云安全包括技术、控制、流程和策略,它们结合起来保护您的基于云的系统、数据和基础设施。它是计算机安全的一个子领域,更广泛地说,是信息安全。
这是您和您的云服务提供商之间的共同责任。您实施云安全策略来保护您的数据、遵守法规遵从性并保护您客户的隐私。这反过来又可以保护您免受数据泄露和数据丢失的声誉、财务和法律后果。
云安全责任共担模型(图片来源:Synopsys)
云安全是所有组织的关键要求。尤其是(ISC)2 的最新研究报告称,93%的组织对云安全有中度或极度关注,四分之一的组织确认在过去12个月内发生了云安全事件。
在本文中,我们将创建一个全面的云安全指南。您将探索迁移到云的安全风险,了解为什么需要云安全,并发现云安全最佳实践。我们还将涵盖诸如如何评估云服务提供商的安全性以及确定认证和培训以提高您的云安全性等主题。
- 云安全如何工作?
- 云计算的七大安全风险
- 为什么需要云安全
- 云安全最佳实践
- 针对云客户的10大安全清单建议
- 什么是云安全联盟?
- 什么是卡巴斯基安全云?
- 什么是云访问安全代理 (CASB)?
- 2022年十大云安全认证一览
云安全如何工作?
云安全是技术、控制、流程和策略的复杂交互。一种针对您组织的独特要求高度个性化的实践。
因此,没有单一的解释可以涵盖云安全如何“工作”。
保护云工作负载的模型(图片来源:HyTrust)
值得庆幸的是,您可以使用一套广泛建立的策略和工具来实现强大的云安全设置,其中包括:
身份和访问管理
所有公司都应该有一个身份和访问管理 (IAM) 系统来控制对信息的访问。您的云提供商将直接与您的IAM集成或提供他们自己的内置系统。IAM结合了多因素身份验证和用户访问策略,帮助您控制谁可以访问您的应用程序和数据、他们可以访问什么以及他们可以对您的数据执行什么操作。
物理安全
物理安全是云安全的另一个支柱。它是防止直接访问和破坏云提供商数据中心中的硬件的措施的组合。物理安全包括通过安全门控制直接访问、不间断电源、闭路电视、警报、空气和颗粒过滤、防火等。
威胁情报、监控和预防
威胁情报、入侵检测系统 (IDS)和入侵防御系统 (IPS)构成了云安全的支柱。威胁情报和IDS工具提供了识别当前以您的系统为目标或将成为未来威胁的攻击者的功能。IPS工具实现了减轻攻击并提醒您其发生的功能,以便您也可以做出响应。
加密
使用云技术,您将数据发送到云提供商的平台或从云提供商的平台发送数据,通常将其存储在他们的基础架构中。加密是云安全的另一层,通过在静止和传输中对数据资产进行编码来保护您的数据资产。这确保了数据几乎不可能在没有只有您有权访问的解密密钥的情况下被破译。
云漏洞和渗透测试
维护和改进云安全的另一种做法是漏洞和渗透测试。这些做法涉及您(或您的提供商)攻击您自己的云基础架构以识别任何潜在的弱点或漏洞。然后,您可以实施解决方案来修补这些漏洞并改善您的安全状况。
微分段
微分段在实现云安全方面越来越普遍。这是将您的云部署划分为不同的安全部分的做法,一直到单个工作负载级别。
通过隔离单个工作负载,您可以应用灵活的安全策略,以最大限度地减少攻击者在获得访问权限时可能造成的任何损害。
下一代防火墙
下一代防火墙是云安全难题的另一个组成部分。它们使用传统的防火墙功能和更新的高级功能保护您的工作负载。传统的防火墙保护包括包过滤、状态检测、代理、IP阻塞、域名阻塞和端口阻塞。
下一代防火墙添加了入侵防御系统、深度数据包检测、应用程序控制和加密流量分析,以提供全面的威胁检测和防御。
Kinsta托管架构
Kinsta通过Google Cloud Platform (GCP) 防火墙保护所有 WordPress 网站。提供最先进的保护以及与其他GCP安全解决方案更紧密集成的能力。
云计算的七大安全风险
无论您是否在云中运营,安全性都是所有企业都关心的问题。您将面临拒绝服务、恶意软件、SQL注入、数据泄露和数据丢失等风险。所有这些都会显着影响您业务的声誉和底线。
当您迁移到云时,您会引入一组新的风险并改变其他人的性质。这并不意味着云计算不安全。事实上,许多云提供商引入了对您无法访问的高度复杂的安全工具和资源的访问。
这只是意味着您需要了解风险的变化以减轻风险。那么,让我们来看看云计算特有的安全风险。
1. 失去能见度
大多数公司将通过多种设备、部门和地区访问一系列云服务。云计算设置中的这种复杂性(如果没有适当的工具)可能会导致您无法查看对基础架构的访问权限。
如果没有正确的流程,您可能会看不到谁在使用您的云服务。包括他们正在访问、上传和下载的数据。
如果你看不到它,你就无法保护它。增加数据泄露和数据丢失的风险。
2. 合规违规
随着监管控制的加强,您可能需要遵守一系列严格的合规要求。迁移到云时,如果您不小心,就会引入违反合规性的风险。
其中许多法规要求您的公司了解您的数据在哪里、谁可以访问它、如何处理以及如何保护数据。其他法规要求您的云提供商持有某些合规凭证。
不小心将数据传输到云,或转移到错误的提供商,可能会使您的组织处于不合规状态。引入潜在的严重法律和财务影响。
3. 缺乏云安全策略和架构
这是您可以轻松避免的云安全风险,但很多人没有。许多组织急于将系统和数据迁移到云,早在安全系统和策略到位以保护其基础架构之前就开始运营。
确保您实施了专为云设计的安全策略和基础架构,以便与您的系统和数据同步运行。
4. 内部威胁
您信任的员工、承包商和业务合作伙伴可能是您最大的安全风险。这些内部威胁无需具有恶意意图即可对您的业务造成损害。事实上,大多数内幕事件源于缺乏培训或疏忽。
虽然您目前面临这个问题,但迁移到云会改变风险。您将数据的控制权交给您的云服务提供商,并从提供商的员工那里引入一层新的内部威胁。
5. 合同违约
您拥有的任何合同伙伴关系都将包括对任何共享数据的使用方式、存储方式以及有权访问它的人员的限制。您的员工在未经授权的情况下不经意间将受限数据转移到云服务中可能会导致违约,从而导致法律诉讼。
请务必阅读您的云提供商的条款和条件。即使您有权将数据移动到云中,某些服务提供商也有权共享上传到其基础架构中的任何数据。由于无知,您可能会无意中违反保密协议。
6. 不安全的应用程序用户界面 (API)
在云基础架构中运行操作系统时,您可能会使用API来实现控制。任何内置于您的Web或移动应用程序的API都可以由员工在内部或由消费者在外部提供访问。
可能会引入云安全风险的是面向外部的API。任何不安全的外部API都是一个网关,为寻求窃取数据和操纵服务的网络犯罪分子提供未经授权的访问。
不安全的外部API最突出的例子是Facebook – Cambridge Analytica Scandal。Facebook不安全的外部API使Cambridge Analytica能够深入访问Facebook用户数据。
7. 云服务配置错误
云服务配置错误是另一个潜在的云安全风险。随着服务范围和复杂性的增加,这是一个日益严重的问题。云服务的错误配置可能导致数据被公开暴露、操纵甚至删除。
常见原因包括为高度敏感的数据保留默认安全和访问管理设置。其他包括不匹配的访问管理,允许未经授权的个人访问,以及在无需授权的情况下保持机密数据开放的数据访问受到破坏。
为什么需要云安全
云技术的大规模采用,加上网络威胁的数量和复杂程度不断增加,推动了对云安全的需求。反思采用云技术的安全风险——如上文所述——未能缓解这些风险可能会产生重大影响。
但这并不全是负面的,云安全也可以提供显着的好处。让我们探讨为什么云安全是一项关键要求。
网络安全威胁持续增加
安全云实践的驱动力是来自网络犯罪分子的不断增加的威胁——无论是在数量上还是在复杂性上。为了量化威胁,(ISC)2 的云安全报告发现,28%的企业在2019年经历了云安全事件。英国政府还报告说,32%的英国企业在过去12个月内遭受了系统攻击。
防止数据泄露和数据丢失
这些增加的网络威胁的后果是数据泄露和数据丢失的频率和数量的加速。仅在2019年的前6个月,诺顿的新兴威胁报告就概述了超过40亿条记录被泄露。
数据泄露的丢失或破坏可能会产生重大的法律、财务和声誉影响。IBM现在在其最新报告中估计数据泄露的平均成本为392万美元。
避免合规违规
我们已经提到云安全如何承担违规风险。为了证明不合规的影响,您只需观察德国联邦隐私监管机构,该机构最近因违反欧盟通用数据保护条例 (GDPR)对1&1 Telecommunications处以955万欧元的罚款。
保持业务连续性
良好的云安全性有助于维持您的业务连续性。防御拒绝服务攻击(DDoS攻击)等威胁。计划外停机和系统停机会中断您的业务连续性并影响您的利润。Gartner的一项研究估计,这种停机成本平均为每分钟5600美元。
云安全优势
除了威胁保护和避免不良实践的后果之外,云安全还提供了使其成为企业要求的好处。这些包括:
1. 集中安全
就像云计算集中应用程序和数据一样,云安全集中保护。帮助您提高可见性、实施控制并更好地防御攻击。它还可以提高您的业务连续性和灾难恢复,将所有这些都集中在一个地方。
2. 降低成本
信誉良好的云服务提供商将提供专用于全天候保护您的应用程序和数据的内置硬件和软件。这消除了对您自己的设置进行大量财务投资的需要。
3. 减少管理
迁移到云端引入了安全责任共担模型。这可以显着减少用于管理安全性的时间和资源。云服务提供商将负责跨存储、计算、网络和物理基础设施保护他们的基础设施以及您。
4. 提高可靠性
领先的云服务提供商将提供您可以信赖的尖端云安全硬件和软件。您将获得持续服务的访问权,您的用户可以在任何地方、任何设备上安全地访问数据和应用程序。
云安全最佳实践
将系统迁移到云端时,许多安全流程和最佳实践保持不变。但是,您将遇到一系列新的挑战,您需要克服这些挑战才能维护基于云的系统和数据的安全性。
为了帮助您应对这一挑战,我们为基于云的部署编制了一系列安全最佳实践。
选择受信任的提供商
云安全最佳实践的基础是选择值得信赖的服务提供商。您希望与提供最佳内置安全协议并符合最高级别行业最佳实践的云提供商合作。
为您扩展合作伙伴市场和解决方案的服务提供商,以进一步增强您的部署的安全性。
值得信赖的提供商的标志反映在他们持有的安全合规性和认证范围内。任何好的提供商都会公开提供的东西。例如,亚马逊网络服务、阿里云、谷歌云和Azure等所有领先提供商都提供透明访问,您可以在其中确认他们的安全合规性和认证。
除此之外,选择受信任的提供商还有很多因素。我们将在本文后面介绍这一点,其中列出了评估任何云提供商安全性的10大清单。
了解您的责任共担模型
与云服务提供商合作时,如果您将系统和数据迁移到云中,您就建立了安全实施责任共担的合作伙伴关系。
最佳实践的一个关键部分涉及审查和理解您的共同责任。发现哪些安全任务将由您保留,哪些任务现在将由提供商处理。
这是一个浮动比例,具体取决于您是选择软件即服务 ( SaaS )、平台即服务 ( PaaS )、基础架构即服务 ( IaaS ) 还是本地数据中心。
谷歌云平台责任共担模型
AWS、Azure、谷歌云平台和阿里云等领先的云服务提供商发布了所谓的安全责任共担模型。确保透明度和清晰度。请务必查看您的云服务提供商责任共担模型。
查看您的云提供商合同和SLA
您可能不会考虑将审查您的云合同和SLA作为安全最佳实践的一部分,但您应该这样做。SLA和云服务合同只是在发生事故时提供服务和追索权的保证。
条款和条件、附件和附录中包含的更多内容可能会影响您的安全性。合同可能意味着您的云服务提供商对您的数据负责和拥有它之间的区别。
根据McAfee 2019年云采用和风险报告,62.7%的云提供商未指定客户数据归客户所有。这会创建一个合法的灰色区域,提供者可以在其中声明对您上传的所有数据的所有权。
检查谁拥有数据以及如果您终止服务会发生什么。此外,请明确提供商是否需要提供对任何安全事件和响应的可见性。
如果您对合同的内容不满意,请尝试谈判。如果有任何不可协商的内容,您需要确定同意是否对企业来说是可接受的风险。如果没有,您将需要寻找替代选项,通过加密、监控甚至替代提供商来降低风险。
培训您的用户
您的用户是安全云计算的第一道防线。他们对安全实践的了解和应用可能是保护您的系统或为网络攻击打开大门的区别。
作为最佳实践,请确保对所有用户(员工和利益相关者)进行培训,他们在安全的云实践中访问您的系统。让他们了解如何发现恶意软件、识别网络钓鱼电子邮件以及不安全做法的风险。
对于直接参与实施云安全的更高级用户(例如管理员),请考虑针对特定行业的培训和认证。您将在本指南后面找到一系列推荐的云安全认证和培训。
控制用户访问
通过策略实施对用户访问的严格控制是另一种云安全最佳实践。帮助您管理尝试访问您的云服务的用户。
您应该从零信任开始,只允许用户访问他们需要的系统和数据,仅此而已。为避免实施策略时的复杂性,请创建具有分配角色的定义明确的组,以仅授予对选定资源的访问权限。然后,您可以将用户直接添加到组,而不是为每个单独的用户自定义访问权限。
保护您的用户端点
云安全最佳实践的另一个要素是保护您的用户端点。大多数用户将通过Web浏览器访问您的云服务。因此,引入高级客户端安全性以使用户的浏览器保持最新并免受攻击至关重要。
您还应该考虑实施端点安全解决方案来保护您的最终用户设备。随着移动设备和远程工作的爆炸式增长,用户越来越多地通过非公司拥有的设备访问云服务,这一点至关重要。
寻找包含防火墙、防病毒和互联网安全工具、移动设备安全和入侵检测工具的解决方案。
保持云服务的可见性
云服务的使用可以是多种多样且短暂的。许多组织在一系列提供商和地区使用多种云服务。研究表明,云资源的平均寿命为 2 小时。
这种行为会在您的云环境中造成盲点。如果你看不到它,你就无法保护它。
确保您实施了一个云安全解决方案,以提供整个生态系统的可见性。然后,您可以通过一个门户监控和保护所有不同资源、项目和区域的云使用情况。这种可见性将帮助您实施细粒度的安全策略并减轻广泛的风险。
实施加密
无论您身在何处,加密数据都是一种安全最佳实践,这在您迁移到云后至关重要。使用云服务,您会将数据存储在第三方平台上并在网络和云服务之间来回发送,从而使数据面临更大的风险。
确保对传输中和静止的数据实施最高级别的加密。在将数据上传到云之前,您还应该考虑使用自己的加密解决方案,使用自己的加密密钥来保持完全控制。
云提供商可能会提供内置的加密服务来保护您的数据免受外部各方的影响,但它可以让他们访问您的加密密钥。
实施强大的密码安全策略
无论您访问何种服务,一个强密码安全策略都是最佳实践。实施可能的最强策略是防止未经授权访问的重要因素。
作为最低要求,所有密码都应包含一个大写字母、一个小写字母、一个数字、一个符号和至少14个字符。强制用户每90天更新一次密码并将其设置为系统记住最后24个密码。
像这样的密码策略将阻止用户在多个设备上创建简单密码,并防御大多数暴力攻击。
作为安全最佳实践和保护的附加层,您还应该实施多因素身份验证。要求用户添加两个或更多证据来验证他们的身份。
使用云访问安全代理 (CASB)
CASB的使用正迅速成为实施云安全最佳实践的核心工具。它是介于您和您的云服务提供商之间的软件,可将您的安全控制扩展到云中。
CASB为您提供复杂的云安全工具集,以提供云生态系统的可见性、实施数据安全策略、实施威胁识别和保护,并保持合规性。
您可以在本指南后面部分了解有关CASB如何工作的更多信息,包括排名前5位的CASB提供商的列表。
针对云客户的10大安全清单建议
在迁移到云并选择服务提供商时,您应该考虑的最重要因素之一是安全性。您将与您选择的服务提供商共享和/或存储公司数据。
您需要确信您的数据是安全的。有无数的安全因素需要考虑,从共同责任到提供商的安全标准是否达到标准。这可能是一个令人生畏的过程,尤其是如果您不是安全专家。
为了帮助我们在评估云服务提供商时编制了前10名安全检查表。
1. 传输中的数据和静态数据的保护
迁移到云服务时,安全的一个关键要素是保护您(最终用户)和提供商之间传输的数据。这是您和提供者双方的双重责任。您需要网络保护以防止数据被截获,并需要加密以防止攻击者读取任何被截获的数据。
寻找能够为您提供一套工具来帮助您轻松加密传输中和静态数据的服务提供商。这将确保对云服务提供商内部的任何内部数据传输或云服务提供商与可能暴露API的其他服务之间的传输提供相同级别的保护。
2. 资产保护
在选择云服务提供商时,您需要了解数据存储、处理和管理的物理位置。在GDPR等政府和行业法规实施之后,这一点尤其重要。
为确保您的资产受到保护,优秀的提供商将在其数据中心提供先进的物理保护,以保护您的数据免遭未经授权的访问。他们还将确保在重新配置或处置任何资源之前擦除您的数据资产,以防止其落入坏人之手。
3. 可见性和控制
安全性的一个关键因素是能够查看和控制您自己的数据。一个好的服务提供商将为您提供一个解决方案,让您可以全面了解您的数据以及谁在访问它,无论它在哪里以及您在哪里。
您的提供商应提供活动监控,以便您可以发现整个生态系统中配置和安全性的变化。以及支持新的和现有解决方案的集成合规性。
4. 可信安全市场和合作伙伴网络
保护您的云部署需要不止一个解决方案或合作伙伴。一个好的云服务提供商将使您通过市场轻松找到不同的合作伙伴和解决方案并与之建立联系。
寻找具有市场的供应商,该供应商提供经过验证的安全跟踪记录的受信任合作伙伴的策划网络。市场还应提供安全解决方案,提供一键式部署,并在保护您的数据方面起到补充作用,无论是在公共云、私有云还是混合云部署中运行。
5. 安全的用户管理
一个好的云服务提供商将提供能够安全管理用户的工具。这将有助于防止对管理界面和程序的未经授权的访问,以确保应用程序、数据和资源不会受到损害。
云提供商还应提供功能来实施安全协议,将用户分开并防止任何恶意(或受损)用户影响他人的服务和数据。
6. 合规与安全集成
在考虑云服务提供商时,安全性和合规性是齐头并进的。它们应满足由第三方组织验证的全球合规性要求。您需要一家遵循行业最佳云安全实践并持有公认认证的云服务提供商。
云安全联盟的安全、信任和保证注册表 (STAR) 计划是一个很好的指标。此外,如果您在高度监管的行业中运营(HIPPA、PCI-DSS和GDPR可能适用),您还需要确定具有行业特定认证的提供商。
为确保您的合规工作具有成本效益和效率,云服务提供商应让您能够将其安全控制继承到您自己的合规和认证计划中。
7. 身份和认证
您的云提供商应确保对任何服务接口的访问仅限于授权和经过身份验证的个人。
在查看提供者时,您需要提供身份和身份验证功能的服务,包括用户名和密码、双重身份验证、TLS客户端证书以及与现有身份提供者的身份联合。
您还希望能够限制对专线、企业或社区网络的访问。一个好的提供商只通过安全通道(如HTTPS)提供身份验证以避免拦截。
确保避免使用身份验证做法较弱的服务。这将使您的系统面临未经授权的访问,从而导致数据被盗、服务更改或拒绝服务。还要避免通过电子邮件、HTTP或电话进行身份验证。
这些极易受到社会工程以及身份和身份验证凭据的拦截。
8. 运营安全
选择云服务时,请寻找实施强大运营安全性以检测和防止攻击的提供商。这应涵盖四个核心要素:
配置和变更管理
您需要一个提供者对构成服务的资产(包括任何配置或依赖项)提供透明度。他们应该通知您任何可能影响安全性的服务更改,以确保不会发生漏洞。
漏洞管理
您的提供商应该有一个漏洞管理流程来检测和缓解对其服务的任何新威胁。您应该随时了解这些威胁、它们的严重性以及计划的威胁缓解时间表,其中包括解决方案。
保护性监测
任何称职的提供商都将拥有先进的监控工具来识别服务的任何攻击、滥用或故障。他们将采取快速果断的行动来解决任何事件——让您随时了解结果。
事件管理
您理想的供应商将针对常见类型的攻击制定预先计划的事件管理流程。他们将准备好部署此流程以应对任何攻击。
将有一条明确的联系路线供您报告任何事件,并采用可接受的时间表和格式。
9. 人员安全
您需要一个可以信任的云服务提供商,因为他们可以访问您的系统和数据。您选择的云服务提供商将实施严格且透明的安全筛选流程。
他们应该能够验证其人员的身份、工作权利,并检查是否有任何未完成的刑事定罪。理想情况下,您希望他们符合您所在国家/地区当地制定的筛选标准,例如英国的 BS 7858:2019或美国的I-9表格填写。
除了筛选之外,您还需要一个服务提供商来确保其人员了解其固有的安全责任并接受定期培训。他们还应该制定一项政策,以尽量减少可以访问并可能影响您的服务的人数。
10. 安全使用服务
您可以选择具有尖端安全性的云提供商,但仍然会因服务使用不当而遭受破坏。了解使用服务时的安全责任在哪里很重要。
您的责任级别将受到您的云部署模型、您如何使用任何服务以及任何单个服务的内置功能的影响。
例如,您对IaaS负有重要的安全责任。部署计算实例时,您将负责安装现代操作系统、配置安全性并确保持续的补丁和维护。您在该实例上部署的任何应用程序也是如此。
因此,请确保您了解所选服务的安全要求以及您可用的任何安全配置选项。确保您还教育您的员工安全使用您选择的服务。
什么是云安全联盟?
当我们审视云计算行业时,它是一个完全不同的市场,没有中央管理机构可供企业寻求指导。这可能令人沮丧,尤其是在应对云安全等挑战时。
值得庆幸的是,代替管理机构,有许多组织致力于支持该行业。云安全联盟就是这样一个组织。
云安全联盟标志
云安全联盟 (CSA)是一个非营利组织,致力于开发和提高对最佳实践的认识,以维护安全的云计算环境。
它是一个会员组织,以教育、研究、活动和产品的形式提供行业云特定的安全指导。本指南直接来自行业从业者、协会、政府以及CSA的个人和企业成员的综合主题专业知识。
为了让您更好地了解云安全联盟,让我们仔细看看他们如何支持行业。
会员资格
CSA建立在其成员的基础之上。根据您是个人、企业还是解决方案提供商,以成员身份加入CSA会带来一系列不同的好处。
这些主要属于类似类别,包括访问其其他成员的专家网络、国际标准化委员会的席位、培训折扣以及访问独家活动和网络研讨会
保证
CSA开发了最著名的云安全认证计划之一:安全、信任和保证注册表 (STAR)。
STAR是一个供应商保证计划,通过自我评估、第三方审计和针对标准的持续监控来提供透明度。该计划包括三个级别,证明持有者遵守最佳实践,同时验证其云产品的安全性。
教育
为了支持行业中云安全的持续改进,CSA提供了一系列教育服务。您可以参加CSA开发的一系列云安全认证,访问他们的知识中心,并参加他们定期安排的教育网络研讨会和活动。
研究
CSA通过其持续的研究继续支持行业开发和创新云安全最佳实践。这是由他们现在跨越30个云安全领域的工作组推动的。
最近和最前沿的包括DevSecOps、物联网、人工智能和区块链的工作组的出现。CSA不断免费发布其研究报告,确保行业能够及时了解云安全不断变化的本质。
社区
CSA还通过继续维护和发展云安全社区来支持该行业。他们创建并维护了广泛的社区,使来自云安全行业的思想能够相互联系、分享知识和创新。
CSA博客
这些成长中的社区有多种形式。您可以加入CSA分会,与当地专业人士和CSA峰会联系,让最优秀的人才与大众分享他们的专业知识。甚至还有一个CSA博客,它拥有一个追随者社区,他们希望跟上CSA实践的步伐。
什么是卡巴斯基安全云?
在谈论云安全时,很容易将注意力集中在企业上而忘记了对个人消费者的需求。
如果您出于个人用途访问云服务(照片、文件、生活管理),则需要考虑数据的安全性:卡巴斯基安全云,卡巴斯基新的基于云的自适应安全解决方案。
卡巴斯基安全云
它结合了卡巴斯基实验室防病毒软件的最佳功能和应用程序,为用户的设备创建了应对数字威胁的响应式保护。
该平台是为个人用户设计的,而不是为企业设计的。
Kaspersky Security Cloud保护您的设备免受恶意软件和病毒的侵害,添加功能以适应您使用每台设备的方式,从而始终提供最大程度的保护。它提供的功能包括防病毒、反勒索软件、移动安全、密码管理、VPN、家长控制和一系列隐私工具。
该平台可在Windows、macOS、Android和iOS上使用。Kaspersky Security Cloud Family计划可为多达20台设备提供保护。
Kaspersky Security Cloud的核心功能
为了帮助您更好地了解Kaspersky Security Cloud产品,我们仔细研究了平台内的核心功能,分为四个部分:
扫描
您想要从任何安全解决方案中获得的关键功能,Kaspersky Security Cloud可以扫描您的设备并删除发现的任何恶意软件或病毒。您可以从多个扫描选项中进行选择,包括单个文件、快速扫描、整个系统和计划。
隐私
您可以使用内置功能来保护您的隐私,以检查您的在线帐户以确保它们不被泄露,阻止您的网络摄像头被访问,并阻止网站流量以防止您的浏览活动受到监控。
您可以通过额外下载Kaspersky Secure Connection和Kaspersky Password Manager来扩展您的隐私。Secure Connection对您发送和接收的所有数据进行加密,同时隐藏您的位置,而Password Manager存储并保护您的密码。
家庭网络
家庭网络使您可以查看连接到家庭网络的所有设备。识别受 Kaspersky Security Cloud 保护的对象。该功能允许您在新设备连接时收到通知,并阻止任何未知设备。
高清健康
有用但简单的HD Health功能为您提供硬盘驱动器磁盘状况和磁盘温度的评级。提供有关错误率、电源周期、开机时间、总数据读取和总数据写入的信息。
Kaspersky Security Cloud是一个很好的例子,说明云服务的采用如何产生对新安全解决方案的需求。
在下一节中,我们将看看企业界随着云访问安全代理的到来而出现的类似示例。
什么是云访问安全代理 (CASB)?
云访问安全代理(CASB) 是位于您、云服务消费者和云服务提供商之间的软件。CASB将您的安全控制从本地基础设施扩展到云。帮助为您的云应用程序实施安全性、合规性和治理策略。它通常位于本地或托管在云中。
云访问安全代理模型(图片来源:Gartner)
CASB将帮助您抵御高级别的云安全风险,并支持对高风险事件的持续监控和缓解。它通过使用组织的安全策略保护在本地和云环境之间移动的数据来做到这一点。
CASB将通过恶意软件预防保护您免受网络攻击,并使用端到端加密保护您的数据,防止外部用户破译内容。
CASB是如何工作的?
CASB可以以三种不同的方式部署:作为反向代理、正向代理或“API模式”。每个都有其独特的优点和缺点,许多行业专家推荐多模部署。
让我们仔细看看CASB的不同部署模式:
反向代理
反向代理位于云服务前面,通过位于网络流量路径中提供内联安全功能。反向代理代理的连接从Internet运行到您的应用程序服务器,将来自原始来源的信息隐藏在其后面。
正向代理
前向代理位于用户面前,CASB将流量代理到多个云平台。转发代理的连接从位于防火墙后面的您到互联网。与反向代理一样,它也提供内联安全功能。
API 模式
与代理部署不同,使用应用程序接口 (API) 可以直接集成CASB和云服务。这使您可以保护托管和非托管流量。
根据云服务提供商的API功能,您可以查看活动、内容并采取强制措施。
CASB的功能支柱
CASB提供的功能属于四个“支柱”,其中包括:
1. 能见度
当云应用程序位于您的 IT 部门的视野之外时,您创建的信息不受您的业务治理、风险和合规流程的控制。
CASB可让您了解所有云应用程序及其使用情况。包括有关谁在使用平台、他们的部门、位置和使用的设备的重要信息。
2. 数据安全
使用云平台会增加无意中与错误的人共享数据的风险。如果您使用云存储,典型的数据丢失防护 (DLP) 工具将无法跟踪或控制谁在访问您的数据。
CASB可帮助您在结合了加密、令牌化、访问控制和信息权限管理的云平台中实施以数据为中心的安全性。
3. 威胁防护
最难防范的安全威胁之一是您自己的员工。即使是已从您组织的核心系统中禁用的前员工也可能仍然能够访问包含业务关键信息的云应用程序。
CASB允许您检测和响应云基础架构中的恶意或疏忽内部威胁、特权用户和受损帐户。
4. 合规
当您的数据迁移到云端时,您需要确保维护数据安全和隐私,以遵守行业和政府法规。CASB将为您执行此操作,识别和执行云部署中敏感数据的DLP策略。帮助您遵守包括SOX和HIPAA在内的法规。
CASB还将帮助您根据PCI DSS、NIST、CJIS、MAS和ISO 27001等核心监管要求对您的云安全配置进行基准测试。
排名前5的云访问安全代理
由于数据泄露和丢失的重大风险,服务向云的大规模迁移与实施云安全的需求相结合,导致CASB市场出现爆炸式增长。
作为下一代技术,CASB已成为云安全战略的重要组成部分。根据Gartner的“云访问代理魔力象限”报告,五分之一的大型企业使用CASB来保护或管理其云服务:
Gartner云访问安全代理 (CASB) 魔力象限
Gartner使用他们的“魔力象限”确定了CASB市场的五个领导者,其中包括:
迈克菲
McAfee于2018年1月进入CASB市场,高调收购了Skyhigh Networks。现在称为MVISION Cloud,该平台为广泛的云服务提供涵盖所有四个CASB支柱的覆盖范围。
该平台提供全面的DLP引擎并提供高级控制,包括加密以及结构化和非结构化数据的标记化。CASB可以部署用于具有反向代理模式功能和正向代理的API检查。
McAfee还为需要它的人提供了一个本地虚拟应用程序。
微软
Microsoft的CASB产品称为Microsoft Cloud Application Security。该平台支持多种部署模式,包括反向代理和API连接器。Microsoft继续开发具有增强的可见性、分析、数据控制和创新自动化功能的CASB解决方案。
Microsoft Cloud Application Security还原生集成了Microsoft不断增长的安全和身份解决方案组合,包括Azure Active Directory和Microsoft Defender高级威胁防护。
这使Microsoft能够通过单击部署为客户提供跨其Microsoft平台的完全集成的解决方案。
Netskope
与该领域的许多参与者只是收购CASB解决方案提供商不同,Netskope仍然是一家独立公司。该提供商以在应用程序发现和SaaS安全评估方面的卓越表现而闻名。
Netskope通过已发布的API和未发布的API的内联解码支持数千种云服务。CASB提供DLP并使用组合威胁情报、静态和动态分析以及基于机器学习的异常检测来实时识别威胁。
赛门铁克
赛门铁克的CASB产品称为CloudSOC,在2016年通过收购和整合Blue Coat Systems的Perspecsys和Elastica产品得到增强。
CloudSOC使用原生云API、实时流量处理和来自多个数据源的输入,使用自动化数据分类和多模式监督提供DLP。您可以使用高级用户行为分析 (UBA) 自动识别和消除来自组织内部和外部的威胁。
Bitglass
Bitglass Cloud Security被称为下一代CASB,旨在与任何应用程序、设备或网络集成。
该平台在云中本地运行,是唯一一家在不使用代理或配置文件的情况下保护移动设备上的公司数据的提供商。Bitglass通过引入专注于信任评级、信任级别和静态加密的零日方法而声名鹊起。
2022年十大云安全认证一览
要成功保护您的云平台,您将需要高级云安全技能和知识。您还需要学习特定于平台的技能,以便在您选择的云提供商内配置访问、网络安全并确保数据保护。
值得庆幸的是,云培训和认证市场继续发展并提供了许多解决方案。您现在可以从广泛的平台特定和供应商中立认证中进行选择,以帮助您开发和证明您需要的技能。无论您是想发展基础知识还是根据特定的工作角色定制您的技能,总有适合您的认证。
为了帮助您进行搜索,我们编制了一份2022年要实现的10大云安全认证列表。
仅获得其中一项认证不仅可以帮助您更好地保护您的云部署,还可以提高您的就业能力并提高您的薪水。
(ISC)2 – 认证云安全专家 (CCSP)
CCSP是全球公认的云安全认证,面向 IT 和信息安全领导者。
获得CCSP证明您拥有在云中设计、管理和保护数据、应用程序和基础架构的高级技术技能和知识。您将使用 (ISC)2 的网络安全专家制定的最佳实践、程序和政策来执行此操作。如果您是企业架构师、系统工程师、安全管理员、架构师、工程师或经理,CCSP是理想的选择。
在培训和尝试CCSP考试之前,您需要满足一些严格的经验要求。您需要五年的全职IT工作经验,包括三年的网络安全工作经验和一年在CCSP CBK六个领域中的一个或多个领域的工作经验。您可以替换您持有同样高级(ISC)² CISSP 证书的经验要求- 标题为“世界顶级网络安全认证”。
云安全联盟 – 云安全知识证书 (CCSK)
CCSK证书是云安全领域公认的入门级认证。它由云安全联盟开发,该联盟是一个成员组织,通过定义和提高对行业最佳实践的认识来帮助确保安全的云计算环境。
获得CCSK认证将证明您具备保护云中数据所需的基础技能和知识。您将学习如何构建安全最佳实践基线,映射到从配置技术安全控制到云治理的一系列职责。
通过获得CCSK认证,如果您打算从 (ISC)² 获得更高级的CCSP认证,您还将满足一些必备的经验。
AWS认证安全 – 专业
如果您希望通过AWS云平台发展您的职业生涯,AWS Certified Security – Specialty证书是理想的选择。
通过获得AWS Certified Security,您将验证您在数据分类、加密方法、安全Internet协议以及实施它们所需的AWS机制方面的技能。
为了获得认证,您可以从多样化的学习途径中进行选择,以在AWS上塑造您在安全基础、架构和安全工程方面的知识和技能。在路径结束时,您将拥有在AWS云中安全运行应用程序的控制力和信心。
要开始获得证书,您应该担任安全角色,并拥有至少两年保护AWS工作负载的实践经验。
Microsoft认证:Azure安全工程师助理
最近,微软将他们的认证途径转变为基于角色的。通过获得他们的一项认证,您现在证明您具备执行特定工作角色所需的技能和知识。
因此,获得Azure安全工程师助理认证表明您具备成为Azure云平台安全工程师的技能。这包括在云环境中保护数据、应用程序和网络的能力。实施安全控制和威胁防护以及管理身份和访问。
在您尝试AZ-500:Microsoft Azure安全技术考试之前,没有先决技能要求。
Google Cloud – 专业的云安全工程师
获得Google的专业云安全工程师证书证明您可以在Google Cloud Platform上设计、开发、实施和管理安全基础架构。您将使用符合安全最佳做法和行业要求的Google安全技术来执行此操作。
通过获得专业云安全工程师认证,您需要了解如何在Google Cloud Platform中配置访问权限、网络安全和确保数据保护。您还需要发展知识以确保合规性和托管操作。
与Azure和AWS认证一样,如果您希望开发特定于Google Cloud Platform的云安全技能,此证书是理想的选择。与这家领先的云提供商一起推进您的职业生涯。
阿里巴巴ACA云安全认证
此ACA云安全认证是阿里巴巴认证途径中的第一个。获得此认证将证明您具备在阿里云部署中应用云安全原则的基础知识。
您将掌握Linux和网络操作的基本技能。同时还学习了阿里云平台内的托管、应用程序、网络和数据安全解决方案。您将了解阿里巴巴的几款关键安全产品,包括Server Guard、WAF、Anit-DDoS basic和Pro。
获得Associate级别认证后,您可以继续进行阿里巴巴ACP云安全认证。
阿里巴巴ACP云安全认证
ACP云安全认证是阿里云安全路径中的第二个认证。这是一项更高级的认证,面向使用阿里云安全产品的架构师、开发人员和运维专业人士。
在ACA云安全认证中获得的基础技能和知识的基础上,您将了解阿里云在安全、监控和管理方面的核心产品。
获得专业级认证后,您就可以继续进行阿里ACE云安全认证。虽然专家级认证仍在开发中,预计很快就会推出。
Cloud Credential Council – 专业云安全经理认证 (PCS)
CCC专业云安全经理证书是云证书委员会的高级认证。如果您是治理和风险专家、审计合规专家或云计算专家,它非常适合。
努力获得认证,您将学习在云环境中应用最佳实践以实现安全和治理的技能和知识。涵盖云服务管理、治理和战略等关键主题。您还将学习如何在安全环境中设计、部署和迁移云服务。
由于认证的高级性,建议您已持有EXIN提供的CCC Cloud Technology Associate和CCC Cloud Virtualization Essentials。
Oracle云平台身份和安全管理2019认证助理
Oracle的云安全认证的标题不言自明,您将了解Oracle云平台上的身份和安全管理。如果您是一名安全专业人士,希望展示他们在实施云解决方案方面的专业知识,这是理想的选择。
为认证做准备,您将了解Oracle云平台中的核心安全功能。构建知识和技能以实施Oracle身份云服务、Oracle CASB云服务、服务架构和部署以及身份安全运营中心框架
通过1Z0-1070考试将证明您是Oracle Certified Associate (OCA),这是一种全球公认的证书。您将使用Oracle云安全产品组合验证您的能力,包括服务配置。在开始之前,您需要以管理员角色获得云安全实施的最新和实践经验。
SANS SEC524:云安全和风险基础
SEC524:云安全和风险基础是一门课程,而不是认证。我已经将它包括在内,因为它教授了列出的其他认证未涵盖的重要技能和知识。
最重要的是,您将学习如何评估不同云提供商的安全性。涵盖云计算交付模型(SaaS、PaaS 和 IaaS)及其独特的安全要求。以及在公共、私有或混合云场景中运行时的其他安全注意事项。
完成课程后,您将获得一系列关键能力。如何评估云合同、调整安全架构、工具和流程以在云环境中使用,并对云设置执行漏洞评估。
小结
迁移到云端,您需要从一开始就准备好实施全面的云安全策略。这首先要确定正确的云服务提供商,然后实施结合正确工具、流程、策略和最佳实践的策略。
了解您的共同责任并专注于合规性是您的基础。
在云安全中,您的员工(或您的云提供商的)是防御网络犯罪分子的最关键且经常被忽视的方面之一。
重要的是要记住,云计算的安全性不亚于在本地部署服务。事实上,许多云提供商提供了您原本无法访问的高级安全硬件和软件。
选择合适的提供商将改善您的安全状况并降低您的风险,无论云计算引入了哪些风险。
评论留言