隨著企業將越來越多的關鍵任務系統遷移到雲上，雲遷移的安全風險越來越受到關注。雲安全現在已經被很好地理解了，並且有完善的工具和方法來保護雲工作負載。然而，這些安全方法在從內部部署到雲環境的交叉過程中可能會崩潰，導致災難性的入侵或資料暴露。

雲遷移涉及到將應用程式、資料和其他數字資產從本地資料中心遷移到雲中。這些應用程式可能是自定義構建的應用程式，也可能是組織從第三方供應商獲得許可的應用程式。有幾種雲遷移的方法，包括:

按原樣移動應用程式——這被稱為“提升和轉移”;

對應用程式進行小的更改以使其能夠遷移到雲;

重建或重構應用程式以使其更適合雲環境;

從遺留應用程式切換到支援雲或由雲供應商提供的新應用程式;

為雲構建新的應用程式被稱為“雲原生開發”。

大多數雲遷移的總體目標是獲得雲的好處——在高效的IT環境中託管應用程式和資料，從而提高成本、效能和安全性等引數。

遷移到雲的主要動機包括彈性可伸縮性、最佳化成本或從資本支出模型切換到運營費用模型，以及對僅在雲環境中可用的新技術、服務或功能的需求。

也許更重要的是，雲端計算將企業IT團隊從管理正常執行時間的負擔中解放出來，並提高了組織部署新服務和發展以支援不斷變化的業務需求的能力。

遷移專案中的一個主要問題是要遷移哪些應用程式。如果一個應用符合以下一個或多個條件，就考慮將它移動到雲上:

與本地資源通訊時，應用程式不需要低延遲。

將應用程式保留在本地沒有特定的安全性或合規性要求。

應用程式會隨著時間的推移承受波動的負載，雲的彈性可以很好的解決。

第一次遷移時考慮非關鍵業務型別的應用程式，在有充足的經驗後遷移關鍵性業務應用程式。

考慮哪種部署和定價模型最適合您的工作負載：

在公共雲中部署應用程式提供了無限的可擴充套件性和即用即付模式。

構建私有云的前期費用很高，但可提供更高的可擴充套件性、增強的安全性並降低運營成本。

存在可以支援用例並可能提供有競爭力的價格或其他差異化優勢的利基雲提供商。許多公司採用多雲方法，根據其技術解決方案的成本和適用性，將不同的工作負載部署到不同的雲提供商。

雲遷移需要仔細規劃，因為它容易受到多種攻擊。在遷移過程中，傳輸敏感資料，使其容易受到攻擊。此外，在遷移專案的各個階段，攻擊者可以訪問不安全的開發、測試或生產環境。

威脅：

API漏洞：應用程式程式設計介面 (API) 充當環境之間的通訊通道。API 必須在雲遷移過程的所有階段都受到保護。

盲點：遷移到雲端意味著放棄對運營某些方面的控制。在遷移之前，請檢查您的雲提供商提供的安全性，以及如何使用第三方安全解決方案對其進行補充。

合規性要求：確保您的目標雲環境支援所需的合規性標準。這包括雲提供商的合規認證以及組織為確保雲工作負載、資料和訪問安全而執行的程式。所有這些都可以並且將作為合規要求的一部分進行審計。

不受控制的增長：雲遷移不是一次性的過程。將應用程式遷移到雲後，組織可能會新增更多資源、使用新的雲服務並新增更多應用程式。一旦它們已經在雲中執行，就開始使用其他 SaaS 應用程式是很常見的。這些新的服務和應用程式必須得到適當的保護，這帶來了重大的運營挑戰。

資料丟失：雲遷移涉及資料傳輸。必須確保備份資料以防遷移過程中出現錯誤。所有資料傳輸都透過加密通道進行，並仔細管理加密金鑰。

建立一套安全標準和準則：與合規、IT 和開發團隊合作制定基本的安全標準。這些標準至少應涵蓋訪問控制、IaC模板、雲工作負載漏洞管理和安全DevOps程式。

為身份和訪問管理 (IAM) 分配專職人員：身份管理在雲中至關重要且高度動態。指派專職人員確保 IAM 得到妥善管理和長期維護。

實施多因素身份驗證：在雲遷移的所有階段，都需要進行多因素身份驗證，包括在開發環境中。這降低了未經授權訪問管理員帳戶和關鍵資產的風險。

啟用雲範圍的日誌記錄：所有主要的雲服務提供商都提供集中的日誌記錄服務(例如，Amazon CloudTrail)。在整個遷移過程中利用此功能並將日誌傳送到中央收集器進行分析。使用這些日誌在遷移期間建立系統行為基線，以便更輕鬆地檢測和調查安全事件。

使用雲安全狀態管理 (CSPM) ：CSPM解決方案監控雲系統的錯誤配置，在某些情況下，可以立即修復它們。這對於在遷移的不同階段跟蹤許多雲資產並確保關鍵資料和資產具有適當的安全設定非常重要。

來源：

https://resources.infosecinstitute.com/topic/security-risks-of-cloud-migration/

雲遷移的安全風險

相關文章