什么是确保云安全的优秀方法?

企业需要解决以下问题：

为什么专注于特定于云计算的网络安全是一个错误?

在云中管理可见性有哪些挑战?

如何减少云安全中的人为错误?

企业如何构建即使在基础设施发生变化时仍可确保云安全?

为了提供有关云计算安全性的见解， Tanium公司北美地区首席信息安全官Chris Hallenbeck对此进行了探讨。

保护企业数据绝对至关重要，这就是许多企业在其云存储中使用自动备份的原因。它具有可扩展性、灵活性、可让企业高枕无忧。

Hallenbec 说，“对于云平台的安全，云计算提供商需要自己负责底层基础设施的安全。这只是一个自动的假设，因为这是他们的管理领域，而用户在云平台负责数据的处理和保护。

最好假设用户负责将数据传输到云中的所有方面，例如在云平台上处理、存储、传输数据，以确保这些事情的安全。不同的云计算提供商对于用户可以设置不同级别的控制和可见性。人们可能看到很多关于研究人员发现Amazon S3存储桶泄露的新闻。

这最终取决于将数据放入云中以确保安全的组织。这是理解这一点的关键，因为它与任何其他计算机系统都没有区别。用户需要负责数据的传输安全，硬盘存储安全，并牢记这些，看看云计算提供商提供了哪些工具来更有效地保护这些东西。

其诀窍在于，云计算提供商是否有义务告诉用户，他们的基础设施中是否发生了不涉及直接破坏数据的事件?而且，他们的合同可能没有这样的义务。这是否意味着在他们的基础设施中的任何地方都没有入侵者?

我要说的是，仅仅考虑到这些实体的庞大规模，它们在某个时候一定会遭到一些入侵。它只是不一定达到这个阈值，并通知受害者。而且这些云计算提供商确实有很强的动力来维持其基础设施的高安全标准。

因为这一切都是为了企业的信誉。如果AWS公司表示他们的云平台有漏洞，然后说这么做是出于非常谨慎的考虑，他们决定要比其他提供商都更主动，所有其他竞争对手都会说，‘用户还是采用我们的云平台，因为AWS云平台有漏洞。’因此，存在一些市场激励措施，可能会促使服务提供商对此有所分歧。但总的来说，我看到他们所有人都坚定地承诺保护他们的基础设施。”

Hallenbeck说，“现实是大多数组织仍然采用混合部署的基础设施。它们在一段时间内仍将是混合的，这意味着它们具有一定数量的数据在内部部署数据中心处理，它们在云平台中的数量越来越大，并且数据经常在这些环境之间流动。

因此，人们必须了解这些情况，并且不会这样说，‘我们要采用云计算战略，因此，我不必担心或专注于为数据进行安全性保护。’这些数据将会存在很长一段时间。这是巨大的机会损失，因为用户没有重新分析正在处理的数据类型，如何保护它们，并可能重新构建它们，以利用云计算提供的功能更好、更有效，更安全地处理它们。如果所要做的只是移动数据，那么就将过去的决定带到了新事物上。

因此，看到许多企业首先使用云计算技术的原因，这只是意味着，作为一个新项目，正在考虑一种新的服务产品，请立即将其放在云平台中而不是在内部部署数据中心构建，然后再考虑迁移。通过深思熟虑的迁移计划，可以将旧内容以新形式迁移到云平台中。”

Hallenbeck说，“需要知道这些云计算环境中存在什么。例如考虑可以多快地在云平台中启动资源，只需单击几下键盘，也许在一两分钟之后，就可以使用云计算资源。现在，当用户执行此操作时，无法了解所生成的内容。因为它很容易打开，所以很容易有人忘记将它关闭。

而且，用户在虚拟化环境中的部署时间最长。在过去的日子里，需要购买物理硬件，必须削减采购订单，将其装运，有人接收，并在上面贴上条形码，然后将其数据输入到资产管理数据库中，然后将其放入数据中心的机架中，所有这些步骤使人们可以从订购开始到整个过程的结束进行跟踪。

然后，在内部部署数据中心实施虚拟化，开始使虚拟机得以激增，这毫不费力地启动某些事情，而事实上，云计算使它几乎变得更容易实现。在内部部署数据中心，用户仍然拥有固定数量的CPU，因此可能会超额订阅，并开始注意到也许用户正在不断扩展的云平台中获得一些技巧。

它可以扩展以满足用户需求。因此，需要知道那里有什么以及实际使用的频率。能够跟踪这些事物显然具有成本优势，但是从安全角度来看，用户仍然有责任修补那些在云计算基础设施之上的系统。因此，用户仍然需要知道它们的存在以及它们当前的补丁级别。”

Hallenbeck说，“因此，许多云计算基础设施都提供了自动化功能。因此，当用户启动一个新资源时，实际上可以构建一个模板，并且始终如一，当用户创建一个新的资源时，它已经按照其标准建立了。这样就轻松多了。从理论上讲，像容器这样的东西会让事情变得更容易。

这是一个有趣的领域，我看到很多企业陷入了陷阱。他们认为容器是解决补丁程序管理或其他问题的一种解决方案，因为，一旦运行一个新的容器，就将提供最新和最伟大的东西。容器是一个非常短暂的东西，它会很快运行，也会根据需求迅速关闭。

事实上，我看到很多组织都在这样做，它们几乎像普通的虚拟机一样运行起来，它们可能会持续数小时、数天或数月。因此，通过容器工作的一些潜在好处并不一定能实现。”

Hallenbeck 说，“模板化就是一切。只要用户具有一致的配置，就可以处于更好的状态，然后还可以在不同的提供程序之间进行切换。如果做对了，并且可以导出这些模板，则可以在不同的提供程序之间移动，并且仍然可以使用相同的基本配置。

就未来的发展而言，我们看到了更多的静态数据加密能力。诸如此类的事情变得越来越容易。我认为我们已经看到提供商开始引入更多的安全性功能，但随后就像在其管理用户界面中的某个运行状况检查选项一样执行此操作，如果启用这些功能可能会更安全。

因此，最初的几次迭代主要是根据需求添加功能，然后云计算提供商说，‘'无论需求如何，都需要添加这些其他功能。’然后，现在人们意识到，不确定这些功能是否存在，或者为什么需要启用它们，所以必须有一种识别它的方法。

现在更多的是，确实需要生产它们并逐步实现这些功能。在这些配置中，在默认情况下将使人们进入越来越安全的状态，这将是持续的改进。

在某些情况下，不能像静态数据中的某些加密一样只是打开它们，在某些方面，或者一个很好的例子实际上是数据库中的原始级加密。用户必须构建程序来实际利用这些功能，但是必须知道该功能存在，并且必须提示使用它。而且我认为提供商在推出此功能方面将会做得更好。”