雲安全包括技術、控制、流程和策略,它們結合起來保護您的基於雲的系統、資料和基礎設施。它是電腦保安的一個子領域,更廣泛地說,是資訊保安。
這是您和您的雲服務提供商之間的共同責任。您實施雲安全策略來保護您的資料、遵守法規遵從性並保護您客戶的隱私。這反過來又可以保護您免受資料洩露和資料丟失的聲譽、財務和法律後果。
雲安全責任共擔模型(圖片來源:Synopsys)
雲安全是所有組織的關鍵要求。尤其是(ISC)2 的最新研究報告稱,93%的組織對雲安全有中度或極度關注,四分之一的組織確認在過去12個月內發生了雲安全事件。
在本文中,我們將建立一個全面的雲安全指南。您將探索遷移到雲的安全風險,瞭解為什麼需要雲安全,並發現雲安全最佳實踐。我們還將涵蓋諸如如何評估雲服務提供商的安全性以及確定認證和培訓以提高您的雲安全性等主題。
- 雲安全如何工作?
- 雲端計算的七大安全風險
- 為什麼需要雲安全
- 雲安全最佳實踐
- 針對雲客戶的10大安全清單建議
- 什麼是雲安全聯盟?
- 什麼是卡巴斯基安全雲?
- 什麼是雲訪問安全代理 (CASB)?
- 2022年十大雲安全認證一覽
雲安全如何工作?
雲安全是技術、控制、流程和策略的複雜互動。一種針對您組織的獨特要求高度個性化的實踐。
因此,沒有單一的解釋可以涵蓋雲安全如何“工作”。
保護雲工作負載的模型(圖片來源:HyTrust)
值得慶幸的是,您可以使用一套廣泛建立的策略和工具來實現強大的雲安全設定,其中包括:
身份和訪問管理
所有公司都應該有一個身份和訪問管理 (IAM) 系統來控制對資訊的訪問。您的雲提供商將直接與您的IAM整合或提供他們自己的內建系統。IAM結合了多因素身份驗證和使用者訪問策略,幫助您控制誰可以訪問您的應用程式和資料、他們可以訪問什麼以及他們可以對您的資料執行什麼操作。
物理安全
物理安全是雲安全的另一個支柱。它是防止直接訪問和破壞雲提供商資料中心中的硬體的措施的組合。物理安全包括通過安全門控制直接訪問、不間斷電源、閉路電視、警報、空氣和顆粒過濾、防火等。
威脅情報、監控和預防
威脅情報、入侵檢測系統 (IDS)和入侵防禦系統 (IPS)構成了雲安全的支柱。威脅情報和IDS工具提供了識別當前以您的系統為目標或將成為未來威脅的攻擊者的功能。IPS工具實現了減輕攻擊並提醒您其發生的功能,以便您也可以做出響應。
加密
使用雲技術,您將資料傳送到雲提供商的平臺或從雲提供商的平臺傳送資料,通常將其儲存在他們的基礎架構中。加密是雲安全的另一層,通過在靜止和傳輸中對資料資產進行編碼來保護您的資料資產。這確保了資料幾乎不可能在沒有隻有您有權訪問的解密金鑰的情況下被破譯。
雲漏洞和滲透測試
維護和改進雲安全的另一種做法是漏洞和滲透測試。這些做法涉及您(或您的提供商)攻擊您自己的雲基礎架構以識別任何潛在的弱點或漏洞。然後,您可以實施解決方案來修補這些漏洞並改善您的安全狀況。
微分段
微分段在實現雲安全方面越來越普遍。這是將您的雲部署劃分為不同的安全部分的做法,一直到單個工作負載級別。
通過隔離單個工作負載,您可以應用靈活的安全策略,以最大限度地減少攻擊者在獲得訪問許可權時可能造成的任何損害。
下一代防火牆
下一代防火牆是雲安全難題的另一個組成部分。它們使用傳統的防火牆功能和更新的高階功能保護您的工作負載。傳統的防火牆保護包括包過濾、狀態檢測、代理、IP阻塞、域名阻塞和埠阻塞。
下一代防火牆新增了入侵防禦系統、深度資料包檢測、應用程式控制和加密流量分析,以提供全面的威脅檢測和防禦。
Kinsta託管架構
Kinsta通過Google Cloud Platform (GCP) 防火牆保護所有 WordPress 網站。提供最先進的保護以及與其他GCP安全解決方案更緊密整合的能力。
雲端計算的七大安全風險
無論您是否在雲中運營,安全性都是所有企業都關心的問題。您將面臨拒絕服務、惡意軟體、SQL隱碼攻擊、資料洩露和資料丟失等風險。所有這些都會顯著影響您業務的聲譽和底線。
當您遷移到雲時,您會引入一組新的風險並改變其他人的性質。這並不意味著雲端計算不安全。事實上,許多雲提供商引入了對您無法訪問的高度複雜的安全工具和資源的訪問。
這只是意味著您需要了解風險的變化以減輕風險。那麼,讓我們來看看雲端計算特有的安全風險。
1. 失去能見度
大多數公司將通過多種裝置、部門和地區訪問一系列雲服務。雲端計算設定中的這種複雜性(如果沒有適當的工具)可能會導致您無法檢視對基礎架構的訪問許可權。
如果沒有正確的流程,您可能會看不到誰在使用您的雲服務。包括他們正在訪問、上傳和下載的資料。
如果你看不到它,你就無法保護它。增加資料洩露和資料丟失的風險。
2. 合規違規
隨著監管控制的加強,您可能需要遵守一系列嚴格的合規要求。遷移到雲時,如果您不小心,就會引入違反合規性的風險。
其中許多法規要求您的公司瞭解您的資料在哪裡、誰可以訪問它、如何處理以及如何保護資料。其他法規要求您的雲提供商持有某些合規憑證。
不小心將資料傳輸到雲,或轉移到錯誤的提供商,可能會使您的組織處於不合規狀態。引入潛在的嚴重法律和財務影響。
3. 缺乏雲安全策略和架構
這是您可以輕鬆避免的雲安全風險,但很多人沒有。許多組織急於將系統和資料遷移到雲,早在安全系統和策略到位以保護其基礎架構之前就開始運營。
確保您實施了專為雲設計的安全策略和基礎架構,以便與您的系統和資料同步執行。
4. 內部威脅
您信任的員工、承包商和業務合作伙伴可能是您最大的安全風險。這些內部威脅無需具有惡意意圖即可對您的業務造成損害。事實上,大多數內幕事件源於缺乏培訓或疏忽。
雖然您目前面臨這個問題,但遷移到雲會改變風險。您將資料的控制權交給您的雲服務提供商,並從提供商的員工那裡引入一層新的內部威脅。
5. 合同違約
您擁有的任何合同夥伴關係都將包括對任何共享資料的使用方式、儲存方式以及有權訪問它的人員的限制。您的員工在未經授權的情況下不經意間將受限資料轉移到雲服務中可能會導致違約,從而導致法律訴訟。
請務必閱讀您的雲提供商的條款和條件。即使您有權將資料移動到雲中,某些服務提供商也有權共享上傳到其基礎架構中的任何資料。由於無知,您可能會無意中違反保密協議。
6. 不安全的應用程式使用者介面 (API)
在雲基礎架構中執行作業系統時,您可能會使用API來實現控制。任何內建於您的Web或移動應用程式的API都可以由員工在內部或由消費者在外部提供訪問。
可能會引入雲安全風險的是面向外部的API。任何不安全的外部API都是一個閘道器,為尋求竊取資料和操縱服務的網路犯罪分子提供未經授權的訪問。
不安全的外部API最突出的例子是Facebook – Cambridge Analytica Scandal。Facebook不安全的外部API使Cambridge Analytica能夠深入訪問Facebook使用者資料。
7. 雲服務配置錯誤
雲服務配置錯誤是另一個潛在的雲安全風險。隨著服務範圍和複雜性的增加,這是一個日益嚴重的問題。雲服務的錯誤配置可能導致資料被公開暴露、操縱甚至刪除。
常見原因包括為高度敏感的資料保留預設安全和訪問管理設定。其他包括不匹配的訪問管理,允許未經授權的個人訪問,以及在無需授權的情況下保持機密資料開放的資料訪問受到破壞。
為什麼需要雲安全
雲技術的大規模採用,加上網路威脅的數量和複雜程度不斷增加,推動了對雲安全的需求。反思採用雲技術的安全風險——如上文所述——未能緩解這些風險可能會產生重大影響。
但這並不全是負面的,雲安全也可以提供顯著的好處。讓我們探討為什麼雲安全是一項關鍵要求。
網路安全威脅持續增加
安全雲實踐的驅動力是來自網路犯罪分子的不斷增加的威脅——無論是在數量上還是在複雜性上。為了量化威脅,(ISC)2 的雲安全報告發現,28%的企業在2019年經歷了雲安全事件。英國政府還報告說,32%的英國企業在過去12個月內遭受了系統攻擊。
防止資料洩露和資料丟失
這些增加的網路威脅的後果是資料洩露和資料丟失的頻率和數量的加速。僅在2019年的前6個月,諾頓的新興威脅報告就概述了超過40億條記錄被洩露。
資料洩露的丟失或破壞可能會產生重大的法律、財務和聲譽影響。IBM現在在其最新報告中估計資料洩露的平均成本為392萬美元。
避免合規違規
我們已經提到雲安全如何承擔違規風險。為了證明不合規的影響,您只需觀察德國聯邦隱私監管機構,該機構最近因違反歐盟通用資料保護條例 (GDPR)對1&1 Telecommunications處以955萬歐元的罰款。
保持業務連續性
良好的雲安全性有助於維持您的業務連續性。防禦拒絕服務攻擊(DDoS攻擊)等威脅。計劃外停機和系統停機會中斷您的業務連續性並影響您的利潤。Gartner的一項研究估計,這種停機成本平均為每分鐘5600美元。
雲安全優勢
除了威脅保護和避免不良實踐的後果之外,雲安全還提供了使其成為企業要求的好處。這些包括:
1. 集中安全
就像雲端計算集中應用程式和資料一樣,雲安全集中保護。幫助您提高可見性、實施控制並更好地防禦攻擊。它還可以提高您的業務連續性和災難恢復,將所有這些都集中在一個地方。
2. 降低成本
信譽良好的雲服務提供商將提供專用於全天候保護您的應用程式和資料的內建硬體和軟體。這消除了對您自己的設定進行大量財務投資的需要。
3. 減少管理
遷移到雲端引入了安全責任共擔模型。這可以顯著減少用於管理安全性的時間和資源。雲服務提供商將負責跨儲存、計算、網路和物理基礎設施保護他們的基礎設施以及您。
4. 提高可靠性
領先的雲服務提供商將提供您可以信賴的尖端雲安全硬體和軟體。您將獲得持續服務的訪問權,您的使用者可以在任何地方、任何裝置上安全地訪問資料和應用程式。
雲安全最佳實踐
將系統遷移到雲端時,許多安全流程和最佳實踐保持不變。但是,您將遇到一系列新的挑戰,您需要克服這些挑戰才能維護基於雲的系統和資料的安全性。
為了幫助您應對這一挑戰,我們為基於雲的部署編制了一系列安全最佳實踐。
選擇受信任的提供商
雲安全最佳實踐的基礎是選擇值得信賴的服務提供商。您希望與提供最佳內建安全協議並符合最高階別行業最佳實踐的雲提供商合作。
為您擴充套件合作伙伴市場和解決方案的服務提供商,以進一步增強您的部署的安全性。
值得信賴的提供商的標誌反映在他們持有的安全合規性和認證範圍內。任何好的提供商都會公開提供的東西。例如,亞馬遜網路服務、阿里雲、谷歌雲和Azure等所有領先提供商都提供透明訪問,您可以在其中確認他們的安全合規性和認證。
除此之外,選擇受信任的提供商還有很多因素。我們將在本文後面介紹這一點,其中列出了評估任何雲提供商安全性的10大清單。
瞭解您的責任共擔模型
與雲服務提供商合作時,如果您將系統和資料遷移到雲中,您就建立了安全實施責任共擔的合作伙伴關係。
最佳實踐的一個關鍵部分涉及審查和理解您的共同責任。發現哪些安全任務將由您保留,哪些任務現在將由提供商處理。
這是一個浮動比例,具體取決於您是選擇軟體即服務 ( SaaS )、平臺即服務 ( PaaS )、基礎架構即服務 ( IaaS ) 還是本地資料中心。
谷歌雲平臺責任共擔模型
AWS、Azure、谷歌雲平臺和阿里雲等領先的雲服務提供商釋出了所謂的安全責任共擔模型。確保透明度和清晰度。請務必檢視您的雲服務提供商責任共擔模型。
檢視您的雲提供商合同和SLA
您可能不會考慮將審查您的雲合同和SLA作為安全最佳實踐的一部分,但您應該這樣做。SLA和雲服務合同只是在發生事故時提供服務和追索權的保證。
條款和條件、附件和附錄中包含的更多內容可能會影響您的安全性。合同可能意味著您的雲服務提供商對您的資料負責和擁有它之間的區別。
根據McAfee 2019年雲採用和風險報告,62.7%的雲提供商未指定客戶資料歸客戶所有。這會建立一個合法的灰色區域,提供者可以在其中宣告對您上傳的所有資料的所有權。
檢查誰擁有資料以及如果您終止服務會發生什麼。此外,請明確提供商是否需要提供對任何安全事件和響應的可見性。
如果您對合同的內容不滿意,請嘗試談判。如果有任何不可協商的內容,您需要確定同意是否對企業來說是可接受的風險。如果沒有,您將需要尋找替代選項,通過加密、監控甚至替代提供商來降低風險。
培訓您的使用者
您的使用者是安全雲端計算的第一道防線。他們對安全實踐的瞭解和應用可能是保護您的系統或為網路攻擊開啟大門的區別。
作為最佳實踐,請確保對所有使用者(員工和利益相關者)進行培訓,他們在安全的雲實踐中訪問您的系統。讓他們瞭解如何發現惡意軟體、識別網路釣魚電子郵件以及不安全做法的風險。
對於直接參與實施雲安全的更高階使用者(例如管理員),請考慮針對特定行業的培訓和認證。您將在本指南後面找到一系列推薦的雲安全認證和培訓。
控制使用者訪問
通過策略實施對使用者訪問的嚴格控制是另一種雲安全最佳實踐。幫助您管理嘗試訪問您的雲服務的使用者。
您應該從零信任開始,只允許使用者訪問他們需要的系統和資料,僅此而已。為避免實施策略時的複雜性,請建立具有分配角色的定義明確的組,以僅授予對選定資源的訪問許可權。然後,您可以將使用者直接新增到組,而不是為每個單獨的使用者自定義訪問許可權。
保護您的使用者端點
雲安全最佳實踐的另一個要素是保護您的使用者端點。大多數使用者將通過Web瀏覽器訪問您的雲服務。因此,引入高階客戶端安全性以使使用者的瀏覽器保持最新並免受攻擊至關重要。
您還應該考慮實施端點安全解決方案來保護您的終端使用者裝置。隨著移動裝置和遠端工作的爆炸式增長,使用者越來越多地通過非公司擁有的裝置訪問雲服務,這一點至關重要。
尋找包含防火牆、防病毒和網際網路安全工具、移動裝置安全和入侵檢測工具的解決方案。
保持雲服務的可見性
雲服務的使用可以是多種多樣且短暫的。許多組織在一系列提供商和地區使用多種雲服務。研究表明,雲資源的平均壽命為 2 小時。
這種行為會在您的雲環境中造成盲點。如果你看不到它,你就無法保護它。
確保您實施了一個雲安全解決方案,以提供整個生態系統的可見性。然後,您可以通過一個門戶監控和保護所有不同資源、專案和區域的雲使用情況。這種可見性將幫助您實施細粒度的安全策略並減輕廣泛的風險。
實施加密
無論您身在何處,加密資料都是一種安全最佳實踐,這在您遷移到雲後至關重要。使用雲服務,您會將資料儲存在第三方平臺上並在網路和雲服務之間來回傳送,從而使資料面臨更大的風險。
確保對傳輸中和靜止的資料實施最高階別的加密。在將資料上傳到雲之前,您還應該考慮使用自己的加密解決方案,使用自己的加密金鑰來保持完全控制。
雲提供商可能會提供內建的加密服務來保護您的資料免受外部各方的影響,但它可以讓他們訪問您的加密金鑰。
實施強大的密碼安全策略
無論您訪問何種服務,一個強密碼安全策略都是最佳實踐。實施可能的最強策略是防止未經授權訪問的重要因素。
作為最低要求,所有密碼都應包含一個大寫字母、一個小寫字母、一個數字、一個符號和至少14個字元。強制使用者每90天更新一次密碼並將其設定為系統記住最後24個密碼。
像這樣的密碼策略將阻止使用者在多個裝置上建立簡單密碼,並防禦大多數暴力攻擊。
作為安全最佳實踐和保護的附加層,您還應該實施多因素身份驗證。要求使用者新增兩個或更多證據來驗證他們的身份。
使用雲訪問安全代理 (CASB)
CASB的使用正迅速成為實施雲安全最佳實踐的核心工具。它是介於您和您的雲服務提供商之間的軟體,可將您的安全控制擴充套件到雲中。
CASB為您提供複雜的雲安全工具集,以提供雲生態系統的可見性、實施資料安全策略、實施威脅識別和保護,並保持合規性。
您可以在本指南後面部分了解有關CASB如何工作的更多資訊,包括排名前5位的CASB提供商的列表。
針對雲客戶的10大安全清單建議
在遷移到雲並選擇服務提供商時,您應該考慮的最重要因素之一是安全性。您將與您選擇的服務提供商共享和/或儲存公司資料。
您需要確信您的資料是安全的。有無數的安全因素需要考慮,從共同責任到提供商的安全標準是否達到標準。這可能是一個令人生畏的過程,尤其是如果您不是安全專家。
為了幫助我們在評估雲服務提供商時編制了前10名安全檢查表。
1. 傳輸中的資料和靜態資料的保護
遷移到雲服務時,安全的一個關鍵要素是保護您(終端使用者)和提供商之間傳輸的資料。這是您和提供者雙方的雙重責任。您需要網路保護以防止資料被截獲,並需要加密以防止攻擊者讀取任何被截獲的資料。
尋找能夠為您提供一套工具來幫助您輕鬆加密傳輸中和靜態資料的服務提供商。這將確保對雲服務提供商內部的任何內部資料傳輸或雲服務提供商與可能暴露API的其他服務之間的傳輸提供相同級別的保護。
2. 資產保護
在選擇雲服務提供商時,您需要了解資料儲存、處理和管理的物理位置。在GDPR等政府和行業法規實施之後,這一點尤其重要。
為確保您的資產受到保護,優秀的提供商將在其資料中心提供先進的物理保護,以保護您的資料免遭未經授權的訪問。他們還將確保在重新配置或處置任何資源之前擦除您的資料資產,以防止其落入壞人之手。
3. 可見性和控制
安全性的一個關鍵因素是能夠檢視和控制您自己的資料。一個好的服務提供商將為您提供一個解決方案,讓您可以全面瞭解您的資料以及誰在訪問它,無論它在哪裡以及您在哪裡。
您的提供商應提供活動監控,以便您可以發現整個生態系統中配置和安全性的變化。以及支援新的和現有解決方案的整合合規性。
4. 可信安全市場和合作夥伴網路
保護您的雲部署需要不止一個解決方案或合作伙伴。一個好的雲服務提供商將使您通過市場輕鬆找到不同的合作伙伴和解決方案並與之建立聯絡。
尋找具有市場的供應商,該供應商提供經過驗證的安全跟蹤記錄的受信任合作伙伴的策劃網路。市場還應提供安全解決方案,提供一鍵式部署,並在保護您的資料方面起到補充作用,無論是在公共雲、私有云還是混合雲部署中執行。
5. 安全的使用者管理
一個好的雲服務提供商將提供能夠安全管理使用者的工具。這將有助於防止對管理介面和程式的未經授權的訪問,以確保應用程式、資料和資源不會受到損害。
雲提供商還應提供功能來實施安全協議,將使用者分開並防止任何惡意(或受損)使用者影響他人的服務和資料。
6. 合規與安全整合
在考慮雲服務提供商時,安全性和合規性是齊頭並進的。它們應滿足由第三方組織驗證的全球合規性要求。您需要一家遵循行業最佳雲安全實踐並持有公認認證的雲服務提供商。
雲安全聯盟的安全、信任和保證登錄檔 (STAR) 計劃是一個很好的指標。此外,如果您在高度監管的行業中運營(HIPPA、PCI-DSS和GDPR可能適用),您還需要確定具有行業特定認證的提供商。
為確保您的合規工作具有成本效益和效率,雲服務提供商應讓您能夠將其安全控制繼承到您自己的合規和認證計劃中。
7. 身份和認證
您的雲提供商應確保對任何服務介面的訪問僅限於授權和經過身份驗證的個人。
在檢視提供者時,您需要提供身份和身份驗證功能的服務,包括使用者名稱和密碼、雙重身份驗證、TLS客戶端證書以及與現有身份提供者的身份聯合。
您還希望能夠限制對專線、企業或社羣網路的訪問。一個好的提供商只通過安全通道(如HTTPS)提供身份驗證以避免攔截。
確保避免使用身份驗證做法較弱的服務。這將使您的系統面臨未經授權的訪問,從而導致資料被盜、服務更改或拒絕服務。還要避免通過電子郵件、HTTP或電話進行身份驗證。
這些極易受到社會工程以及身份和身份驗證憑據的攔截。
8. 運營安全
選擇雲服務時,請尋找實施強大運營安全性以檢測和防止攻擊的提供商。這應涵蓋四個核心要素:
配置和變更管理
您需要一個提供者對構成服務的資產(包括任何配置或依賴項)提供透明度。他們應該通知您任何可能影響安全性的服務更改,以確保不會發生漏洞。
漏洞管理
您的提供商應該有一個漏洞管理流程來檢測和緩解對其服務的任何新威脅。您應該隨時瞭解這些威脅、它們的嚴重性以及計劃的威脅緩解時間表,其中包括解決方案。
保護性監測
任何稱職的提供商都將擁有先進的監控工具來識別服務的任何攻擊、濫用或故障。他們將採取快速果斷的行動來解決任何事件——讓您隨時瞭解結果。
事件管理
您理想的供應商將針對常見型別的攻擊制定預先計劃的事件管理流程。他們將準備好部署此流程以應對任何攻擊。
將有一條明確的聯絡路線供您報告任何事件,並採用可接受的時間表和格式。
9. 人員安全
您需要一個可以信任的雲服務提供商,因為他們可以訪問您的系統和資料。您選擇的雲服務提供商將實施嚴格且透明的安全篩選流程。
他們應該能夠驗證其人員的身份、工作權利,並檢查是否有任何未完成的刑事定罪。理想情況下,您希望他們符合您所在國家/地區當地制定的篩選標準,例如英國的 BS 7858:2019或美國的I-9表格填寫。
除了篩選之外,您還需要一個服務提供商來確保其人員瞭解其固有的安全責任並接受定期培訓。他們還應該制定一項政策,以儘量減少可以訪問並可能影響您的服務的人數。
10. 安全使用服務
您可以選擇具有尖端安全性的雲提供商,但仍然會因服務使用不當而遭受破壞。瞭解使用服務時的安全責任在哪裡很重要。
您的責任級別將受到您的雲部署模型、您如何使用任何服務以及任何單個服務的內建功能的影響。
例如,您對IaaS負有重要的安全責任。部署計算例項時,您將負責安裝現代作業系統、配置安全性並確保持續的補丁和維護。您在該例項上部署的任何應用程式也是如此。
因此,請確保您瞭解所選服務的安全要求以及您可用的任何安全配置選項。確保您還教育您的員工安全使用您選擇的服務。
什麼是雲安全聯盟?
當我們審視雲端計算行業時,它是一個完全不同的市場,沒有中央管理機構可供企業尋求指導。這可能令人沮喪,尤其是在應對雲安全等挑戰時。
值得慶幸的是,代替管理機構,有許多組織致力於支援該行業。雲安全聯盟就是這樣一個組織。
雲安全聯盟標誌
雲安全聯盟 (CSA)是一個非營利組織,致力於開發和提高對最佳實踐的認識,以維護安全的雲端計算環境。
它是一個會員組織,以教育、研究、活動和產品的形式提供行業雲特定的安全指導。本指南直接來自行業從業者、協會、政府以及CSA的個人和企業成員的綜合主題專業知識。
為了讓您更好地瞭解雲安全聯盟,讓我們仔細看看他們如何支援行業。
會員資格
CSA建立在其成員的基礎之上。根據您是個人、企業還是解決方案提供商,以成員身份加入CSA會帶來一系列不同的好處。
這些主要屬於類似類別,包括訪問其其他成員的專家網路、國際標準化委員會的席位、培訓折扣以及訪問獨家活動和網路研討會
保證
CSA開發了最著名的雲安全認證計劃之一:安全、信任和保證登錄檔 (STAR)。
STAR是一個供應商保證計劃,通過自我評估、第三方審計和針對標準的持續監控來提供透明度。該計劃包括三個級別,證明持有者遵守最佳實踐,同時驗證其雲產品的安全性。
教育
為了支援行業中雲安全的持續改進,CSA提供了一系列教育服務。您可以參加CSA開發的一系列雲安全認證,訪問他們的知識中心,並參加他們定期安排的教育網路研討會和活動。
研究
CSA通過其持續的研究繼續支援行業開發和創新雲安全最佳實踐。這是由他們現在跨越30個雲安全領域的工作組推動的。
最近和最前沿的包括DevSecOps、物聯網、人工智慧和區塊鏈的工作組的出現。CSA不斷免費釋出其研究報告,確保行業能夠及時瞭解雲安全不斷變化的本質。
社羣
CSA還通過繼續維護和發展雲安全社羣來支援該行業。他們建立並維護了廣泛的社羣,使來自雲安全行業的思想能夠相互聯絡、分享知識和創新。
CSA部落格
這些成長中的社羣有多種形式。您可以加入CSA分會,與當地專業人士和CSA峰會聯絡,讓最優秀的人才與大眾分享他們的專業知識。甚至還有一個CSA部落格,它擁有一個追隨者社羣,他們希望跟上CSA實踐的步伐。
什麼是卡巴斯基安全雲?
在談論雲安全時,很容易將注意力集中在企業上而忘記了對個人消費者的需求。
如果您出於個人用途訪問雲服務(照片、檔案、生活管理),則需要考慮資料的安全性:卡巴斯基安全雲,卡巴斯基新的基於雲的自適應安全解決方案。
卡巴斯基安全雲
它結合了卡巴斯基實驗室防病毒軟體的最佳功能和應用程式,為使用者的裝置建立了應對數字威脅的響應式保護。
該平臺是為個人使用者設計的,而不是為企業設計的。
Kaspersky Security Cloud保護您的裝置免受惡意軟體和病毒的侵害,新增功能以適應您使用每臺裝置的方式,從而始終提供最大程度的保護。它提供的功能包括防病毒、反勒索軟體、移動安全、密碼管理、VPN、家長控制和一系列隱私工具。
該平臺可在Windows、macOS、Android和iOS上使用。Kaspersky Security Cloud Family計劃可為多達20臺裝置提供保護。
Kaspersky Security Cloud的核心功能
為了幫助您更好地瞭解Kaspersky Security Cloud產品,我們仔細研究了平臺內的核心功能,分為四個部分:
掃描
您想要從任何安全解決方案中獲得的關鍵功能,Kaspersky Security Cloud可以掃描您的裝置並刪除發現的任何惡意軟體或病毒。您可以從多個掃描選項中進行選擇,包括單個檔案、快速掃描、整個系統和計劃。
隱私
您可以使用內建功能來保護您的隱私,以檢查您的線上帳戶以確保它們不被洩露,阻止您的網路攝像頭被訪問,並阻止網站流量以防止您的瀏覽活動受到監控。
您可以通過額外下載Kaspersky Secure Connection和Kaspersky Password Manager來擴充套件您的隱私。Secure Connection對您傳送和接收的所有資料進行加密,同時隱藏您的位置,而Password Manager儲存並保護您的密碼。
家庭網路
家庭網路使您可以檢視連線到家庭網路的所有裝置。識別受 Kaspersky Security Cloud 保護的物件。該功能允許您在新裝置連線時收到通知,並阻止任何未知裝置。
高清健康
有用但簡單的HD Health功能為您提供硬碟驅動器磁碟狀況和磁碟溫度的評級。提供有關錯誤率、電源週期、開機時間、總資料讀取和總資料寫入的資訊。
Kaspersky Security Cloud是一個很好的例子,說明雲服務的採用如何產生對新安全解決方案的需求。
在下一節中,我們將看看企業界隨著雲訪問安全代理的到來而出現的類似示例。
什麼是雲訪問安全代理 (CASB)?
雲訪問安全代理(CASB) 是位於您、雲服務消費者和雲服務提供商之間的軟體。CASB將您的安全控制從本地基礎設施擴充套件到雲。幫助為您的雲應用程式實施安全性、合規性和治理策略。它通常位於本地或託管在雲中。
雲訪問安全代理模型(圖片來源:Gartner)
CASB將幫助您抵禦高階別的雲安全風險,並支援對高風險事件的持續監控和緩解。它通過使用組織的安全策略保護在本地和雲環境之間移動的資料來做到這一點。
CASB將通過惡意軟體預防保護您免受網路攻擊,並使用端到端加密保護您的資料,防止外部使用者破譯內容。
CASB是如何工作的?
CASB可以以三種不同的方式部署:作為反向代理、正向代理或“API模式”。每個都有其獨特的優點和缺點,許多行業專家推薦多模部署。
讓我們仔細看看CASB的不同部署模式:
反向代理
反向代理位於雲服務前面,通過位於網路流量路徑中提供內聯安全功能。反向代理代理的連線從Internet執行到您的應用程式伺服器,將來自原始來源的資訊隱藏在其後面。
正向代理
前向代理位於使用者面前,CASB將流量代理到多個雲平臺。轉發代理的連線從位於防火牆後面的您到網際網路。與反向代理一樣,它也提供內聯安全功能。
API 模式
與代理部署不同,使用應用程式介面 (API) 可以直接整合CASB和雲服務。這使您可以保護託管和非託管流量。
根據雲服務提供商的API功能,您可以檢視活動、內容並採取強制措施。
CASB的功能支柱
CASB提供的功能屬於四個“支柱”,其中包括:
1. 能見度
當雲應用程式位於您的 IT 部門的視野之外時,您建立的資訊不受您的業務治理、風險和合規流程的控制。
CASB可讓您瞭解所有云應用程式及其使用情況。包括有關誰在使用平臺、他們的部門、位置和使用的裝置的重要資訊。
2. 資料安全
使用雲平臺會增加無意中與錯誤的人共享資料的風險。如果您使用雲端儲存,典型的資料丟失防護 (DLP) 工具將無法跟蹤或控制誰在訪問您的資料。
CASB可幫助您在結合了加密、令牌化、訪問控制和資訊許可權管理的雲平臺中實施以資料為中心的安全性。
3. 威脅防護
最難防範的安全威脅之一是您自己的員工。即使是已從您組織的核心繫統中禁用的前員工也可能仍然能夠訪問包含業務關鍵資訊的雲應用程式。
CASB允許您檢測和響應雲基礎架構中的惡意或疏忽內部威脅、特權使用者和受損帳戶。
4. 合規
當您的資料遷移到雲端時,您需要確保維護資料安全和隱私,以遵守行業和政府法規。CASB將為您執行此操作,識別和執行雲部署中敏感資料的DLP策略。幫助您遵守包括SOX和HIPAA在內的法規。
CASB還將幫助您根據PCI DSS、NIST、CJIS、MAS和ISO 27001等核心監管要求對您的雲安全配置進行基準測試。
排名前5的雲訪問安全代理
由於資料洩露和丟失的重大風險,服務向雲的大規模遷移與實施雲安全的需求相結合,導致CASB市場出現爆炸式增長。
作為下一代技術,CASB已成為雲安全戰略的重要組成部分。根據Gartner的“雲訪問代理魔力象限”報告,五分之一的大型企業使用CASB來保護或管理其雲服務:
Gartner雲訪問安全代理 (CASB) 魔力象限
Gartner使用他們的“魔力象限”確定了CASB市場的五個領導者,其中包括:
邁克菲
McAfee於2018年1月進入CASB市場,高調收購了Skyhigh Networks。現在稱為MVISION Cloud,該平臺為廣泛的雲服務提供涵蓋所有四個CASB支柱的覆蓋範圍。
該平臺提供全面的DLP引擎並提供高階控制,包括加密以及結構化和非結構化資料的標記化。CASB可以部署用於具有反向代理模式功能和正向代理的API檢查。
McAfee還為需要它的人提供了一個本地虛擬應用程式。
微軟
Microsoft的CASB產品稱為Microsoft Cloud Application Security。該平臺支援多種部署模式,包括反向代理和API聯結器。Microsoft繼續開發具有增強的可見性、分析、資料控制和創新自動化功能的CASB解決方案。
Microsoft Cloud Application Security還原生整合了Microsoft不斷增長的安全和身份解決方案組合,包括Azure Active Directory和Microsoft Defender高階威脅防護。
這使Microsoft能夠通過單擊部署為客戶提供跨其Microsoft平臺的完全整合的解決方案。
Netskope
與該領域的許多參與者只是收購CASB解決方案提供商不同,Netskope仍然是一家獨立公司。該提供商以在應用程式發現和SaaS安全評估方面的卓越表現而聞名。
Netskope通過已釋出的API和未釋出的API的內聯解碼支援數千種雲服務。CASB提供DLP並使用組合威脅情報、靜態和動態分析以及基於機器學習的異常檢測來實時識別威脅。
賽門鐵克
賽門鐵克的CASB產品稱為CloudSOC,在2016年通過收購和整合Blue Coat Systems的Perspecsys和Elastica產品得到增強。
CloudSOC使用原生雲API、實時流量處理和來自多個資料來源的輸入,使用自動化資料分類和多模式監督提供DLP。您可以使用高階使用者行為分析 (UBA) 自動識別和消除來自組織內部和外部的威脅。
Bitglass
Bitglass Cloud Security被稱為下一代CASB,旨在與任何應用程式、裝置或網路整合。
該平臺在雲中本地執行,是唯一一家在不使用代理或配置檔案的情況下保護移動裝置上的公司資料的提供商。Bitglass通過引入專注於信任評級、信任級別和靜態加密的零日方法而聲名鵲起。
2022年十大雲安全認證一覽
要成功保護您的雲平臺,您將需要高階雲安全技能和知識。您還需要學習特定於平臺的技能,以便在您選擇的雲提供商內配置訪問、網路安全並確保資料保護。
值得慶幸的是,雲培訓和認證市場繼續發展並提供了許多解決方案。您現在可以從廣泛的平臺特定和供應商中立認證中進行選擇,以幫助您開發和證明您需要的技能。無論您是想發展基礎知識還是根據特定的工作角色定製您的技能,總有適合您的認證。
為了幫助您進行搜尋,我們編制了一份2022年要實現的10大雲安全認證列表。
僅獲得其中一項認證不僅可以幫助您更好地保護您的雲部署,還可以提高您的就業能力並提高您的薪水。
(ISC)2 – 認證雲安全專家 (CCSP)
CCSP是全球公認的雲安全認證,面向 IT 和資訊保安領導者。
獲得CCSP證明您擁有在雲中設計、管理和保護資料、應用程式和基礎架構的高階技術技能和知識。您將使用 (ISC)2 的網路安全專家制定的最佳實踐、程式和政策來執行此操作。如果您是企業架構師、系統工程師、安全管理員、架構師、工程師或經理,CCSP是理想的選擇。
在培訓和嘗試CCSP考試之前,您需要滿足一些嚴格的經驗要求。您需要五年的全職IT工作經驗,包括三年的網路安全工作經驗和一年在CCSP CBK六個領域中的一個或多個領域的工作經驗。您可以替換您持有同樣高階(ISC)² CISSP 證書的經驗要求- 標題為“世界頂級網路安全認證”。
雲安全聯盟 – 雲安全知識證書 (CCSK)
CCSK證書是雲安全領域公認的入門級認證。它由雲安全聯盟開發,該聯盟是一個成員組織,通過定義和提高對行業最佳實踐的認識來幫助確保安全的雲端計算環境。
獲得CCSK認證將證明您具備保護雲中資料所需的基礎技能和知識。您將學習如何構建安全最佳實踐基線,對映到從配置技術安全控制到雲治理的一系列職責。
通過獲得CCSK認證,如果您打算從 (ISC)² 獲得更高階的CCSP認證,您還將滿足一些必備的經驗。
AWS認證安全 – 專業
如果您希望通過AWS雲平臺發展您的職業生涯,AWS Certified Security – Specialty證書是理想的選擇。
通過獲得AWS Certified Security,您將驗證您在資料分類、加密方法、安全Internet協議以及實施它們所需的AWS機制方面的技能。
為了獲得認證,您可以從多樣化的學習途徑中進行選擇,以在AWS上塑造您在安全基礎、架構和安全工程方面的知識和技能。在路徑結束時,您將擁有在AWS雲中安全執行應用程式的控制力和信心。
要開始獲得證書,您應該擔任安全形色,並擁有至少兩年保護AWS工作負載的實踐經驗。
Microsoft認證:Azure安全工程師助理
最近,微軟將他們的認證途徑轉變為基於角色的。通過獲得他們的一項認證,您現在證明您具備執行特定工作角色所需的技能和知識。
因此,獲得Azure安全工程師助理認證表明您具備成為Azure雲平臺安全工程師的技能。這包括在雲環境中保護資料、應用程式和網路的能力。實施安全控制和威脅防護以及管理身份和訪問。
在您嘗試AZ-500:Microsoft Azure安全技術考試之前,沒有先決技能要求。
Google Cloud – 專業的雲安全工程師
獲得Google的專業雲安全工程師證書證明您可以在Google Cloud Platform上設計、開發、實施和管理安全基礎架構。您將使用符合安全最佳做法和行業要求的Google安全技術來執行此操作。
通過獲得專業雲安全工程師認證,您需要了解如何在Google Cloud Platform中配置訪問許可權、網路安全和確保資料保護。您還需要發展知識以確保合規性和託管操作。
與Azure和AWS認證一樣,如果您希望開發特定於Google Cloud Platform的雲安全技能,此證書是理想的選擇。與這家領先的雲提供商一起推進您的職業生涯。
阿里巴巴ACA雲安全認證
此ACA雲安全認證是阿里巴巴認證途徑中的第一個。獲得此認證將證明您具備在阿里雲部署中應用雲安全原則的基礎知識。
您將掌握Linux和網路操作的基本技能。同時還學習了阿里雲平臺內的託管、應用程式、網路和資料安全解決方案。您將瞭解阿里巴巴的幾款關鍵安全產品,包括Server Guard、WAF、Anit-DDoS basic和Pro。
獲得Associate級別認證後,您可以繼續進行阿里巴巴ACP雲安全認證。
阿里巴巴ACP雲安全認證
ACP雲安全認證是阿里雲安全路徑中的第二個認證。這是一項更高階的認證,面向使用阿里雲安全產品的架構師、開發人員和運維專業人士。
在ACA雲安全認證中獲得的基礎技能和知識的基礎上,您將瞭解阿里雲在安全、監控和管理方面的核心產品。
獲得專業級認證後,您就可以繼續進行阿里ACE雲安全認證。雖然專家級認證仍在開發中,預計很快就會推出。
Cloud Credential Council – 專業雲安全經理認證 (PCS)
CCC專業雲安全經理證書是雲證書委員會的高階認證。如果您是治理和風險專家、審計合規專家或雲端計算專家,它非常適合。
努力獲得認證,您將學習在雲環境中應用最佳實踐以實現安全和治理的技能和知識。涵蓋雲服務管理、治理和戰略等關鍵主題。您還將學習如何在安全環境中設計、部署和遷移雲服務。
由於認證的高階性,建議您已持有EXIN提供的CCC Cloud Technology Associate和CCC Cloud Virtualization Essentials。
Oracle雲平臺身份和安全管理2019認證助理
Oracle的雲安全認證的標題不言自明,您將瞭解Oracle雲平臺上的身份和安全管理。如果您是一名安全專業人士,希望展示他們在實施雲解決方案方面的專業知識,這是理想的選擇。
為認證做準備,您將瞭解Oracle雲平臺中的核心安全功能。構建知識和技能以實施Oracle身份雲服務、Oracle CASB雲服務、服務架構和部署以及身份安全運營中心框架
通過1Z0-1070考試將證明您是Oracle Certified Associate (OCA),這是一種全球公認的證書。您將使用Oracle雲安全產品組合驗證您的能力,包括服務配置。在開始之前,您需要以管理員角色獲得雲安全實施的最新和實踐經驗。
SANS SEC524:雲安全和風險基礎
SEC524:雲安全和風險基礎是一門課程,而不是認證。我已經將它包括在內,因為它教授了列出的其他認證未涵蓋的重要技能和知識。
最重要的是,您將學習如何評估不同雲提供商的安全性。涵蓋雲端計算交付模型(SaaS、PaaS 和 IaaS)及其獨特的安全要求。以及在公共、私有或混合雲場景中執行時的其他安全注意事項。
完成課程後,您將獲得一系列關鍵能力。如何評估雲合同、調整安全架構、工具和流程以在雲環境中使用,並對雲設定執行漏洞評估。
小結
遷移到雲端,您需要從一開始就準備好實施全面的雲安全策略。這首先要確定正確的雲服務提供商,然後實施結合正確工具、流程、策略和最佳實踐的策略。
瞭解您的共同責任並專注於合規性是您的基礎。
在雲安全中,您的員工(或您的雲提供商的)是防禦網路犯罪分子的最關鍵且經常被忽視的方面之一。
重要的是要記住,雲端計算的安全性不亞於在本地部署服務。事實上,許多雲提供商提供了您原本無法訪問的高階安全硬體和軟體。
選擇合適的提供商將改善您的安全狀況並降低您的風險,無論雲端計算引入了哪些風險。
評論留言