雲安全架構和雲計算模型型別

基於雲的創新正在迅速成為一種競爭需求。雲安全架構是一種在雲中保護和檢視組織資料和協作應用程式的方法,並與雲提供商共享責任。

隨著越來越多的企業努力透過將資料和基礎設施遷移到雲端來加快運營速度,安全已成為一項更重要的責任。公司正在尋求提高速度和敏捷性的方法,運營和開發團隊正在發現雲服務的新用途。企業必須透過提高協作技能和提升雲端的運營效率來保持競爭力,同時節省資金和資源。

這種安全架構為敏感資料和資訊增加了另一層保護。該框架包括不同的安全應用程式,以及身份管理和資料保護策略。它制定了管理資料處理同時保持其安全的精確計劃和程式。

什麼是雲安全架構?

雲安全架構是指用於保護雲平臺上的資料、工作負載和系統的硬體和技術。制定雲安全架構計劃應從藍圖和設計過程開始,並應從一開始就構建到雲平臺中。過分頻繁地,雲架構師只關注速度,然後才嘗試事後新增安全措施。

雲安全架構是一個框架,其中包含保護在雲中或透過雲處理的資訊、資料和應用程式所需的所有技術和軟體。公共雲、私有云和混合雲是一些雲計算框架。所有云都必須非常安全,以保護敏感資料和資訊。

雲安全架構在企業中的重要性

隨著公司的發展,它將需要更安全的系統來處理其工作負載。雲網絡提供了許多好處,但它們也存在許多安全問題。如果未經授權的使用者訪問了私人資料,則可能對公司構成危險情況。因此,雲安全架構至關重要。

雲安全架構可以彌補傳統銷售點 (POS) 系統中未被發現的安全漏洞。此外,雲安全設計消除了安全網路冗餘問題。它還有助於組織安全措施,同時確保其在整個資料處理過程中保持可靠性。合適的雲安全架構還可以成功處理複雜的安全問題。

雲計算模型型別

雲的安全基於共享雲責任正規化構建,其中提供商和客戶共同承擔雲安全的責任。共享職責並不意味著減少責任。根據雲環境的不同,雲提供商將處理物理、基礎設施和應用程式安全的不同部分。相比之下,雲使用者將負責安全和管理的特定領域。

基礎設施即服務 (IaaS)

IaaS(基礎設施即服務)是一種雲計算概念,它透過網際網路提供虛擬化的計算資源,例如網路、儲存和工作站。在 IaaS 中,雲服務提供商 (CSP) 負責其底層伺服器和資料的安全,包括伺服器安全、儲存和網路基礎設施、虛擬化和虛擬機器管理程式。使用者訪問、資料、應用程式、作業系統和網路流量都是企業安全義務的一部分。

IaaS 雲安全模型還需要以下安全功能:

  • 稽核和監控資源的錯誤配置

  • 自動執行策略更正

  • 使用 DLP 防止資料丟失

  • 捕獲自定義應用程式活動並執行控制

  • 檢測惡意使用者活動和行為

  • 檢測和刪除惡意軟體

  • 發現流氓 IaaS 服務和帳戶

  • 識別已配置的使用者風險

  • 豐富本機雲平臺取證

  • 管理多個 IaaS 提供商

平臺即服務 (PaaS)

PaaS 雲服務模型的大部分內容由 CSP 保護,但組織負責其應用程式的安全。PaaS 透過允許使用者安裝應用程式而無需投資和管理硬體、軟體和託管基礎設施來擴充套件 IaaS。

PaaS 的應用包括:

  • 雲訪問安全代理 (CASB)

  • 雲工作負載保護平臺 (CWPP)

  • 雲安全態勢管理 (CSPM)

  • 商業分析/智慧

  • 日誌

  • IP 限制

  • API 閘道器

  • 物聯網 (IoT)

軟體即服務 (SaaS)

作為其服務合同的一部分,CSP 協商 SaaS 中安全所有權的條款。企業的物理、基礎設施、虛擬機器管理程式、網路流量和作業系統通常透過 SaaS 託管。

以下是 SaaS 應用程式和基礎設施控制的示例:

  • 執行資料丟失防護 (DLP)

  • 防止將敏感資料未經授權地共享給錯誤的人員

  • 阻止將公司資料同步/下載到個人裝置

  • 檢測受損帳戶、內部威脅和惡意軟體

  • 瞭解未經授權的應用程式

  • 稽核錯誤配置

雲安全架構面臨哪些威脅?

在計劃雲實施時,您需要做好準備以應對諸如惡意軟體和基於特權的攻擊等常見威脅。本文將嘗試展示業內專業人員目前正在考慮的一些高知名度威脅的快照。

內部人員風險

內部人員風險包括可以訪問系統和資料的內部員工以及來自雲服務提供商 (CSP) 的管理員。當您註冊 CSP 服務時,您實際上是將您的資料和工作負載交給了負責維護 CSP 架構的團隊。

資料的可用性

另一個需要考慮的因素是資料是否可供政府機構使用。安全專家越來越關注表明政府是否可以透過法院命令或其他方式訪問私有或公共雲中的資料的規則、法規和現實案例。

拒絕服務攻擊

拒絕服務攻擊是當前的熱門話題。典型的臨時直接拒絕服務 (DDoS) 攻擊包括用請求轟炸系統,直到系統崩潰。透過使用網絡合規性標準來阻止重複請求,安全邊界可以抵禦這些攻擊。在努力恢復系統的同時,CSP 還可以將工作負載和流量遷移到其他資源。

永久性拒絕服務攻擊破壞性更大,因為它們通常會導致韌體損壞,從而導致伺服器無法啟動。在這種情況下,技術人員需要手動重新載入韌體並從頭開始重建系統,這可能需要幾天甚至幾周的時間。

連線雲的邊緣系統

雲邊緣可以指連線雲的邊緣系統,但它也與 CSP 不直接控制的伺服器架構相關。由於全球 CSP 無法在全球每個角落開發和運營設施,因此它們依靠合作伙伴為較小、地理位置孤立或農村地區提供服務。因此,許多 CSP 無法完全控制監控和確保硬體的物理盒完整性,以及物理攻擊防禦,例如關閉 USB 埠訪問。

訪問公共雲產品

客戶評估公共雲產品的能力受其控制水平的影響。從客戶的角度來看,使用者擔心將敏感工作負載從客戶的私有云遷移到公共雲。另一方面,大型雲提供商通常裝備精良,並且在雲安全方面的知識水平遠高於普通的私有云使用者。客戶,即使他們的安全工具不太先進,也發現完全控制其最敏感資料令人放心。

密碼強度

即使擁有全球最強大的雲安全架構,伺服器也無法幫助您由於硬體限制而開發更好的密碼。密碼是最常見的攻擊媒介之一。硬體、韌體和軟體防護側重於雲安全架構師。

更新於: 2022年4月14日

5K+ 次瀏覽

開啟您的職業生涯

透過完成課程獲得認證

立即開始
廣告

© . All rights reserved.