河北慧日信息技術有限公司

如今，很多企業正在考慮如何采用云計算并保證IT環境安全的問題，人們確實需要在云中實現強健的安全狀態。但不可否認的是，在安全方面，云計算與內部部署有很大不同。

企業需要仔細考慮以下五個最佳實踐可以幫助其實現所需的云計算安全性：

1.規劃自己的策略

在企業制定云遷移戰略的最初階段，在確定與云安全有關的事物時，需要進行廣泛思考。除IT團隊之外，還包括法律、采購、人力資源、項目管理辦公室、合規性、產品開發和合作伙伴等部門。擁有經驗豐富的合作伙伴和熟練的支持人員對于任何成功的遷移策略都至關重要。在此建議盡早讓他們參與進來。

2.共同責任模式

當企業將業務遷移到云端時，安全性將轉移到其與云計算提供商之間的共同責任。所有主要云計算提供商都有文檔說明如何分擔責任，企業需要仔細閱讀該文檔，并確定每個模型對遷移策略的影響，并且受影響的團隊將在每個模型中運行。

3.數據保護

企業需要擁有明確定義且可執行的數據生命周期策略，確保數據在傳輸和靜止的狀態中受到保護，是任何云遷移的最重要方面之一。企業需要了解要遷移的敏感數據，并利用這些工具和流程來保護它，包括云訪問安全代理（CASB）。

根據Gartner公司的說法，“云訪問安全代理（CASB）是一個內部部署或基于云計算的安全策略執行點，位于云計算用戶和云計算服務提供商之間，以便在訪問基于云計算的資源時組合和插入企業安全策略。云訪問安全代理（CASB）是強大的工具，因為它們為企業提供了所有云計算資源的集中視圖。”

許多首次部署云訪問安全代理（CASB）的IT團隊意識到他們以前沒有意識到有許多正在使用的云計算資源，其中一些可能會使敏感數據面臨風險。通過使用云訪問安全代理（CASB）和其他工具，企業可以重新獲得數據所在位置的可見性，并應用適當的安全措施來保護數據。

4.身份和訪問管理

對于特權用戶訪問，可以始終使用多因素身份驗證（MFA）。如果沒有多因素身份驗證（MFA），密碼很容易失竊。惡意攻擊者在電子郵件附件和攻擊中嵌入惡意軟件是常見的。考慮內置多因素身份驗證的單點登錄（SSO）解決方案。

例如，有權訪問敏感云計算資源的員工可能會點擊惡意電子郵件附件，而不知道隱藏的按鍵記錄軟件也包含在下載軟件中。安裝惡意軟件后，按鍵記錄軟件將用于竊取密碼。如果沒有第二種形式的身份驗證，惡意行為者將擁有訪問云計算環境所需的一切。

通過為不常見的登錄嘗試添加第二種形式的身份驗證（例如，從不同的位置或在不同的時間對特定用戶來說是正常的），企業可以使惡意黑客更難成功執行攻擊。

5.云原生工具

云遷移期間，工具合理化經常被忽視。不要假設在內部環境中工作良好的工具在云中也同樣有效，反之亦然。

企業花時間了解云計算提供商服務提供的許多云原生安全產品，以及它們如何發揮其安全工具策略可以帶來巨大的回報。例如，主要云計算提供商在其平臺中內置了復雜的日志記錄和監控功能。這些可以幫助企業準確了解誰在云環境中做了什么，而這是安全事件響應和解決方案的關鍵組成部分。

雖然使用第三方產品來增強云原生安全工具以實現全面保護是明智之舉，但不要忽視可以直接從云計算提供商那里獲得的工具。