網絡安全知識:聊聊云安全
概述
來自英國NCSC 的云安全方法
關于云技術有一些模棱兩可的術語,因此值得花一些時間來定義一些常見術語。當我們談論“云”、“云服務”或“云計算”時,我們的意思是:
“一種按需、大規模可擴展的服務,托管在共享基礎設施上,可通過互聯網訪問。典型的服務提供數據存儲、數據處理和預構建功能,例如日志記錄。
這遵循NIST 對云計算的定義,以確定云服務的共同特征。
云服務可以分為兩大類:
- 預構建的云服務,解決業務問題;這些通常稱為軟件即服務或 SaaS
- 提供用于構建服務以解決業務問題的組件的云平臺;此旗幟下的服務包括平臺即服務 (PaaS)、基礎設施即服務 (IaaS) 和無服務器組件
了解云服務部分更詳細地介紹了各種類型的云,以及有關其部署、安全和管理模型的信息。
云中的安全性
公共云服務的規模可以帶來許多安全優勢以及眾多的功能優勢。然而,大多數云服務的共享性質可能會讓您很難清楚地了解采用服務時將面臨的風險。
本指南將幫助您:
- 評估公共云服務的安全性
- 確定它們是否適合您的預期用途
為此,您必須首先了解服務提供的分離措施。您還需要清楚地了解服務安全運行的責任平衡(和提供商之間)。
如果您要使用云平臺構建服務,則需要很好地了解在此設置中通常如何處理加密技術。我們的云加密指南涵蓋了所涉及的所有術語和技術。
大多數概念同樣適用于混合云、多云和一些較大的私有云部署。有關服務部署模型的部分涵蓋了這些不太常見的云部署類型的一些額外注意事項。
我們關于安全使用云服務的指南包括您在構建云平臺之前需要采取的一些操作,以及保護軟件即服務 (SaaS) 應用程序的安全。
致力于云安全
從項目一開始就考慮網絡安全,效果最佳。嘗試在最后一刻添加安全性可能會產生不可預測(且昂貴)的結果。
當完全集成到合適的開發流程中時,本指南中的建議將產生最佳結果。我們建議的方法包括以下四個步驟。按順序完成這些操作將幫助您確定適合您的預期用途的安全云服務。
1.了解業務需求
您應該首先了解云服務的預期用途,以及將在其中存儲和處理的數據。我們建議在識別和管理網絡安全風險時參考 NCSC 的風險管理指南。
2.選擇滿足需求的云提供商
我們的云提供商選擇指南介紹了如何使用以下任一方法選擇合適的云提供商:
如果要對云服務進行商業招標,我們建議要求投標中包含對云安全原則的響應。
“物有所值”永遠是選擇服務時考慮的因素。某些云服務具有不同價格的許可證,這些許可證具有不同的安全功能(例如單點登錄或強制多重身份驗證)。應該確保獲得的許可證報價包含滿足您安全需求的服務。
·云安全原則,或
·云安全的輕量級方法
3.安全使用云服務
選擇云提供商后,您應該了解使用該服務或平臺時的安全責任。所有云服務都需要您應用某種配置來確保其符合您的需求;云服務完全“默認安全”是不尋常的。我們在安全使用云服務指南中概述了您應該采取的最重要的操作。
選擇云提供商后設計您的服務架構將使您能夠充分利用服務中內置的本機安全技術。
許多公共云服務都會發布安全良好實踐指南、示例架構和配置基線來幫助您入門。
4.持續監控和管理風險
使用后,請定期檢查該服務以及您使用該服務的方式是否仍然滿足您的業務和安全需求,您也應該不時進行檢查。
