在過去的十年，云計算代表了企業(yè)IT中最具顛覆性的一種趨勢，安全團隊在轉(zhuǎn)型過程中并沒有擺脫“混亂”。對于安全專業(yè)的人員而言，他們感覺自己已經(jīng)失去了對云計算的控制權(quán)，并且在試圖處理云計算“混亂”以確保其免受威脅時而感到沮喪，這是可以理解的。

以下將了解云計算破壞安全性的方式，深入了解安全團隊如何利用這些變化，并成功完成保證數(shù)據(jù)安全的關(guān)鍵任務(wù)。

1.云計算減輕了一些重大責(zé)任

企業(yè)在采用云計算技術(shù)時，可以擺脫獲取和維護物理IT基礎(chǔ)設(shè)施的負擔，這意味著企業(yè)的安全部門不再對物理基礎(chǔ)設(shè)施的安全負責(zé)。云計算的共享安全模型規(guī)定，例如AWS和Azure等云計算服務(wù)提供商（CSP）需要負責(zé)物理基礎(chǔ)設(shè)施的安全性。用戶自己負責(zé)安全使用云計算資源。然而，關(guān)于共享責(zé)任模型存在很多誤解，這帶來了風(fēng)險。

2.在云中，開發(fā)人員自己做出基礎(chǔ)設(shè)施決策

云計算資源可通過應(yīng)用程序編程接口（API）按需提供。由于云計算是一種自助服務(wù)，開發(fā)人員可以快速采取行動，避開了傳統(tǒng)的安全網(wǎng)關(guān)。當開發(fā)人員為其應(yīng)用程序啟動云計算環(huán)境時，他們正在配置其基礎(chǔ)設(shè)施的安全性。但開發(fā)人員可能會犯一些錯誤，其中包括嚴重的云計算資源配置錯誤和違反法規(guī)遵從性策略。

3.開發(fā)人員不斷改變基礎(chǔ)設(shè)施配置

企業(yè)可以在云中比在數(shù)據(jù)中心更快地進行創(chuàng)新。持續(xù)集成和持續(xù)部署（CI/CD）意味著對云計算環(huán)境的持續(xù)更改。開發(fā)人員很容易更改基礎(chǔ)設(shè)施配置，以執(zhí)行諸如從實例獲取日志或解決問題等任務(wù)。因此，即使他們在第一天的云計算基礎(chǔ)設(shè)施的安全性是正確的，也許第二天可能會引入錯誤配置漏洞。

4.云計算是可編程的，可以實現(xiàn)自動化

由于可以通過API創(chuàng)建、修改和銷毀云計算資源，開發(fā)人員已經(jīng)放棄了基于Web的云計算“控制臺”，并使用AWS CloudFormation和Hashicorp Terraform等基礎(chǔ)設(shè)施代碼工具對其云計算資源進行編程。可以預(yù)定義，按需部署大規(guī)模云平臺環(huán)境，并以編程方式和自動化方式進行更新。這些基礎(chǔ)設(shè)施配置文件包括關(guān)鍵資源的安全相關(guān)配置。

5.云中還有更多的基礎(chǔ)設(shè)施需要保護

在某些方面，數(shù)據(jù)中心的安全性更容易管理。企業(yè)的網(wǎng)絡(luò)、防火墻和服務(wù)器都在機架上運行，而云計算也以虛擬化形式存在。但云計算也提供了一系列新的基礎(chǔ)設(shè)施資源，如無服務(wù)器和容器。在過去的幾年中，僅AWS公司就推出了數(shù)百種新的服務(wù)。即使是熟悉的東西，如網(wǎng)絡(luò)和防火墻，在云中也以不熟悉的方式運行。所有這些都需要新的和不同的安全姿勢。

6.云中還有更多基礎(chǔ)設(shè)施可以保護

組織需要更多的云計算基礎(chǔ)設(shè)施資源來跟蹤和保護，并且由于云計算的彈性，更多會隨著時間而變化。在云中大規(guī)模運營的團隊可能正在管理跨多個區(qū)域和帳戶的數(shù)十個云平臺環(huán)境，每個團隊可能涉及數(shù)萬個單獨配置并可通過API訪問的資源。這些資源相互作用，需要自己的身份和訪問控制（IAM）權(quán)限。微服務(wù)架構(gòu)使這個問題復(fù)雜化。

7.云計算安全性與配置錯誤有關(guān)

云計算運營完全與云計算資源配置有關(guān)，其中包括網(wǎng)絡(luò)、安全組等安全敏感資源，以及數(shù)據(jù)庫和對象存儲的訪問策略。如果企業(yè)不必運營和維護物理基礎(chǔ)設(shè)施，安全重點將轉(zhuǎn)移到云計算資源的配置上，以確保它們在第一天是正確的，并且它們在第二天及以后保持這種狀態(tài)。

8. 云安全也與身份管理有關(guān)

在云中，許多服務(wù)通過API調(diào)用相互連接，要求對安全性進行身份管理，而不是基于IP的網(wǎng)絡(luò)規(guī)則、防火墻等。例如，使用附加到lambda接受其服務(wù)標識的角色的策略來完成從lambda到S3存儲桶的連接。身份和訪問管理（IAM）以及類似的服務(wù)都是復(fù)雜的，其功能豐富。

9.對云計算的威脅的性質(zhì)是不同的

糟糕的參與者使用代碼和自動化來查找云計算環(huán)境中的漏洞并加以利用，自動化威脅將始終超過人工或半人工的安全防御。企業(yè)的云安全必須能夠抵御當今的威脅，這意味著它們必須涵蓋所有關(guān)鍵資源和策略，并在沒有人工參與的情況下自動從這些資源的任何錯誤配置中恢復(fù)。這里的關(guān)鍵指標是關(guān)鍵云計算配置錯誤的平均修復(fù)時間（MTTR）。如果以小時、天、周來衡量，那么還有工作需要做。

10.數(shù)據(jù)中心安全性在云中不起作用

到目前為止，人們可能已經(jīng)得出結(jié)論，在數(shù)據(jù)中心中工作的許多安全工具在云中沒有多大用處。這并不意味著企業(yè)需要拋棄一直在使用的所有東西，但要知道哪些仍然適用，哪些已經(jīng)過時。例如，應(yīng)用程序安全性仍然很重要，但依靠跨度或點擊來檢查流量的網(wǎng)絡(luò)監(jiān)視工具不會因為云計算服務(wù)供應(yīng)商不提供直接網(wǎng)絡(luò)訪問。企業(yè)需要填補的主要安全漏洞與云計算資源配置有關(guān)。

11.云中的安全性可以更容易、更有效

由于云計算是可編程的并且可以實現(xiàn)自動化，這意味著云中安全性可以比數(shù)據(jù)中心更容易、更有效。

監(jiān)控配置錯誤和偏差的情況可以完全實現(xiàn)自動化，企業(yè)可以為關(guān)鍵資源使用自我修復(fù)基礎(chǔ)設(shè)施來保護敏感數(shù)據(jù)。在配置或更新基礎(chǔ)設(shè)施之前，企業(yè)可以運行自動化測試來驗證作為代碼的基礎(chǔ)設(shè)施是否符合其企業(yè)安全策略，就像企業(yè)保護應(yīng)用程序代碼一樣。這讓開發(fā)人員可以更早地了解是否存在需要修復(fù)的問題，并最終幫助他們更快地行動，并不斷創(chuàng)新。

12.在云中，合規(guī)性也可以更容易、更有效

這對合規(guī)性分析師也是好消息。傳統(tǒng)的云計算環(huán)境人工審計的成本可能非常高昂，容易出錯且耗時，而且在完成之前它們通常已經(jīng)過時。由于云計算是可編程的，并且可以實現(xiàn)自動化，因此也可以進行合規(guī)性掃描和調(diào)查報告。現(xiàn)在可以在不投入大量時間和資源的情況下，自動執(zhí)行合規(guī)性審計并定期生成報告。由于云計算環(huán)境變化如此頻繁，超過一天的審計間隔可能太長。

從哪里開始使用云安全性

（1）了解開發(fā)人員正在做什么

他們使用的是什么云計算環(huán)境，他們?nèi)绾瓮ㄟ^帳戶（即開發(fā)、測試、產(chǎn)品）分離問題？他們使用什么配置和持續(xù)集成和持續(xù)部署（CI/CD）工具？他們目前正在使用任何安全工具嗎？這些問題的答案將幫助企業(yè)制定云計算安全路線圖，并確定需要關(guān)注的理想領(lǐng)域。

（2）將合規(guī)性框架應(yīng)用于現(xiàn)有環(huán)境

識別違規(guī)行為，然后與企業(yè)的開發(fā)人員合作以使其符合規(guī)定。如果企業(yè)不遵守HIPAA、GDPR、NIST 800-53或PCI等合規(guī)制度，則采用互聯(lián)網(wǎng)安全中心（CIS）基準。像AWS和Azure這樣的云計算提供商已經(jīng)將其應(yīng)用到他們的云平臺，以幫助消除他們?nèi)绾螒?yīng)用于企業(yè)正在做什么的猜測。

（3）確定關(guān)鍵資源并建立良好的配置基線

不要忽視關(guān)鍵細節(jié)。企業(yè)與開發(fā)人員合作，確定包含關(guān)鍵數(shù)據(jù)的云計算資源，并為他們建立安全的配置基線（以及網(wǎng)絡(luò)和安全組等相關(guān)資源）。開始檢測這些配置偏差，并考慮自動修復(fù)解決方案，以防止錯誤配置導(dǎo)致事故。

（4）幫助開發(fā)人員更安全地開展工作

通過與開發(fā)人員合作，在軟件開發(fā)生命周期早期（SLDC）中加入安全性，實現(xiàn)“左移”。DevSecOps方法（例如開發(fā)期間的自動策略檢查）通過消除緩慢的人工安全性和合規(guī)性流程來幫助保持創(chuàng)新的快速發(fā)展。

有效且具有彈性的云安全態(tài)勢的關(guān)鍵是與企業(yè)的開發(fā)和運營團隊密切合作，以使每個成員都在同一頁面上并使用相同的語言溝通。而在云中，安全性不能作為獨立功能運行。