信息化觀察網(wǎng)

云計算的安全問題一直是業(yè)界爭論的熱點，在云安全領(lǐng)域，一直存在著一句話“云安全并不安全“，這可能是流傳最廣且根深蒂固的一個”神話“，因為它從云計算誕生就開始存在這個問題了。

如今，確保存儲在云端的客戶數(shù)據(jù)的安全性對組織來說是一個不斷增長的挑戰(zhàn)。網(wǎng)絡(luò)威脅的數(shù)量在不斷增長，其質(zhì)量和復(fù)雜程度也在不斷提高。

根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查，在云端發(fā)生的所有數(shù)據(jù)泄漏中，80%是由于IT部門的錯誤配置、賬戶管理和其他錯誤造成的，而不是來自云計算提供商云平臺的漏洞。因此，IT企業(yè)必須關(guān)注其內(nèi)部業(yè)務(wù)流程和人員培訓(xùn)，以加強整體安全。

云安全有哪些發(fā)展趨勢另一項研究表明，64%的企業(yè)認(rèn)為云計算基礎(chǔ)設(shè)施比傳統(tǒng)數(shù)據(jù)中心更安全。在采用云計算的企業(yè)中，75%的企業(yè)在云計算提供商提供的保護措施之外采取了額外的保護措施。而對于這些額外的安全措施，61%的企業(yè)采用數(shù)據(jù)加密，52%的企業(yè)采用更嚴(yán)格的訪問策略，48%的企業(yè)采用頻繁的系統(tǒng)審計。

網(wǎng)絡(luò)攻擊者并不關(guān)心數(shù)據(jù)是位于虛擬機還是物理機上，他們的目標(biāo)是采用任何方式獲取訪問權(quán)限。因此，為了保護云中的數(shù)據(jù)，企業(yè)希望可以使用數(shù)據(jù)中心具有的相同工具。安全專家確定了保證云計算安全的三個主要措施：數(shù)據(jù)加密、有限的數(shù)據(jù)訪問、發(fā)生攻擊時的數(shù)據(jù)恢復(fù)（如勒索軟件）。

另外，專家建議仔細(xì)研究API.因為開放和不受保護的接口可能成為數(shù)據(jù)保護方面的薄弱環(huán)節(jié)，也是云計算平臺的一個主要漏洞。

分析和機器學(xué)習(xí)為了解決許多安全問題，企業(yè)可以使用人工智能（AI）技術(shù)。人工智能框架和機器學(xué)習(xí)有助于自動化數(shù)據(jù)保護，并簡化日常任務(wù)的執(zhí)行。人工智能在公共云和私有云基礎(chǔ)架構(gòu)中提供服務(wù)，以加強其安全性。

這種方法的一個例子是開源項目MineMeld，它對來自外部來源的威脅數(shù)據(jù)制定安全策略和動態(tài)調(diào)整配置。它可能在某些情況下解決所有特定公司的需求。另一個例子是Gurucul云分析平臺，該平臺使用行為分析和機器學(xué)習(xí)來檢測外部和內(nèi)部威脅。

加密數(shù)據(jù)企業(yè)沒有必要加密所有的數(shù)據(jù)。為了確保安全，企業(yè)需要一個詳細(xì)的策略。首先，確定自己的哪些數(shù)據(jù)需要位于云端，以及流量的位置。只有這樣，才能決定哪些信息值得加密。

在加強安全措施之前，企業(yè)評估其可行性。應(yīng)評估引入新措施的成本，并將其與數(shù)據(jù)泄露造成的潛在損失相比較。另外，企業(yè)還應(yīng)該分析加密、訪問控制、用戶身份驗證對系統(tǒng)性能的影響。

數(shù)據(jù)保護可以在多個層面上實施。例如，用戶發(fā)送到云端的所有數(shù)據(jù)都可以使用AES算法進行加密，該算法提供了匿名性和安全性。下一級保護是云計算存儲服務(wù)器中的數(shù)據(jù)加密。云計算提供商通常將數(shù)據(jù)存儲在多個數(shù)據(jù)中心中，通過冗余來幫助保護客戶信息。

基礎(chǔ)設(shè)施監(jiān)控在遷移到云端時，許多客戶需要實施新的安全策略。例如，他們必須更改其防火墻和虛擬網(wǎng)絡(luò)的設(shè)置。根據(jù)調(diào)研機構(gòu)Sans公司進行的一項研究，數(shù)據(jù)中心用戶擔(dān)心未經(jīng)授權(quán)的訪問（68%）、應(yīng)用漏洞（64%）、惡意軟件感染（61%）、社交工程和不合規(guī)（59%？？）以及內(nèi)部威脅53%）。

與此同時，攻擊者幾乎總能找到破解系統(tǒng)的方法。因此，企業(yè)的主要任務(wù)是防止攻擊傳播到網(wǎng)絡(luò)的其他部分。如果安全系統(tǒng)阻止工作負(fù)載之間的未授權(quán)交互，并防止非法連接請求，則可以這樣實施。

還有許多產(chǎn)品可以監(jiān)控數(shù)據(jù)中心的基礎(chǔ)設(shè)施。例如，思科公司為IT經(jīng)理提供了網(wǎng)絡(luò)活動的完整圖景，使他們不僅可以查看誰連接到網(wǎng)絡(luò)，還可以設(shè)置用戶規(guī)則，并管理人們的應(yīng)做事項，以及他們擁有哪些訪問權(quán)限。

采用自動化工具另一種可以提高數(shù)據(jù)中心可靠性的方法是將安全系統(tǒng)與DevOps的實踐相結(jié)合。這樣做可以讓企業(yè)加快部署新的應(yīng)用程序，并更快地引入更改。適應(yīng)性安全體系結(jié)構(gòu)應(yīng)與管理工具集成在一起，使安全設(shè)置更改成為持續(xù)部署過程的一部分。

在云計算基礎(chǔ)設(shè)施中，安全性成為持續(xù)集成和持續(xù)部署的組成部分。它可以通過諸如Jenkins插件之類的工具提供，這些工具使代碼和安全性測試成為質(zhì)量保證不可缺少的階段。用于安全測試和監(jiān)控的其他DevOps工具包括靜態(tài)分析（SAST）和動態(tài)分析（DAST）解決方案。靜態(tài)分析（SAST）可以分析處于靜態(tài)狀態(tài)的應(yīng)用程序的源代碼，并識別其安全漏洞。動態(tài)分析（DAST）在應(yīng)用程序運行時檢測潛在的安全漏洞。

在以往，一個單獨的團隊將處理產(chǎn)品安全問題。但是這種方法增加了在產(chǎn)品上工作的時間，并不能消除所有的漏洞。如今，安全整合可以在多個方向進行，甚至使用單獨的術(shù)語：DevOpsSec，DevSecOps和SecDevOps.這些術(shù)語之間有區(qū)別。人們應(yīng)該考慮產(chǎn)品開發(fā)所有階段的安全性，其包括云計算基礎(chǔ)設(shè)施。

（原標(biāo)題：云安全有哪些發(fā)展趨勢）