隨著傳統 IT 基礎架構越來越不適合越來越多的業務需求，越來越多的組織開始轉向云來尋求答案。但是，雖然云環境確實提供了強大的解決方案，但它們也吸引了組織尚未準備好應對的一系列新風險。為了在不失去對核心業務的關注的情況下減輕這些風險，組織應該利用云安全服務。在這篇文章中，我們討論了云安全服務的定義、使用它們的最佳實踐，以及在交付包括桌面和應用程序在內的云托管虛擬桌面基礎架構 (VDI) 時提高其有效性。

什么是云安全服務？

云安全服務是一組旨在降低風險和提高云環境合規性的服務。由于這些環境可能非常復雜，涉及范圍廣泛的技術和流程，同時也面臨各種威脅，因此無法通過一種萬能的解決方案來保護它們。相反，這些服務中的大多數都針對特定領域。我們稍后會詳細說明。從技術上講，這些服務實際上是托管的云安全服務，也就是說，它們由第三方管理和運營。將安全操作卸載給第三方有幾個好處，包括：

• 真正知道該怎么做的專家可以監控、檢測和響應威脅。這可確保正確、徹底地處理威脅。
• 托管云安全服務提供商通常還接受過培訓，以幫助組織實現法規遵從性——這通常也在組織的專業知識之外。
• 您的 IT 員工不再需要處理網絡事件，而是可以專注于支持您的核心業務運營。

云安全服務有哪些類型？

云環境可能非常復雜，由各種技術和流程組成。與此同時，他們面臨著廣泛的威脅。因此，您通常找不到萬能的云安全服務。相反，這些服務中的大多數都針對特定領域。一些最常見的云安全服務類型包括數據丟失防護 (DLP)、身份和訪問管理 (IAM)、電子郵件安全、Web 安全和入侵檢測。

數據丟失防護

由于有如此多的數據被上傳到云服務并由云服務生成，并且有如此多的應用程序和設備訪問這些數據，因此數據丟失的可能性是巨大的。DLP 服務旨在檢測敏感數據（信用卡數據、受保護的電子健康信息 (ePHI)、社會安全號碼等）的存在，并防止它們落入壞人之手。

身份和訪問管理

IAM 服務確保用戶遵守最小權限原則，這意味著它們強制用戶訪問云資源并執行其指定角色或功能允許的操作。例如，普通用戶不應該能夠創建實例或刪除快照。IAM 服務可以強制執行該策略。通過使用 IAM 服務，管理員可以創建權限策略，然后將它們與用戶或用戶組相關聯。

電子郵件安全

作為安全鏈中最薄弱的一環，用戶往往是網絡攻擊的目標。而且由于幾乎所有用戶都使用電子郵件，因此許多此類攻擊（例如網絡釣魚和特洛伊木馬）都是通過該媒介進行的。其中一些攻擊可能會危及您的云環境。例如，魚叉式網絡釣魚攻擊可能旨在獲取云管理員憑據。減輕這些威脅的一種方法是使用能夠檢測網絡釣魚電子郵件和惡意附件的功能強大的電子郵件安全服務。

網絡安全

云服務使用量的增加給 IT 管理員增加了負擔，他們現在必須應對更大的攻擊面。用戶從不同的位置訪問云服務——在他們的總部、家中、分支機構或幾乎任何地方。Web 安全解決方案在典型場景中位于用戶（無論位于何處）和 Internet 之間，為管理員提供了保護這些連接并保護它們免受網絡威脅的方法。

入侵檢測

入侵檢測解決方案監控入站和出站流量以發現可疑活動并檢測潛在威脅。通常，檢測是通過識別特定簽名和行為的模式識別機制完成的。傳統的入侵檢測通常應用于網絡層。然而，我們現在看到更多的解決方案將這種保護應用于主機層（即虛擬機本身）。通過在威脅利用漏洞之前對其進行檢測，企業可以防止威脅參與者在目標系統中建立灘頭陣地。

那么安全信息和事件管理呢？

安全信息和事件管理 (SIEM) 解決方案從各種安全工具和網絡設備（例如防病毒解決方案、DLP 軟件、入侵檢測解決方案、防火墻、路由器、交換機）實時收集日志和事件數據，關聯所有聚合數據，然后根據預定義的規則生成警報。它是威脅檢測和事件響應團隊的關鍵工具之一，使他們能夠快速響應威脅。

加密

通過使數據不可讀來保護數據的加密是一種備受追捧的安全控制，不僅因為它可以保護數據的機密性，而且因為該功能是遵守數據隱私/保護法律和法規（例如健康）的基本要求之一保險流通與責任法案 (HIPAA)、支付卡行業數據安全標準 (PCI DSS) 和通用數據保護條例 (GDPR)。

業務連續性和災難恢復如何？

盡管云環境具有高可用性 (HA) 功能，但不可預見的事件仍會中斷業務運營。服務器實例可能會失敗，勒索軟件可能會加密您的云存儲中的文件，分布式拒絕服務 (DDoS) 攻擊可能會導致您的服務無法訪問，等等。業務連續性和災難恢復服務可以幫助確保您可以繼續照常開展業務，或者在發生不可預見的破壞性事件時盡快恢復。

云安全服務可以幫助網絡安全嗎？

我們都知道，可擴展性是云的一個關鍵特征。互聯網即服務 (IaaS) 用戶可以輕松啟動一堆服務器。自動擴展通過使組織能夠以相對輕松的方式快速部署數百個甚至數千個實例，從而進一步提升了該功能。但這種可擴展性是有代價的。現在，這意味著 IT 團隊需要保護更大的攻擊面，隨著越來越多地采用更復雜的混合云基礎架構，這項責任變得更具挑戰性。網絡安全服務幫助企業解決用戶到云以及云內和云間數據交換中的漏洞。

使用云安全服務時的最佳實踐是什么？

當今市場上有如此多不同的云安全服務，很難將它們組合成一個有效的防御層。在以下小節中，我們將與您分享一些有助于您充分利用云安全服務的最佳實踐。

認識您的共同安全責任模型

在開始任何云安全計劃之前，了解您在共享安全責任模型中的角色非常重要。它定義了云環境的哪些部分由您負責，哪些部分由您的云提供商負責。一般來說，您的提供商將監督云的安全性，而您將負責云中的安全性。軟件即服務 (SaaS) 和 IaaS 等不同的云服務產品對此模型有不同的看法，因此請確保您選擇的是正確的。您的提供商應該有這些信息。

澄清對現有安全措施和程序的擔憂

雖然大型云提供商有多種安全控制措施，但這些控制措施的存在及其覆蓋范圍可能因供應商而異。因此，準確了解存在哪些控件以及與這些控件相關的詳細信息非常重要。

他們的災難恢復計劃是什么？他們是否擁有將其安全控制與特定監管要求對應起來的信息？哪些訪問控制、加密和備份機制是現成的？他們的技術支持范圍如何？他們有 24/7 全天候支持嗎？這些是你應該問的一些問題。

利用身份和訪問管理解決方案

2021 年數據泄露成本報告將云配置錯誤確定為第三大最常見的初始攻擊媒介。令人擔憂的是，許多這些錯誤配置甚至都不是故意的。將這種特殊風險降到最低的一種方法是將特權訪問限制在絕對需要的人。更好的是，將管理功能的范圍限制為特定的管理員。相反，您不應該只授予一個人絕對的管理權限。所有這些都可以通過使用 IAM 解決方案來實現。

培訓員工識別威脅

由于用戶是安全鏈中最薄弱的環節，因此必須采取措施加強該環節。否則，您的云安全計劃只會白費。現在，由于他們缺乏安全意識可能會使他們面臨威脅，因此教育是最好的解決方案。

確保您的所有用戶都接受了安全意識培訓，并讓他們了解最新的威脅，尤其是針對最終用戶的威脅（例如，網絡釣魚、魚叉式網絡釣魚和其他社會工程攻擊）。您甚至可以將其納入您的入職流程，以便他們從第一天起就具備正確的心態。

記錄和應用云安全策略

為促進云安全計劃的順利實施，請記錄所有相關政策、流程和程序。這些將作為您組織的所有成員遵循的護欄。但是，這些政策不應該塵埃落定。領導層必須自己承擔起激勵員工參與并帶頭實施這些安全政策的責任。

自動化深度防御策略

當前的網絡威脅大多以高度復雜的方式運作。因此，為了使您的云安全服務能夠有效地對抗它們，您需要將它們整合到深度防御策略中。這意味著一種策略，將多個安全機制分層，以應對一個防御失敗時的復雜威脅。

為了提高效率，這些安全解決方案應該是集成的、自動化的和協調的。這將消除手動和耗時的流程，簡化安全操作，優化威脅監控，確保更快的檢測和事件響應，并降低總擁有成本 (TCO)。

外包您的云服務安全

并非所有組織都擁有專門的網絡安全團隊，更不用說成熟的安全運營中心 (SOC)，可以構建和實施縱深防御戰略，管理其云安全解決方案，并負責威脅監控、檢測、和回應。

如果您缺乏（或沒有）內部網絡安全人員，最好的選擇是外包云安全服務。托管安全服務提供商 (MSSP) 等第三方可以管理現有的云安全服務，也可以自己提供云安全服務。通過外包您的安全責任，您可以更加專注于您的核心業務。