云安全是一组程序和技术的集合,旨在解决企业安全所面临的外部和内部威胁。企业在实施其数字化转型策略,并将各种云端工具和服务纳入企业基础架构中时,需要云安全保障业务顺利进行。
近年来,企业场景中经常使用“数字化转型”和“云迁移”这两个术语。虽然两者对于不同的企业可能表示不同的概念,但共同点是对于变革的急迫需求。
随着企业落实这些概念并着手优化运营方式,在平衡生产力水平和安全性方面出现了新的挑战。虽然更现代的技术有助于企业提升本地基础架构范围之外的能力,但在转型至云环境时,如果无法保障安全,可能会产生不利影响。
要实现合理的平衡,既需要了解当今企业如何通过使用互联互通的云技术而受益,同时还要顺利部署云安全方面的最佳实践策略。
"云",或者更具体地说,"云计算",指的是不受本地硬件限制,通过互联网访问资源、软件和数据库的过程。通过这项技术,企业能够将一部分或大部分基础架构管理工作转交给第三方托管提供商,从而灵活地扩展运营规模。
最常见并被广泛采用的云计算服务包括:
- IaaS(基础架构即服务):一种混合方法,支持组织在本地管理某些数据和应用,同时依靠云提供商来管理服务器、硬件、网络、虚拟化和存储需求。
- PaaS(平台即服务):通过提供自定义应用程序框架,自动管理操作系统、软件更新和存储,并支持云中的基础架构,帮助企业简化应用开发和交付过程。
- SaaS(软件即服务):在线托管并且通常采取订阅的方式提供基于云的软件。第三方提供商管理所有潜在的技术问题,例如数据、中间件、服务器和存储,从而最大限度地减少 IT 资源支出,并简化维护和支持职能。
如今的企业已经开始越来越多地过渡到基于云的环境和 IaaS、Paas 或 SaaS 计算模型。由于基础架构管理的动态特性(尤其是在扩展应用和服务方面),企业在为其部门提供充足资源时可能面临一些挑战。利用这些“即服务”模型,企业能够将许多费时的 IT 相关任务转移出去。
随着企业持续迁移至云端,了解安全要求,确保数据保持安全就变得至关重要。虽然第三方云计算提供商可以处理此基础架构的管理工作,但数据资产安全和问责方面涉及的责任并不一定会随之发生转移。
默认情况下,大多数云提供商会遵循最佳安全实践,并采取积极措施保护其服务器完好无损。但企业在保护云中运行的数据、应用程序和工作负载时,还需要作出自己的种种考虑。
随着数字化态势持续发展,安全威胁所利用的技术也更加先进。由于企业在数据访问及移动方面缺乏总体可见性,这些威胁专门针对云计算提供商实施攻击。如果不采取积极措施改善云安全,企业可能在管理客户信息(无论信息存储在何处)时面临重大的治理与合规风险。
无论企业规模大小,云安全都是一个重要的讨论话题。 云基础架构在所有行业以及多个垂直细分类别中几乎对现代计算的所有方面均可提供支持。
然而,成功部署云环境有赖于实施充足对策来防御如今的网络攻击。无论您的企业是在公有、私有还是混合云环境中运行,云安全解决方案和最佳实践都是确保业务连续性的必备项。
缺乏可见性
由于许多云服务是在企业网络之外通过第三方访问的,因此往往不容易了解数据的访问方式以及访问者详情。
多租户
公有云在同一环境中运行多个客户基础架构。因此,当恶意攻击者在攻击其他企业时,有可能连带损害到您的托管服务。
访问管理和影子 IT
尽管企业也许可以成功管理和限制本地系统中的访问点,但在云环境中可能很难执行这些相同级别的限制。如果企业没有部署自带设备 (BYOD) 策略,并允许从任何设备或地理位置对云服务进行未经筛查的访问,这就会比较危险。
合规性
对于使用公有云或混合云部署的企业来说,合规管理常常是造成困惑的一大来源。数据隐私和安全性的总体问责仍然存在于企业自身,而严重依赖第三方解决方案来管理此组件可能会导致成本高昂的合规问题。
配置错误
错误配置的资产占到 2019 年违规记录的 86%,因此无意中产生的内部威胁成为云计算环境的一个严重问题。错误配置包括就地保留缺省管理密码,或没有创建合适的隐私保护设置。
身份和访问管理 (IAM)
身份和访问管理 (IAM) 方案中的这些工具和服务可支持企业部署各种依据策略驱动的执行协议,确保所有用户既可访问本地,亦可访问基于云的服务。IAM 的核心功能就是为所有用户创建数字身份,以便在所有数据交互过程中对其进行必要的主动监控和限制。
数据丢失预防 (DLP)
数据丢失预防 (DLP) 服务提供了一套工具和服务,旨在确保受管制云数据的安全。DLP 解决方案综合使用补救警报、数据加密和其他预防措施来保护所有已存储的数据,无论这些数据是处于静态,还是处于移动状态。
信息安全和事件管理 (SIEM)
信息安全和事件管理 (SIEM) 提供全面的安全统筹解决方案,可在基于云的环境中自动执行威胁监视、检测和响应。SIEM 使用人工智能 (AI) 驱动的技术,将多个平台和数字资产中的日志数据联系起来,确保 IT 团队能够成功应用网络安全协议,同时快速应对任何潜在的威胁。
业务连续性和灾难恢复
无论企业为其本地和基于云的基础架构实施了何种预防措施,数据泄露和破坏性停运或中断仍有可能发生。企业必须能够尽快对新发现的漏洞或重要系统宕机等做出快速反应。灾难恢复解决方案是云安全的基本要素,可为企业提供所需的工具、服务和协议,以加快恢复丢失的数据和回归正常业务运营。
保障云安全的方法多种多样,每个企业采取的对策各有不同,这主要取决于多个变量。不过,美国国家标准技术研究院 (NIST) 提出了一些最佳实践做法,您可以遵循这些最佳实践规范,建立一个安全的、可持续发展的云计算框架。
NIST 制定了必要的步骤,供每个企业对其安全准备情况进行自我评估,并为其系统部署充足的预防和恢复安全措施。这些原则依据 NIST 的网络安全框架五大支柱而设立,即识别、保护、检测、响应和恢复。
云安全领域中另一种支持执行 NIST 网络安全框架的新兴技术是云安全态势管理 (CSPM)。CSPM 解决方案旨在解决许多云环境中的一个常见缺陷,即错误配置。
企业甚至云提供商对云基础架构的错误配置可能会导致多个漏洞,从而显著增加企业的受攻击面。CSPM 可协助统筹和部署云安全的核心组件,从而解决这些问题。其中包括身份和访问管理 (IAM)、合规管理、流量监控、威胁监测、风险缓解和数字资产管理。
将安全性融入企业云之旅的每个阶段。
通过云安全服务,保护企业混合云环境。
与值得信赖的顾问合作,引导企业实施云安全计划。
融入云 IAM 方案,为企业用户和员工实现安全顺畅、没有阻碍的访问。
通过部署零信任策略的现代化安全方法,推动企业云转型。
《数据泄露成本报告》探讨了相关的财务影响和安全措施,用以帮助企业和机构避免数据泄露,或在发生数据泄露事件时降低相关成本。
借助威胁态势的全局视图,了解您面临的网络攻击风险
阅读有关云数据保护、容器安全、保护混合/多云环境等方面的最新信息。
探索机密计算加持下,发展云计算安全的新路线图。
了解 IBM CIO 办公室为何转用 IBM Security® Verify,让整个员工队伍和客户群体都采用新一代数字身份验证机制。
了解国际商业银行 (CIB) 如何通过部署 IBM Security 解决方案,采纳 IBM 的咨询建议,实现企业数字安全现代化,为组织创造出一个高度安全的运营环境。
成熟的云安全实践可以增强网络弹性,推动营收增长,提高盈利能力。
Understand your cybersecurity landscape and prioritize initiatives together with senior IBM security architects and consultants in a no-cost, virtual or in-person, 3-hour design thinking session.