信息化觀察網

近年來，云計算增長十分迅速，一路狂飆。根據美國頂尖咨詢公司貝恩咨詢（Bain Company）預測，2020年全球云計算市場規(guī)模將達到3900億美元。雖然這一強勁的增長前景看似好，但也帶來了一系列新的網絡安全威脅。

隨著越來越多的組織采用云計算，內部部署數據中心的時代將會逐漸終結。從小規(guī)模企業(yè)到規(guī)模最大的跨國公司，無論在哪里，都可以看到云計算應用程序。云計算服務的使用量每年都會持續(xù)增長，截至2016年，每個組織平均使用1427個云服務。

通常每個企業(yè)每個月都會遭受到23個云安全威脅的影響，這使得云計算看起來像是一項有風險的責任。此外，敏感信息占上傳到云端的數據的18%。但是，通過適當的安全配置和工具，即使是最隱秘的數據，也可以在云中輕松實現。為了正確理解云計算的安全性，人們了解大型漏洞背后的主要罪魁禍首至關重要。

影子IT：云計算的未知風險

對于云安全來說，最大的威脅之一是影子IT(Shadow IT)，這是在未經組織IT部門了解或同意的情況下員工使用未經授權的云服務。由于以下幾個原因，影子IT對云安全構成很大風險：

首先，企業(yè)員工在決定是否使用云服務時通常不會審查應用程序的安全性。另一方面，IT專家在批準公司范圍使用之前，需要經過廣泛的審查過程，權衡應用程序的安全風險和云計算功能。

其次，IT部門只知道組織中使用的影子云應用程序的10%。剩下的90%超出了IT部門的職責范圍。

如何保護組織的受制裁和影子云服務

(1)可見性

可見性是克服影子IT固有風險的基礎。這是由于影子IT根據定義提出了未知級別的威脅，因為企業(yè)沒有意識到員工正在使用的全部云服務。更高的可見性使IT部門能夠開始量化風險，并制定降低風險的策略。

可見性的一個要素包括監(jiān)控風險云服務的使用，對其URL或IP進行編目，并根據安全風險評估等級批準或阻止它們。為應用程序提供安全風險評級，將需要對應用程序的安全功能進行徹底調查，例如對數據進行靜態(tài)加密，還是在本地提供多因素身份驗證(MFA)等。

(2)威脅檢測

每天，全球各組織可以從他們的云計算應用中產生數十億個事件。從下載/上傳文檔到嘗試登錄服務的任何事情都會生成一個事件。

表示威脅的事件很容易丟失或被忽略。通過數據科學、機器學習以及用戶和實體行為分析(UEBA)，組織可以篩選可能會顯示出異?；顒拥氖录擞洺鲋皇悄切嶋H威脅的事件。

想象一下，用戶反復嘗試登錄Salesforce失敗。經過多次失敗嘗試后，檢測到帳戶可能發(fā)生異常。但是，如果用戶將Caps Lock鍵放開，該怎么辦? IT專業(yè)人員如何將其視為正常行為并忽略它?

再進一步，威脅防護軟件如何準確地將其歸類為正常行為并忽略它，使IT安全專業(yè)人員不必調查這些日?；顒拥木瘓?雖然網絡攻擊者可能能夠竊取員工的憑證，但攻擊者無法模仿員工的行為模式。事實證明，人們導航和使用應用程序的方式是獨特的，這是一種數字身體語言。   這種模式幾乎不可能由網絡犯罪分子復制?；氐絊alesforce用戶登錄，在驗證了幾次失敗嘗試后，如果用戶的行為與先前的行為一致，可以查明用戶是正確的還是冒充的。

使用數據科學和機器學習來觀察和分析行為模式并不是一項新技術。信用卡提供商使用數據科學和分析來識別欺詐信用卡收費。雖然盡可能地進行嘗試，信用卡的盜竊者很難完全模仿正常交易的細節(jié)，而隨著時間的推移，建立和完善的算法已經變得非常精通于檢測，即使是最無害的交易。

(3)保護數據本身——加密和標記

數據安全的兩個重要元素是加密和標記，它們用于保護敏感信息的相同目的，但操作方式稍有不同。加密通過使用加密密鑰將數據轉換為密碼文本來工作。在加密數據后，再次使信息可以被理解的唯一方法是輸入適當的解密密鑰。

令牌化以不同的方式保護數據。本質上，為純文本生成一個隨機標記，然后將其存儲在數據庫中。標記化的最大好處是它存儲了本地的實際數據，并且只有標記值被上傳到云端。但是，如果令牌到文本映射數據庫被攻擊，其敏感信息仍然可能被暴露。令牌化通常用于結構化數據。

(4)云安全的合規(guī)性

數據安全有許多法規(guī)和規(guī)定，如PCI-DSS，HIPAA-HITECH和EU-GDPR。但是，重要的是要記住，將數據存儲在云中與將數據存儲在本地數據庫中不同。為了遵守內部/外部政策，應從以下步驟開始：

識別上傳到云端的信息類型(健康信息、個人身份信息、支付卡信息等)。

限制敏感數據的第三方控制。

避免將機密信息上傳到云端。

在每個云計算應用程序中應用統一的DLP策略，以確保所有數據的安全。

清點現有政策并將其適應云計算環(huán)境。

(5)其他云安全工具

這些最佳實踐是保護云中數據的重要第一步，但以下工具可以增加更多安全性。

SIEM：安全信息和事件管理(SIEM)是大型企業(yè)的重要工具。該工具可以查看入站事件，并實時標記潛在的安全威脅。

用戶訪問控制：最小權限原則規(guī)定，員工只能訪問他們需要的工作。單點登錄(SSO)和訪問管理(IDM)可以通過管理用戶登錄、訪問以及角色和權限來確保這一點。

云計算防火墻：云計算防火墻更適合較低級別的威脅，但它們?yōu)閺脑贫硕ㄎ痪W絡的威脅提供了重要的屏障，反之亦然。

云訪問安全代理：作為客戶與云應用程序之間的控制點，云訪問安全代理(CASB)提供云中用戶活動和威脅檢測的可視性，以保護數據免受各種攻擊。

云數據加密：通過將信息轉換為密碼文本，即使所有其他安全層被破壞，黑客也無法使用敏感數據，而無需解密密鑰。

一個試圖從數據庫轉移到云端的組織最初可能會被影子IT和內部威脅帶來的風險拋出。幸運的是，通過有效的最佳實踐和各種云計算安全工具，企業(yè)現在可以安心地將數據存儲在云中。

（原標題：云計算時代如何保護自己的數據）