云上的數據安全最佳實踐包括：了解和實施安全基礎知識、遵守責任共擔模型、數據加密以及遵守適用的法規。

數據安全的基本原理通常可以追溯到CIA三要素：數據機密性、數據完整性和數據可用性。

責任共擔模型是指云供應商和使用云的組織都有責任確保組織云基礎架構的整體安全性，包括存儲在其中的數據。

數據加密是數據安全的基本要素，在云環境中尤為重要。云供應商可以提供高級加密工具以及用于加密密鑰的安全存儲模塊。

最后，圍繞數據安全，特別是數據隱私的法規也在不斷發展。組織應建立系統，以確保其始終遵守任何相關法律法規。

CIA 三位一體和云中的數據安全

CIA 三要素是一組三個安全屬性，可指導組織保護任何環境(包括云)。三位一體涵蓋了安全性的基本方面，可以幫助組織理解和更好地實施安全工具。這三個屬性是機密性、完整性和可用性。它有時被稱為AIC，以免與美國情報機構混淆。主要的云供應商提供能夠遵守三位一體的安全服務。

數據機密性是指私人數據保持私密狀態，未經授權的實體不會看到這些數據。組織通常會使用加密來確保只有有權訪問數據的授權實體才能看到它。

當組織知道數據沒有被意外或惡意行為者操縱時，數據具有完整性。組織可以使用身份訪問管理 (IAM) 工具僅允許授權實體訪問數據。通過使用 IAM 工具，組織可以遵循最小特權原則，即員工僅擁有有效完成工作所需的云訪問權限量。

可用性是指被授權實體可以訪問數據的時間量。數據變得不可用的一種方式是當拒絕服務(DoS)攻擊或網絡中斷導致云數據中心癱瘓時。擁有分散在地理位置上的數據備份可以提高數據可用性。當云供應商的云數據中心在地理位置上分散時，它被稱為分布式云。

然而，在云計算中使用CIA三元組存在挑戰。它是一種基本的安全方法，但不能涵蓋所有現代安全威脅。例如，物聯網(IoT)設備的激增對于CIA來說本身就是一個挑戰。

許多物聯網設備依賴于云，物聯網設備通常沒有足夠頻繁地修補，使用弱密碼，并且很容易被損壞以用于僵尸網絡中的DoS攻擊。這些安全風險打開了一扇通往云的大門，并損害了完整性。

組織可能還必須進行權衡。例如，如果數據需要高度的機密性和完整性，則它可能必須具有較低的可用性。犧牲可用性可能意味著數據無法分布在多個數據中心。

組織緩解 IoT 設備風險的一種方法是實施一致的策略。由于跨云環境中策略實施的一致性，組織云環境中的弱點受到限制。這是因為擁有全面相同的安全策略可以減少云中可能被利用的弱點的可能性。

主要云供應商的安全技術

主要的云供應商非常重視其云數據中心的安全性。云供應商采取許多措施來為客戶數據提供安全的環境。這些操作可能包括物理數據中心安全、安全軟件、信任根硬件、徹底的數據擦除和硬件銷毀。

但是，云供應商并不完全負責保護云和客戶數據。 責任共擔模型可能因云供應商而異，它描述了是供應商還是客戶負責保護云的不同方面。根據組織使用的是在云中運行的軟件即服務 (SaaS) 應用程序、平臺即服務 (PaaS) 產品還是基礎結構即服務 (IaaS) 產品，責任量存在差異。例如，以下是Microsoft Azure的共擔責任模型：

來源：Microsoft Azure

組織可以利用的一些云安全服務包括：

• 數據備份
• 數據加密
• 防火墻
• 硬件安全模塊 (HSM)
• 身份訪問管理工具
• 監控軟件

使用監控軟件可以高度了解云基礎架構，以便它可以檢測何時發生安全漏洞。

云中的加密

數據加密和解密由加密密鑰執行，無論它是否發生在云中。理想情況下，這些密鑰使用的算法非常復雜且難以破解。主要云供應商(如AWS)使用的一種算法是256位高級加密標準(AES)。

為了保證加密數據的安全，加密和解密數據的加密密鑰也必須安全存儲。這就是AWS CloudHSM，Azure Key Vault或GCP的Cloud Key Management Service(KMS)等服務發揮作用的地方。

HSM 是設計有物理安全方面和符合政府法規的軟件安全工具的硬件。物理安全方面可以包括防拾取鎖或防篡改密封。軟件安全方面可以包括基于身份的身份驗證，其中檢查用戶身份以查看他們是否有權訪問密鑰。

法律法規

政府和行業都為云中的數據安全制定了標準和法規，包括 SOC 2、聯邦信息處理標準 (FIPS) 140、支付卡行業數據安全標準 (PCI DSS) 以及健康保險流通與責任法案 (HIPAA)。

SOC 2是由美國注冊會計師協會(AICPA)制定的標準。這是一項審核，用于審查客戶數據的管理情況。審計的基礎是五項原則，AICPA網站將其描述為“服務組織用于處理用戶數據的系統的安全性和處理完整性以及這些系統處理的信息的機密性和隱私性”。

FIPS 140 專注于硬件和軟件加密模塊的測試要求。為了滿足這些要求，加密模塊(如 HSM)必須通過一系列測試，這些測試涵蓋物理安全性、攻擊緩解、身份驗證和接口等方面。FIPS 140 有四個級別，盡管它們每個級別都適合特定的用例，并不一定等同于每個級別的安全性更高。

PCI DSS是由信用卡公司制定的行業標準。該標準建立了云提供商必須擁有的安全要求和行業工具的基線，以確保敏感信息的安全。

總結：云上數據安全關鍵要點

• 保護云中數據的最佳實踐包括使用安全基礎知識、保護云基礎架構、加密數據以及遵守法規。
• CIA三要素可以被組織用作保護其云環境中數據的指南。
• 責任共擔模型顯示客戶負責云安全的哪些部分。
• 為了加密數據，組織可以使用云供應商提供的安全服務。
• 組織應警惕適用于他們的法律和法規，以及這些法律和法規何時更改或被添加到其中。

原文鏈接：https://www.sdxcentral.com/security/definitions/data-security-in-the-cloud-best-practices/