什么是云安全?
云安全是指用于保护云环境中应用、数据和基础架构的安全的各种信息安全政策、最佳实践、控制措施和技术。具体而言,云安全致力于提供存储和网络保护,以应对内部和外部威胁,此外还提供访问管理、数据治理与合规性以及灾难恢复功能。
云计算已经成为那些希望获得敏捷性和灵活性以加速创新并满足当今现代消费者期望的公司的首选技术。但是,迁移到更具动态性的云环境需要新的安全方法,以确保数据能够在在线基础架构、应用和平台中保持安全。
详细了解 Google Cloud 的安全模型以及我们如何通过高级安全产品和解决方案来帮助您解决最棘手的安全难题。
云安全的工作原理是什么?
云安全主要关注如何搭配实现各种策略、流程和技术,以确保实现数据保护、支持法规遵从,并为用户和设备提供对隐私、访问和身份验证方面的控制措施。
云服务提供商 (CSP) 通常采用责任共担模型,这意味着,实现云计算安全既是云服务提供商的责任,也是您(即客户)的责任。您可以将该模型看作一个责任框架,用以界定哪些安全任务归云服务提供商负责,哪些又是客户的职责。请务必了解提供商与您的安全责任的界定,这对于构建弹性云安全策略而言至关重要。
一般来说,CSP 始终负责云及其核心基础架构的安全,而客户则应保护在云端运行的所有内容的安全,例如网络控件、身份和访问权限管理、数据和应用。
责任共担模型因服务提供商和您使用的云计算服务模型而异,具体而言,提供商管理得越多,他们就能保护得越多。
其工作原理通常如下:
| 云计算服务模型 | 您的责任 | CSP 责任 |
| 基础架构即服务 (IaaS) | 您负责保护数据、应用、虚拟网络控件、操作系统和用户访问权限的安全。 | 云服务提供商会保护计算、存储和物理网络的安全,包括所有修补和配置。 |
| 平台即服务 (PaaS) | 您负责保护数据、用户访问权限和应用的安全。 | 云服务提供商会保护计算、存储、物理网络、虚拟网络控件和操作系统的安全。 |
| 软件即服务 (SaaS) | 您负责保护数据和用户访问权限的安全。 | 云服务提供商会保护计算、存储、物理网络、虚拟网络控件、操作系统、应用和中间件的安全。 |
为什么云安全很重要?
随着越来越多的公司从本地环境迁移到云端,必须重新考虑安全方法,尤其是在监管显微镜下的数据治理和合规性。
在当今日益发展的混合和多云环境中,您比以往任何时候都有更多的自由来随时随地构建您的应用。但这也意味着,安全管理也变得复杂得多,绝不仅仅是阻止他人访问您的网络这么简单。遗憾的是,许多组织倾向于在发生安全问题之后再予以处理,并可能会放弃遵循最佳实践,转而追求实现更快的数字化转型。因此,攻击者认为基于云的目标可能是一个能够获得巨大收益的简单途径,并且正在相应地调整其策略以利用这些漏洞。
虽然云安全并不能保证全面防范攻击和漏洞,但精心设计的云安全策略可以在预防违规或减轻损害、提高合规性和建立更牢固的客户信任方面发挥很大作用。
云安全面临的风险和挑战
云环境面临着您在传统环境中可能会遇到的类似安全风险,例如内部威胁、数据泄露和数据丢失、钓鱼式攻击、恶意软件、DDoS 攻击和易受攻击的 API。
然而,大多数组织都可能会面临特定的云安全挑战,包括:
缺少洞察性
云端资源是在公司网络外部的基础架构上运行,并由第三方拥有。因此,传统的网络可见性工具并不适合云环境,导致很难监控所有云资源、这些资源的访问方式以及谁有权访问这些资源。
配置不当
云安全设置配置不当是导致云环境中数据泄露的主要原因之一。云端服务旨在实现轻松访问和数据共享,但许多组织可能并不完全了解如何保护云基础架构。这可能会导致配置不当,例如保留默认密码、无法激活数据加密或权限控制管理不当。
访问权限管理
由于云部署可以直接通过公共互联网进行访问,这使得任何人都可以从任何位置或设备方便地访问云部署。同时,这也意味着攻击者可以更容易地通过被盗凭据或不当的访问权限控制获取授权资源。
动态工作负载
您可以根据工作负载需求预配和动态扩缩云资源。然而,许多传统的安全工具无法在这种灵活的环境中实施政策,因为这些环境中不断变化的临时工作负载可能会在几秒钟内被添加或移除。
法规遵从
云技术增添了另一层法规遵从和内部合规性要求,即使您没有遇到安全问题,也可能会违反这些要求。在云端管理合规性是一个持续不断且棘手的过程。与可以完全控制数据及其访问方式的本地数据中心不同,企业很难以统一的方式识别所有云资源和控制措施、将它们映射到相关要求并正确地记录所有内容。
云安全的优势
尽管云安全经常被认为是采用云的障碍,但事实是,云的安全性与本地环境的安全性几乎无异。而且,事实上,云计算安全机制可为企业带来诸多优势,可改善企业的总体安全状况。
顶级云服务提供商拥有基于安全性设计的基础架构和分层安全机制,可以直接内置在平台及其服务中,涉及零信任网络架构、身份和访问权限管理、多重身份验证、加密以及持续日志记录和监控等的方方面面。此外,云技术还可帮助您实现大规模的自动化和安全管理。
其他常见的云安全优势包括:
更高的可见性
只有基于云的集成式安全栈才能够集中监控云资源和数据,这对防范攻击和其他潜在威胁至关重要。云安全可以提供各种工具、技术和流程来记录、监控和分析事件,帮助您准确了解自己的云环境中所发生的情况。
集中式安全性
通过云安全,您可以整合各云端网络的安全保护措施,从而简化持续监控和分析众多设备、端点和系统的过程。您还可以在一个地方集中管理软件更新和政策,甚至可以实施和执行灾难恢复计划。
减少费用
有了云安全,您无需付费购买专用硬件来升级安全机制,也不必使用宝贵的资源来处理安全更新和配置。CSP 可提供高级安全功能,实现自动保护功能,几乎无需人工干预。
数据保护
优秀的云计算服务提供商从设计上保证数据安全,提供强大的访问权限控制、静态数据和传输中的数据加密以及数据泄露防护 (DLP) 功能,随时随地保护您的云端数据。
云合规性
云服务提供商会竭尽全力遵守国际和业界合规性标准,通常都会对其安全性、隐私性和合规性控制措施进行严格的独立验证。
高级威胁检测
信誉度高的 CSP 还会投资于先进技术和高级专家,以提供实时的全球威胁情报,可以检测网络内外的已知和未知威胁,以便更快地实施补救措施。
云安全解决方案的类型
随着新的安全威胁不断出现,云安全的发展亦在不断演变和调整。因此,当今市面上有很多不同类型的云安全解决方案,下面的列表仅列举部分示例。
- 身份和访问权限管理 (IAM):借助 IAM 服务和工具,管理员可以集中管理和控制谁有权访问特定云端资源和本地资源。借助 IAM,您可以主动监控和限制用户与服务交互的方式,从而在整个组织中强制执行您的政策。
- 数据泄露防护 (DLP):借助 DLP 功能,您可以自动发现和分类受监管的云端数据并对其进行去标识化处理,从而帮助您监控自己存储和处理的数据。
- 安全信息和事件管理 (SIEM):SIEM 解决方案将安全信息和安全事件管理相结合,自动监控、检测和应对云环境中的各类威胁。借助 AI 和机器学习技术,SIEM 工具可以帮助您检查和分析跨应用和网络设备生成的日志数据,并在检测到潜在威胁时快速采取相应措施。
- 公钥基础架构 (PKI):PKI 是使用数字证书管理安全加密信息交换的框架。PKI 解决方案通常会为应用提供身份验证服务,并验证数据在传输过程中是否未遭泄露且保持机密状态。借助云端 PKI 服务,组织可以管理和部署用于用户、设备和服务身份验证的数字证书。