關(guān)于云安全的三個(gè)鮮為人知的秘密

　　如今，許多首席信息安全官呼吁人們需要正視云計算的安全需求。然而，盡管大家都有著(zhù)共同的關(guān)注點(diǎn)，但采取的方法卻各不相同;有些人呼吁在服務(wù)器方面做好防護工作，而另一些人則希望把重點(diǎn)放在工作人員在文件的上傳、下載、協(xié)作等方面的安全教育，這通常會(huì )產(chǎn)生一系列新的限制和監控政策。雖然這些方法通常都是圍繞服務(wù)器展開(kāi)的，但讓用戶(hù)云平臺更加安全的新方法應該成為優(yōu)化云安全的重中之重。

　　1.保護設備與保護訪(fǎng)問(wèn)的云服務(wù)一樣重要

　　似乎沒(méi)有人否認操作系統(OS)提供商在設備保護方面最有效這一事實(shí)，這些提供商能夠在零日時(shí)間內處理幾乎所有的違規行為。工作人員用來(lái)訪(fǎng)問(wèn)組織資源的移動(dòng)設備數量不斷增加，正在出現被盜、人為疏忽或不負責任等安全漏洞。例如，如果某個(gè)設備已經(jīng)植入病毒，或者已被加載一些非法應用程序，則該設備所訪(fǎng)問(wèn)的所有云服務(wù)都可能受到損害。

　　人們可能認為加強用戶(hù)教育就足以解決這個(gè)問(wèn)題，而用戶(hù)需要為自己的行為負責任。然而，即使是最負責任、最安全的用戶(hù)也仍然是一個(gè)風(fēng)險因素。而且，就算用戶(hù)本身的設備是安全的，但它仍處于危險區域。用戶(hù)可能會(huì )有將敏感數據下載到設備，使用安裝有鍵盤(pán)記錄器的外部計算機，并將應用程序轉載到私人設備等不安全行為。

　　因此，任何這些行為都會(huì )使惡意人員更容易破解設備，并以一種可能無(wú)法識別的方式植入程序，并且不會(huì )被用戶(hù)檢測到——至少在為時(shí)已晚之前。植入、加載、禁用加密、密碼清除、未修補的操作系統，這些是將為設備、代理，以及云應用帶來(lái)的一些風(fēng)險。組織如果希望具有強大的云保護功能，則需要了解設備安全狀況，以及識別出風(fēng)險的能力。

　　2.網(wǎng)絡(luò )是最容易被忽視的安全風(fēng)險

　　然而，保護設備和云端并不意味著(zhù)連接它們的網(wǎng)絡(luò )不會(huì )受到威脅。如今的工作場(chǎng)所更具靈活性，工作人員更有可能在公共場(chǎng)所遠程工作。無(wú)線(xiàn)網(wǎng)絡(luò )有多種形式：一些無(wú)線(xiàn)網(wǎng)絡(luò )在安全風(fēng)險方面易于識別和分類(lèi)，另一些無(wú)線(xiàn)網(wǎng)絡(luò )在灰色地帶之間，人們對這些并不熟悉。用戶(hù)并不總是對他們所連接的網(wǎng)絡(luò )給予足夠的關(guān)注。有時(shí)用戶(hù)確實(shí)不了解危險，有時(shí)他們只專(zhuān)注于找到連接到網(wǎng)絡(luò )的最快方式，以便能夠繼續工作。工作人員通常通過(guò)咖啡店、酒店房間、機場(chǎng)的公共網(wǎng)絡(luò )直接連接到企業(yè)的云平臺。陌生的網(wǎng)絡(luò )連接使用戶(hù)難以對黑客進(jìn)行防范，從而會(huì )為企業(yè)的云平臺和整個(gè)云安全鏈帶來(lái)風(fēng)險。網(wǎng)絡(luò )似乎是安全鏈路中最薄弱的部分。

　　不幸的是，許多人認為拒絕任何公共網(wǎng)絡(luò )訪(fǎng)問(wèn)是最終的解決方案，但這是一種現實(shí)的方法嗎?使用私有設備的員工總是在尋找最簡(jiǎn)單、最方便的解決方案，甚至在經(jīng)歷過(guò)糟糕的用戶(hù)體驗之后，他們仍會(huì )找到繞過(guò)網(wǎng)絡(luò )安全限制的方法繼續工作。這也是一個(gè)誤導性的事實(shí)，即所有公共網(wǎng)絡(luò )都是有風(fēng)險的，事實(shí)上并非所有的開(kāi)放網(wǎng)絡(luò )都是惡意的。當網(wǎng)絡(luò )的每一端(設備和云端)連接時(shí)都有內置的防護措施，而這些安全措施在網(wǎng)絡(luò )本身很少存在。

　　因此，監控網(wǎng)絡(luò )行為，并快速徹底地分析可疑網(wǎng)絡(luò )至關(guān)重要，以便在發(fā)生任何損害之前識別出惡意網(wǎng)絡(luò )。保護云平臺需要有保護網(wǎng)絡(luò )的姿態(tài)，以確保獲得所有用戶(hù)持續的信任，這意味著(zhù)從安全性和加密設置一直到IP網(wǎng)絡(luò )的路由路徑都需要進(jìn)行保護。畢竟，如果設備連接到一個(gè)受到威脅的網(wǎng)絡(luò )，那么這個(gè)網(wǎng)絡(luò )可以用來(lái)竊取用戶(hù)的憑證，盜取企業(yè)數據或者刪除加密，那么采用這樣的網(wǎng)絡(luò )會(huì )有什么好處呢?

　　3.了解用戶(hù)行為對于確保安全使用和協(xié)作至關(guān)重要

　　在討論任何安全問(wèn)題時(shí)，惡意行為者似乎是一個(gè)出發(fā)點(diǎn)，但企業(yè)面臨的內部威脅應該是真正的安全優(yōu)先事項。有些用戶(hù)的意圖并不具有惡意，但他們的一些無(wú)意的行為卻是危險的。有些用戶(hù)甚至不知道他們的行為可能對運營(yíng)產(chǎn)生影響。用戶(hù)配置文件可以分為三個(gè)部分：用戶(hù)角色，用戶(hù)行為和協(xié)作模式。

　　用戶(hù)的角色是權限、訪(fǎng)問(wèn)權限、合理行為的重要方面。良好的安全訪(fǎng)問(wèn)策略將提供幫助。例如，雖然可以授予管理員廣泛的權限，但是不應該讓他們從非公司網(wǎng)絡(luò )獲得對AWS的訪(fǎng)問(wèn)權限。市場(chǎng)營(yíng)銷(xiāo)人員可能不允許訪(fǎng)問(wèn)財務(wù)的Dropbox目錄。

　　用戶(hù)行為應該被視為一個(gè)軌跡地圖。從用戶(hù)操作的通常位置，到他們通?；顒?dòng)的特定時(shí)間，以及他們訪(fǎng)問(wèn)的典型服務(wù)這些都是他們的活動(dòng)軌跡。在用戶(hù)虛擬地圖上映射他們的數字足跡之后，他們的任何異常都應該警告系統，并按照預先分配的安全策略行事。不尋常的異常行為采用強烈的信號標識。例如，監控設備的地理環(huán)境可以顯示用戶(hù)正嘗試從亞洲登錄，而他的設備卻位于紐約?；蛘?，通常每個(gè)工作日下載2MB到3MB文件的用戶(hù)突然嘗試在凌晨3點(diǎn)下載3GB文件。

　　至于協(xié)作模式，任何能夠與協(xié)作者共享的內容都應該被監控。這包括授予哪些權限，哪些用戶(hù)處于活動(dòng)狀態(tài)，哪些用戶(hù)可以訪(fǎng)問(wèn)哪些信息，并且可以根據需要共享這些信息。只有能夠理解用戶(hù)行為的系統才能將用戶(hù)標記為可信，并警告用戶(hù)執行可能存在風(fēng)險的活動(dòng)。

　　設備保護、網(wǎng)絡(luò )安全、用戶(hù)行為是安全的三個(gè)要素，每個(gè)要素都是確保云安全的一個(gè)組成部分。它們是包含服務(wù)器本身的安全鏈的一部分，但也同樣重要。將這三個(gè)鮮為人知的因素與安全鏈的其他關(guān)鍵部分結合起來(lái)，將會(huì )創(chuàng )建更強大的云安全。而首席信息安全官員不必擔心云端安全，因為他們采用了正確的云安全方法。