雲端計算支援 IT 安全的12種方式

在過去的十年， 雲端計算 代表了企業IT中最具顛覆性的一種趨勢，安全團隊在轉型過程中並沒有擺脫“混亂”。對於安全專業的人員而言，他們感覺自己已經失去了對雲端計算的控制權，並且在試圖處理雲端計算“混亂”以確保其免受威脅時而感到沮喪，這是可以理解的。

以下將瞭解雲端計算破壞安全性的方式，深入瞭解安全團隊如何利用這些變化，併成功完成保證資料安全的關鍵任務。

1．雲端計算減輕了一些重大責任

企業在採用雲端計算技術時，可以擺脫獲取和維護物理IT基礎設施的負擔，這意味著企業的安全部門不再對物理基礎設施的安全負責。雲端計算的共享安全模型規定，例如AWS和Azure等雲端計算服務提供商（CSP）需要負責物理基礎設施的安全性。使用者自己負責安全使用雲端計算資源。然而，關於共享責任模型存在很多誤解，這帶來了風險。

2．在雲中，開發人員自己做出基礎設施決策

雲端計算資源可透過應用程式程式設計介面（API）按需提供。由於雲端計算是一種自助服務，開發人員可以快速採取行動，避開了傳統的安全閘道器。當開發人員為其應用程式啟動雲端計算環境時，他們正在配置其基礎設施的安全性。但開發人員可能會犯一些錯誤，其中包括嚴重的雲端計算資源配置錯誤和違反法規遵從性策略。

3．開發人員不斷改變基礎設施配置

企業可以在雲中比在資料中心更快地進行創新。持續整合和持續部署（CI／CD）意味著對雲端計算環境的持續更改。開發人員很容易更改基礎設施配置，以執行諸如從例項獲取日誌或解決問題等任務。因此，即使他們在第一天的雲端計算基礎設施的安全性是正確的，也許第二天可能會引入錯誤配置漏洞。

4．雲端計算是可程式設計的，可以實現自動化

由於可以透過API建立、修改和銷燬雲端計算資源，開發人員已經放棄了基於Web的雲端計算“控制檯”，並使用AWS CloudFormation和Hashicorp Terraform等基礎設施程式碼工具對其雲端計算資源進行程式設計。可以預定義，按需部署大規模 雲平臺 環境，並以程式設計方式和自動化方式進行更新。這些基礎設施配置檔案包括關鍵資源的安全相關配置。

5．雲中還有更多的基礎設施需要保護

在某些方面，資料中心的安全性更容易管理。企業的網路、防火牆和 都在機架上執行，而云計算也以虛擬化形式存在。但云計算也提供了一系列新的基礎設施資源，如無 伺服器 和容器。在過去的幾年中，僅AWS公司就推出了數百種新的服務。即使是熟悉的東西，如網路和防火牆，在雲中也以不熟悉的方式執行。所有這些都需要新的和不同的安全姿勢。

6．雲中還有更多基礎設施可以保護

組織需要更多的雲端計算基礎設施資源來跟蹤和保護，並且由於雲端計算的彈性，更多會隨著時間而變化。在雲中大規模運營的團隊可能正在管理跨多個區域和帳戶的數十個雲平臺環境，每個團隊可能涉及數萬個單獨配置並可透過API訪問的資源。這些資源相互作用，需要自己的身份和訪問控制（IAM）許可權。微服務架構使這個問題複雜化。

7．雲端計算安全性與配置錯誤有關

雲端計算運營完全與雲端計算資源配置有關，其中包括網路、安全組等安全敏感資源，以及資料庫和物件儲存的訪問策略。如果企業不必運營和維護物理基礎設施，安全重點將轉移到雲端計算資源的配置上，以確保它們在第一天是正確的，並且它們在第二天及以後保持這種狀態。

8． 雲安全也與身份管理有關

在雲中，許多服務透過API呼叫相互連線，要求對安全性進行身份管理，而不是基於IP的網路規則、防火牆等。例如，使用附加到lambda接受其服務標識的角色的策略來完成從lambda到S3儲存桶的連線。身份和訪問管理（IAM）以及類似的服務都是複雜的，其功能豐富。

9．對雲端計算的威脅的性質是不同的

糟糕的參與者使用程式碼和自動化來查詢雲端計算環境中的漏洞並  超過人工或半人工的安全防禦。企業的雲安全必須能夠抵禦當今的威脅，這意味著它們必須涵蓋所有關鍵資源和策略，並在沒有人工參與的情況下自動從這些資源的任何錯誤配置中恢復。這裡的關鍵指標是關鍵雲端計算配置錯誤的平均修復時間（MTTR）。如果以小時、天、周來衡量，那麼還有工作需要做。

10．資料中心安全性在雲中不起作用

到目前為止，人們可能已經得出結論，在資料中心中工作的許多安全工具在雲中沒有多大用處。這並不意味著企業需要拋棄一直在使用的所有東西，但要知道哪些仍然適用，哪些已經過時。例如，應用程式安全性仍然很重要，但依靠跨度或點選來檢查流量的網路監視工具不會因為雲端計算服務供應商不提供直接網路訪問。企業需要填補的主要安全漏洞與雲端計算資源配置有關。

11．雲中的安全性可以更容易、更有效

由於雲端計算是可程式設計的並且可以實現自動化，這意味著雲中安全性可以比資料中心更容易、更有效。

監控配置錯誤和偏差的情況可以完全實現自動化，企業可以為關鍵資源使用自我修復基礎設施來保護敏感資料。在配置或更新基礎設施之前，企業可以執行自動化測試來驗證作為程式碼的基礎設施是否符合其企業安全策略，就像企業保護應用程式程式碼一樣。這讓開發人員可以更早地瞭解是否存在需要修復的問題，並最終幫助他們更快地行動，並不斷創新。

12．在雲中，合規性也可以更容易、更有效

這對合規性分析師也是好訊息。傳統的雲端計算環境人工審計的成本可能非常高昂，容易出錯且耗時，而且在完成之前它們通常已經過時。由於雲端計算是可程式設計的，並且可以實現自動化，因此也可以進行合規性掃描和調查報告。現在可以在不投入大量時間和資源的情況下，自動執行合規性審計並定期生成報告。由於雲端計算環境變化如此頻繁，超過一天的審計間隔可能太長。

從哪裡開始使用雲安全性

（1）瞭解開發人員正在做什麼

他們使用的是什麼雲端計算環境，他們如何透過帳戶（即開發、測試、產品）分離問題？他們使用什麼配置和持續整合和持續部署（CI／CD）工具？他們目前正在使用任何安全工具嗎？這些問題的答案將幫助企業制定雲端計算安全路線圖，並確定需要關注的理想領域。

（2）將合規性框架應用於現有環境

識別違規行為，然後與企業的開發人員合作以使其符合規定。如果企業不遵守HIPAA、GDPR、NIST 800－53或PCI等合規制度，則採用網際網路安全中心（CIS）基準。像AWS和Azure這樣的雲端計算提供商已經將其應用到他們的雲平臺，以幫助消除他們如何應用於企業正在做什麼的猜測。

（3）確定關鍵資源並建立良好的配置基線

不要忽視關鍵細節。企業與開發人員合作，確定包含關鍵資料的雲端計算資源，併為他們建立安全的配置基線（以及網路和安全組等相關資源）。開始檢測這些配置偏差，並考慮自動修復解決方案，以防止錯誤配置導致事故。

（4）幫助開發人員更安全地開展工作

透過與開發人員合作，在軟體開發生命週期早期（SLDC）中加入安全性，實現“左移”。DevSecOps方法（例如開發期間的自動策略檢查）透過消除緩慢的人工安全性和合規性流程來幫助保持創新的快速發展。

有效且具有彈性的雲安全態勢的關鍵是與企業的開發和運營團隊密切合作，以使每個成員都在同一頁面上並使用相同的語言溝通。而在雲中，安全性不能作為獨立功能執行。