保护您的云： 你真正需要知道的

5 分钟。 读

几乎每家公司都在以某种方式转向云端，无论是通过有计划的行动，还是因为员工采用未经批准的云服务。 员工通常采用云服务来更高效地完成工作，但他们却没有考虑安全隐患——这是企业管理的一个担忧。

不幸的是，当谈到云安全时，公司常常担心错误的问题。 总体而言，云提供商在保护其服务方面比一般企业做得更好，因此您不必过于担心云提供商的安全性或您的云提供商是否会遭到黑客攻击。

相反，您应该担心您控制的云的部分。 这些问题将根据贵公司部署的云类型而有所不同。 基础设施即服务 (IaaS) 让您对安全性有更多的控制权，但同时也让您承担更多的责任。 软件即服务 (SaaS) 为您提供对安全性的最少控制，并将大部分责任转移给您的服务提供商。 平台即服务 (PaaS) 是两者的混合。
出于这些原因，您采用的云服务模型将决定您的提供商在安全方面的责任级别。 以下是您需要了解的内容。

1. 了解云应用和基础设施面临的威胁

对云基础设施最令人担忧的威胁与任何其他基础设施相同：漏洞，其原因多种多样。 认识到违规行为有不同程度很重要；获得管理员帐户访问权限的攻击者比访问受限用户帐户的攻击者拥有更多的控制权。

因此，您应该更加关注管理员和特权用户，并对这些帐户进行超出所有用户帐户正常的监控。 这种安全威胁适用于所有类型的云，因为公司员工对 SaaS、PaaS 和 IaaS 基础设施保持某种形式的管理员访问权限。

2. 安全地管理身份和访问

进一步来说，您应该特别注意身份和访问对于保护云服务的重要性。 身份和访问数据存储应受到密切保护和监控。 然而，由于平均每个公司必须处理其员工使用的1,031 个云应用，如果没有联合身份管理或单点登录基础设施，这是无法实现的。

3. 抵消对可用性的威胁

分布式拒绝服务 (DDoS) 攻击变得更加复杂并且更容易发动。 雇佣 DDoS 服务（也称为引导程序或压力程序）可随时用于破坏网络或网站。 随着云服务越来越受欢迎，DDoS 攻击的影响力也越来越大，因为攻击者只需一次攻击就能破坏许多公司的关键业务服务。

例如，2016 年 10 月，一次由数万台数字视频录像机、摄像机和家用路由器发起的大规模 DDoS 攻击针对的是 DNS 提供商 Dyn ，该公司的客户依靠该服务将在线用户引导到他们的网站。 结果导致包括 Netflix、Twitter 和 PayPal 在内的许多互联网服务中断。

您需要确定您的提供商是否具有足够的弹性来抵御攻击。 虽然许多云基础设施提供商都提供增加带宽的功能，但他们通常会在攻击期间对额外的带宽收费，从而给您的企业带来巨大的损失。 您需要评估在什么情况下维持攻击级别所需的成本太高，并且更明智的做法是聘请 DDoS 缓解服务来在恶意流量进入您的应用程序之前对其进行拦截。

4. 管理漏洞威胁

2015 年，一名黑客利用防病毒公司 BitDefender 公共云中的漏洞窃取了数量不详的未加密用户名和密码。 漏洞对云基础设施的威胁不亚于对本地设备和装置的威胁。

公司必须能够以敏捷的方式进行修补，这意味着运营团队需要知道哪些基础设施组件存在漏洞，并有管理该漏洞的选项。 快速补丁部署应该是一个优先事项，但也应该提供虚拟补丁，以便安全团队有足够的时间解决问题而不会引起更多问题。

总体而言，由于服务级别协议和定期更新和修补，云服务和平台往往比普通公司的基础设施更安全，因此企业应该专注于他们能控制的云方面。 如果公司专注于控制访问和凭证、保持服务可用以及管理其控制下的云基础设施部分的漏洞，他们就会发现云是一种更安全的选择。

作为 F5 Networks 的高级安全解决方案架构师，Brian McHenry 专注于 Web应用和网络安全。 McHenry 充当客户和 F5 产品团队之间的联络人，提供实际的、真实的视角。 他是 InformationSecurityBuzz.com 的定期撰稿人、BSidesNYC 的联合创始人，也是 AppSecUSA、BC Aware Day、GoSec Montreal 和俄亥俄州中部信息安全峰会等的演讲者。 在 2008 年加入 F5 之前，自称 IT 通才的 McHenry 曾在多家技术组织担任领导职务，包括从初创公司到大型金融服务公司。