余内置于云安全机制之中,资源和应用会始终保持开启且随时可供访问。
- 法规合规性:传输期间自动加密数据以及对所存储数据的访问控制,让组织能够满足 DOD 和联邦法规。
- 业务连续性:内置于云安全机制之中的冗余不仅可保护数据和资源免遭不法分子的攻击,它们还会确保即便是天气原因和电力中断,业务依然能照常运营。
云安全需要应对哪些挑战?
云部署的量和速度都在提升,置于云上所有资源面临的风险也上升。公司往往会同时使用多个云,不同云用于满足不同功能,这样会导致这些风险进一步增加。以下是基于云的安全所面临的部分挑战。
- 认知:将如此多的资源和活动置于外部环境及云中后,IT 难以掌握各个访问点的情况。如果将所有内容都置于内部环境,那么控制这些途径就轻松得多。
- DDoS 攻击:创纪录的分布式拒绝服务 (DDOS) 攻击量让参与云的各方(包括提供商和订阅者)难以招架。面对速度和敏捷性要求不断提高带来的负担,必须由组织和提供商共同解决。
- 集成:为降低敏感信息流向云服务及通过云服务流出的风险,将现场数据流失预防与云提供商集成势在必行。将数据上传到云之前,IT 应当执行手动或自动数据分类,在内部维持用户授权控制。
- 内部威胁:有时威胁来自内部用户的刻意或意外之举。IT 应采用三管齐下的方法来缓解这种风险:
- 敏感数据只可供托管设备访问
- 将行为分析用于监控活动
- 时常对用户开展相关培训
云安全风险
云计算好处多多,但企业必须解决安全威胁才能保护其数字资产。以下是重大云安全风险:
- 数据泄露:
- 风险:云计算风险包括敏感数据暴露、未经授权的访问、遭窃和漏洞导致的泄露。攻击者可能会利用云服务漏洞或设置不当的存储。
- 数据泄露的类型:内部事件和外部攻击均可导致数据泄露,内部事件通常由配置错误或访问限制不足引起,而外部攻击则指黑客破坏了云基础设施。
- 未经授权的访问:
- 风险:未经授权的访问指个人或组织在没有所需权限的情况下访问云资源。这可能导致数据被篡改、被窃取或服务中断。
- 未经授权访问的类型:未经授权的访问常使用的方法有盗窃凭据、弱身份验证程序以及利用云平台中的安全漏洞。访问权限限制不足和用户权限处理不当会进一步加剧这种危险。
- 内部人员威胁:
- 风险:内部人员威胁指合法访问云环境的人员实施的有害行为。这些人员可能是滥用权力或造成伤害的工作人员、承包商或合作伙伴。
- 内部人员威胁的类型:除了点击网络钓鱼链接等无意行为外,恶意内部人员还会故意泄露机密信息。内部人员可以利用他们的权力获取经济利益、实施报复或间谍活动,这使得难以发现和避开他们。
需要实施强大的身份验证、加密、访问控制和持续监控来减轻这些威胁。为了应对不断变化的云安全问题,组织必须保持警惕、执行安全升级并对用户开展培训。
云安全最佳实践
企业必须实施强大的云计算安全保障措施,以保护关键数据和流程。云安全最佳实践:
- 使用强密码:
重要信息:强密码是防止未经授权访问的第一道安全防线,它可保护云平台用户帐户免受非法访问。
有关创建强密码的提示:
- 使用大小写字母、数字和符号创建强密码。
- 不要使用容易猜到的信息,比如生日或常用短语。
- 确保每个帐户的密码都是唯一的。
- 经常更新密码,并避免使用可猜测的字符序列。
- 实施多重身份验证 (MFA):
重要信息:多重身份验证要求用户提供多种形式的身份验证,因此可提高在线安全性。这极大防止了不必要的访问,即使凭据遭到破坏。
MFA 的类型:
- 电子邮件代码或短信:发送一次性代码到电子邮件地址或注册手机号码。
- 生物身份验证:扫描指纹、人脸或视网膜。
- 硬件令牌:由物理设备生成时效性代码。
- 基于应用的身份验证:使用 Authy 或 Google Authenticator 等移动应用。
- 定期备份数据:
重要信息:网络攻击、设备问题或意外删除均会导致数据丢失。通过定期备份,公司可在数据丢失时快速还原并恢复运营。
备份方法:
- 自动频繁备份:安排频繁备份以减少数据丢失。
- 异地备份:通过将备份存储在其他地方或云中来避免单点故障。
- 版本控制:多次保存文件以避免损坏。
遵循这些最佳实践可以增强云计算的安全性。组织必须优先考虑用户身份验证、数据安全和恢复能力以设计出强大的云架构,从而适应不断变化的数字世界。安全的云系统需能够进行持续监控以及应对各种新型安全威胁。
HPE 如何通过云安全为客户提供协助?
零信任质疑基于边界的策略,假定公司网络内外均会出现攻击。这对于云安全尤为重要,因为这种情况下数据和服务分布在多个环境中。
零信任要求对所有试图访问资源的人员进行身份验证,无论其位置或网络连接如何。云计算呈动态,因此需要强大的身份验证、访问限制和持续监控。
在云安全中实施零信任涉及几项关键原则:
- 在提供访问权限时重点关注用户身份并实施强大的身份验证。
- 只提供完成工作所需的最低访问权限,以减少凭据遭到破坏的影响。
- 实时监控用户活动和网络流量以揭示异常情况和安全问题。
- 将网络细分为更小、更孤立的部分,以防止漏洞并限制基础设施内的横向移动。
零信任云安全认为,永远不应做出可信假设,应该不断实施、更新和验证安全措施,以应对不断变化的数字生态系统威胁局面。这种主动出击的方法可增强云基础设施抵御外部和内部威胁的能力,使其能够应对不断变化的网络安全风险。
云安全中的零信任
HPE 提供了一系列解决方案和服务,以帮助客户改善其云安全态势。以下内容概述了 HPE 如何通过各种产品应对云安全挑战:
- HPE GreenLake 云和即服务解决方案套件,为应用和数据提供云体验,无论它们位于边缘、数据中心、代管主机还是公有云。从边缘到云的零信任架构有助于 HPE GreenLake 填补缺口并简化安全漏洞防范工作。它使用基于风险、由合规性驱动的网络恢复能力和数据保护策略,在保护数字供应链的同时确保安全性与合规性。
- HPE Managed Security 使用可降低成本并释放人力的全套工具来提供可见性和控制力,以保护公司流程,帮助公司达到安全标准。HPE Managed Security 在具有安全功能的基础设施上提供管理、查看和控制工具,帮助企业全面解决安全问题。它采用集成式安全架构并使用持续监控技术,帮助企业实施零信任框架以及检测和修复安全漏洞。
- HPE Managed IT Compliance 托管服务可监控合规性,主动提供修复建议,并安排可信赖的合规性专家为客户提供支持,帮助他们查找和修复安全缺陷,保护数据和应用。HPE Managed IT Compliance 使用基于标准的程序和一流技术,帮助客户为履行不断增加的合规性职责事先做好准备,并尽可能地减少审计准备时间、成本以及降低复杂性。HPE Managed IT Compliance 也协助客户处理与《通用数据保护条例》(GDPR) 和《加州消费者隐私法案》(CCPA) 相关的合规性事宜。
- HPE Data Protection 采用连续数据保护技术,提供永续运行的复制而非快照,保护客户端的数据免受勒索软件攻击和其他威胁。HPE Data Protection 的内置加密功能确保了备份数据安全,无论其位置如何。
- HPE Zero Trust Security 是帮助客户在其边缘到云设置中实施零信任框架的解决方案。HPE Zero Trust Security 提供细化的可见性和控制力,以保护数据、设备、人员和应用免受攻击。使用此解决方案,客户还可以减少攻击面、识别并响应威胁,以及实现安全操作自动化。
- HPE Aruba Networking ClearPass Policy Manager 可以横跨多个供应商的有线、无线及 VPN 基础设施,为员工、承包商和客户提供基于角色及基于设备的网络访问控制。ClearPass 支持安全的自助服务功能,方便最终用户使用。用户可以安全地配置自己的设备来执行企业任务或访问互联网。