云計(jì)算已經(jīng)成為一種主流力量，為現(xiàn)代組織帶來(lái)了規(guī)模經(jīng)濟(jì)和突破性的技術(shù)進(jìn)步，但這不僅僅是一種趨勢(shì)，云計(jì)算正在以驚人的速度發(fā)展。然而，不斷擴(kuò)展的云環(huán)境也帶來(lái)了新的風(fēng)險(xiǎn)。

[[284529]]

安全使用云服務(wù)的需求

組織已經(jīng)充分證明了云服務(wù)支持的業(yè)務(wù)流量正在不斷激增。但是，在使用云服務(wù)時(shí)，組織仍然不確定是否將其數(shù)據(jù)委托給云服務(wù)提供商(CSP)。CSP通常會(huì)提供一定級(jí)別的安全，這一點(diǎn)在多次調(diào)查中得到了證實(shí)，但與云相關(guān)的安全事件確實(shí)會(huì)發(fā)生。

CSP不能完全為其客戶(hù)的關(guān)鍵信息資產(chǎn)的安全性負(fù)責(zé)。云安全同樣取決于客戶(hù)實(shí)施信息安全控制的能力。但是，云環(huán)境復(fù)雜多樣，部署和維護(hù)核心安全控制始終沒(méi)有統(tǒng)一的方法。組織必須意識(shí)到這一點(diǎn)，并履行其責(zé)任，共同保護(hù)云服務(wù)，以成功應(yīng)對(duì)日益增長(zhǎng)的針對(duì)云環(huán)境的網(wǎng)絡(luò)威脅，這一點(diǎn)至關(guān)重要。

云服務(wù)的主要功能

企業(yè)迅速采用了云服務(wù)，原因是云服務(wù)易于采購(gòu)、設(shè)置成本相對(duì)較低，而且能夠取代不再滿(mǎn)足業(yè)務(wù)需求的傳統(tǒng)技術(shù)。但是，多個(gè)云服務(wù)所帶來(lái)的的功能也具備多樣性，管理安全性并不是一件容易的事。

云服務(wù)涵蓋了大量的產(chǎn)品，例如業(yè)務(wù)應(yīng)用程序、文檔存儲(chǔ)解決方案、數(shù)據(jù)庫(kù)和虛擬服務(wù)器，所有這些都可以通過(guò)公共網(wǎng)絡(luò)(最常見(jiàn)的是Internet)從選定的CSP中按需購(gòu)買(mǎi)。

隨著企業(yè)轉(zhuǎn)向云計(jì)算以增強(qiáng)其業(yè)務(wù)運(yùn)營(yíng)，它們更傾向于購(gòu)買(mǎi)云服務(wù)，而不是擴(kuò)展傳統(tǒng)的本地IT數(shù)據(jù)中心。這種現(xiàn)象通常被稱(chēng)為云優(yōu)先策略，已被無(wú)數(shù)組織采用。對(duì)于許多組織而言，這意味著它們幾乎整個(gè)IT基礎(chǔ)設(shè)施最終都將托管在云環(huán)境中。

多云環(huán)境的興起

組織喜歡多云環(huán)境，因?yàn)樗试S他們?cè)诓煌腃SP(如AWS、Microsoft Azure、Google cloud、Salesforce)中選擇自己喜歡的云服務(wù)。但是，每個(gè)CSP都采用自己的特定技術(shù)和方法進(jìn)行安全管理。因此，云客戶(hù)需要獲得廣泛的技能和知識(shí)，才能安全地使用來(lái)自多個(gè)CSP的云服務(wù)。

組織需要一系列不同的用戶(hù)通過(guò)安全的網(wǎng)絡(luò)連接(例如通過(guò)網(wǎng)關(guān))從組織的內(nèi)網(wǎng)安全地訪(fǎng)問(wèn)云服務(wù)。然而，組織也需要其云服務(wù)能夠被業(yè)務(wù)合作伙伴和用戶(hù)(不在本地或遠(yuǎn)程辦公的)從外部訪(fǎng)問(wèn)，所有這些都需要組織指定的安全網(wǎng)絡(luò)連接進(jìn)行連接。

克服云安全挑戰(zhàn)

雖然CSP為他們的云服務(wù)提供一定程度的安全性，但組織需要了解其安全義務(wù)并部署必要的安全控制措施。這就要求組織了解由云環(huán)境的復(fù)雜和異構(gòu)帶來(lái)的安全挑戰(zhàn)。

ISF成員已經(jīng)確定了在云環(huán)境中安全運(yùn)行的幾個(gè)障礙。主要挑戰(zhàn)包括：

• 確定并維護(hù)適當(dāng)?shù)陌踩刂?/li>
• 平衡CSP和云客戶(hù)之間的安全責(zé)任
• 滿(mǎn)足法規(guī)要求以保護(hù)云環(huán)境中的敏感數(shù)據(jù)

云使用的快速增長(zhǎng)加劇了這些挑戰(zhàn)。在某些情況下，組織并沒(méi)有做好充分準(zhǔn)備來(lái)應(yīng)對(duì)云安全問(wèn)題。

平衡CSP和云客戶(hù)之間的安全共享責(zé)任

確保云服務(wù)的安全使用是CSP和云客戶(hù)之間的共同責(zé)任。CSP的安全職責(zé)是保護(hù)多租戶(hù)云環(huán)境，包括后端服務(wù)和物理基礎(chǔ)設(shè)施，以及隔離不同客戶(hù)之間的數(shù)據(jù)。

雖然CSP維護(hù)了許多底層云基礎(chǔ)設(shè)施，但云客戶(hù)負(fù)責(zé)保護(hù)其數(shù)據(jù)和用戶(hù)管理。客戶(hù)的責(zé)任是否延伸到執(zhí)行應(yīng)用程序、操作系統(tǒng)和網(wǎng)絡(luò)的安全配置，取決于所選的云服務(wù)模型。

這種共同的安全責(zé)任可能會(huì)造成混亂，并導(dǎo)致客戶(hù)過(guò)度依賴(lài)CSP來(lái)減輕威脅并防止安全事件的發(fā)生。云客戶(hù)需要清楚地了解如何與每個(gè)CSP共同承擔(dān)安全責(zé)任，以便識(shí)別和部署必要的安全控制措施來(lái)保護(hù)云環(huán)境。

滿(mǎn)足法規(guī)要求以保護(hù)云環(huán)境中的敏感數(shù)據(jù)

使用本地IT數(shù)據(jù)中心的企業(yè)將準(zhǔn)確知道其關(guān)鍵數(shù)據(jù)和敏感數(shù)據(jù)所在的位置，并且可以完全控制其數(shù)據(jù)的移動(dòng)，這在實(shí)施安全控制時(shí)有很大幫助。而在云環(huán)境中，數(shù)據(jù)可以更自由地進(jìn)出企業(yè)范圍，這可能會(huì)模糊關(guān)鍵和敏感數(shù)據(jù)的位置，無(wú)法更好地保護(hù)它們，從而可能會(huì)妨礙企業(yè)根據(jù)合規(guī)性要求在其所有云服務(wù)中有效實(shí)施必需的安全控制的能力。

盡管云客戶(hù)有責(zé)任確保其數(shù)據(jù)在云環(huán)境中的安全性，但是客戶(hù)對(duì)數(shù)據(jù)的控制在本質(zhì)上是有限的，因?yàn)閿?shù)據(jù)是由外部方(CSP)存儲(chǔ)在異地位置的，通常是在另一個(gè)國(guó)家。此外，出于彈性的考慮，CSP通常會(huì)利用地理位置不同的幾個(gè)數(shù)據(jù)中心，以確保組織的數(shù)據(jù)存儲(chǔ)在多臺(tái)服務(wù)器上。

這在管理跨邊界數(shù)據(jù)，了解數(shù)據(jù)在特定時(shí)刻的位置，確定適用的法律管轄權(quán)以及確保遵守相關(guān)法律法規(guī)方面增加了額外的復(fù)雜性，這是云客戶(hù)的義務(wù)，而不是CSP的。

發(fā)揮最大潛力并承擔(dān)責(zé)任

現(xiàn)如今的企業(yè)必須快速運(yùn)轉(zhuǎn)，提供新產(chǎn)品和服務(wù)以保持競(jìng)爭(zhēng)優(yōu)勢(shì)。因此，許多公司選擇進(jìn)一步向云計(jì)算邁進(jìn)，因?yàn)樵品?wù)提供的彈性和可伸縮性提供了競(jìng)爭(zhēng)所需的靈活性。對(duì)于企業(yè)來(lái)說(shuō)，有信心在確保重要的技術(shù)基礎(chǔ)結(jié)構(gòu)安全的同時(shí)可以遷移到云端，這需要一個(gè)可靠的策略。

云環(huán)境已成為網(wǎng)絡(luò)攻擊者的一個(gè)誘人的目標(biāo)，企業(yè)迫切需要增強(qiáng)其現(xiàn)有安全措施。然而，由于云環(huán)境的多樣性和擴(kuò)展性，持續(xù)地確保云的安全性可能是一項(xiàng)復(fù)雜的任務(wù)。

這只是企業(yè)安全使用云服務(wù)需要克服的眾多挑戰(zhàn)之一，企業(yè)不能僅依靠CSP來(lái)保護(hù)其關(guān)鍵信息資產(chǎn)，而必須承擔(dān)自己的責(zé)任，這就要求有良好的治理，部署核心控制以及采用有效的安全產(chǎn)品和服務(wù)。涵蓋網(wǎng)絡(luò)安全，訪(fǎng)問(wèn)管理，數(shù)據(jù)保護(hù)，安全配置和安全監(jiān)視的控件對(duì)于信息安全從業(yè)人員而言并不是什么新事物，但它們對(duì)安全地使用云服務(wù)至關(guān)重要。

確保服務(wù)的安全使用，將為企業(yè)決策者提供擁抱云所需的信心，從而最大程度地發(fā)揮云的潛力并推動(dòng)企業(yè)走向未來(lái)。