如今，許多***信息安全官呼吁人們需要正視云計算的安全需求。然而，盡管大家都有著共同的關注點，但采取的方法卻各不相同;有些人呼吁在服務器方面做好防護工作，而另一些人則希望把重點放在工作人員在文件的上傳、下載、協作等方面的安全教育，這通常會產生一系列新的限制和監控政策。雖然這些方法通常都是圍繞服務器展開的，但讓用戶云平臺更加安全的新方法應該成為優化云安全的重中之重。

[[238945]]

1. 保護設備與保護訪問的云服務一樣重要

似乎沒有人否認操作系統(OS)提供商在設備保護方面最有效這一事實，這些提供商能夠在零日時間內處理幾乎所有的違規行為。工作人員用來訪問組織資源的移動設備數量不斷增加，正在出現被盜、人為疏忽或不負責任等安全漏洞。例如，如果某個設備已經植入病毒，或者已被加載一些非法應用程序，則該設備所訪問的所有云服務都可能受到損害。

人們可能認為加強用戶教育就足以解決這個問題，而用戶需要為自己的行為負責任。然而，即使是最負責任、最安全的用戶也仍然是一個風險因素。而且，就算用戶本身的設備是安全的，但它仍處于危險區域。用戶可能會有將敏感數據下載到設備，使用安裝有鍵盤記錄器的外部計算機，并將應用程序轉載到私人設備等不安全行為。

因此，任何這些行為都會使惡意人員更容易破解設備，并以一種可能無法識別的方式植入程序，并且不會被用戶檢測到——至少在為時已晚之前。植入、加載、禁用加密、密碼清除、未修補的操作系統，這些是將為設備、代理，以及云應用帶來的一些風險。組織如果希望具有強大的云保護功能，則需要了解設備安全狀況，以及識別出風險的能力。

2. 網絡是最容易被忽視的安全風險

然而，保護設備和云端并不意味著連接它們的網絡不會受到威脅。如今的工作場所更具靈活性，工作人員更有可能在公共場所遠程工作。無線網絡有多種形式：一些無線網絡在安全風險方面易于識別和分類，另一些無線網絡在灰色地帶之間，人們對這些并不熟悉。用戶并不總是對他們所連接的網絡給予足夠的關注。有時用戶確實不了解危險，有時他們只專注于找到連接到網絡的最快方式，以便能夠繼續工作。工作人員通常通過咖啡店、酒店房間、機場的公共網絡直接連接到企業的云平臺。陌生的網絡連接使用戶難以對黑客進行防范，從而會為企業的云平臺和整個云安全鏈帶來風險。網絡似乎是安全鏈路中最薄弱的部分。

不幸的是，許多人認為拒絕任何公共網絡訪問是最終的解決方案，但這是一種現實的方法嗎?使用私有設備的員工總是在尋找最簡單、最方便的解決方案，甚至在經歷過糟糕的用戶體驗之后，他們仍會找到繞過網絡安全限制的方法繼續工作。這也是一個誤導性的事實，即所有公共網絡都是有風險的，事實上并非所有的開放網絡都是惡意的。當網絡的每一端(設備和云端)連接時都有內置的防護措施，而這些安全措施在網絡本身很少存在。

因此，監控網絡行為，并快速徹底地分析可疑網絡至關重要，以便在發生任何損害之前識別出惡意網絡。保護云平臺需要有保護網絡的姿態，以確保獲得所有用戶持續的信任，這意味著從安全性和加密設置一直到IP網絡的路由路徑都需要進行保護。畢竟，如果設備連接到一個受到威脅的網絡，那么這個網絡可以用來竊取用戶的憑證，盜取企業數據或者刪除加密，那么采用這樣的網絡會有什么好處呢?

3. 了解用戶行為對于確保安全使用和協作至關重要

在討論任何安全問題時，惡意行為者似乎是一個出發點，但企業面臨的內部威脅應該是真正的安全優先事項。有些用戶的意圖并不具有惡意，但他們的一些無意的行為卻是危險的。有些用戶甚至不知道他們的行為可能對運營產生影響。用戶配置文件可以分為三個部分：用戶角色，用戶行為和協作模式。

用戶的角色是權限、訪問權限、合理行為的重要方面。良好的安全訪問策略將提供幫助。例如，雖然可以授予管理員廣泛的權限，但是不應該讓他們從非公司網絡獲得對AWS的訪問權限。市場營銷人員可能不允許訪問財務的Dropbox目錄。

用戶行為應該被視為一個軌跡地圖。從用戶操作的通常位置，到他們通?；顒拥奶囟〞r間，以及他們訪問的典型服務這些都是他們的活動軌跡。在用戶虛擬地圖上映射他們的數字足跡之后，他們的任何異常都應該警告系統，并按照預先分配的安全策略行事。不尋常的異常行為采用強烈的信號標識。例如，監控設備的地理環境可以顯示用戶正嘗試從亞洲登錄，而他的設備卻位于紐約?；蛘?，通常每個工作日下載2MB到3MB文件的用戶突然嘗試在凌晨3點下載3GB文件。

至于協作模式，任何能夠與協作者共享的內容都應該被監控。這包括授予哪些權限，哪些用戶處于活動狀態，哪些用戶可以訪問哪些信息，并且可以根據需要共享這些信息。只有能夠理解用戶行為的系統才能將用戶標記為可信，并警告用戶執行可能存在風險的活動。

設備保護、網絡安全、用戶行為是安全的三個要素，每個要素都是確保云安全的一個組成部分。它們是包含服務器本身的安全鏈的一部分，但也同樣重要。將這三個鮮為人知的因素與安全鏈的其他關鍵部分結合起來，將會創建更強大的云安全。而***信息安全官員不必擔心云端安全，因為他們采用了正確的云安全方法。