导语：云端安全防护进行时！

您的组织可能会利用云计算的实际优势：灵活性、快速部署、成本效益、可扩展性和存储容量。但是，您是否投入了足够的精力来确保云基础设施的网络安全？

您应该这样做，因为数据泄露、知识产权盗窃和商业秘密泄露在云中仍然可能发生。复杂云环境中的网络安全风险可能会使您难以保护数据并遵守许多标准、法律和法规的合规要求。

在本文中，我们分析了云的主要弱点，并提供了7种云基础设施安全最佳实践，以确保组织中的关键系统和数据的安全。

云计算中的基础设施安全性

云安全由不同的控制、过程和技术组成，用于保护组织的关键系统和数据免受来自云环境的网络安全威胁和风险。

为了更好地理解云环境的弱点，让我们来看看它的主要安全问题：

攻击面大。明确定义公司云环境的边界可能极具挑战性。系统和数据可能从多个角度受到攻击，包括远程员工的个人设备、未经授权的第三方云应用程序和服务以及公共网络。云数据在静止和传输过程中都可能受到攻击；

缺乏可见性。一些云提供商拥有对云IT基础设施的完全控制，而不会将基础设施暴露给客户。使用云计算平台的组织可能难以识别其云资产，以采取适当措施有效地保护其数据。此外，在云中跟踪员工的活动可能并不容易。

环境的复杂性。由于特定的需求，某些组织倾向于复杂的多云和混合环境。这就产生了选择正确的网络安全工具的问题，这些工具既可以在云中运行，也可以在本地运行。混合环境的实现和维护极具挑战性，需要一个全面的网络安全方法。

尽管存在这些问题，大多数云服务提供商都擅长保护您的数据免受外部网络攻击。然而，还有一个方面是云提供商无法在其云安全基础设施中完全覆盖的，即人为因素。即使网络攻击是来自外部的，您的员工通常也是有意/无意推动其成功的“帮凶”。

云基础设施中的5大安全威胁

为了保护云基础设施中的敏感数据，请考虑以下主要网络安全威胁：

帐户妥协

为了访问敏感数据，网络攻击者可以接管员工、特权用户或有权访问您组织的云环境的第三方的帐户。攻击者可以使用受损帐户访问系统和文件，诱骗其他用户泄露敏感数据，或劫持电子邮件帐户以执行进一步的恶意操作。

由于暴力攻击、凭据填充、密码喷射或帐户所有者的密码操作不当，帐户都可能会遭到破坏。根据《2022年云安全报告》显示，云账户接管占所有云安全事件的15%。

社会工程

网络攻击者还可能诱骗员工提供关键系统和数据的访问权限。社会工程技术有很多，其中网络钓鱼是最常用的。它包括引诱受害者通过电子邮件泄露敏感信息。

攻击者可能会代表一个看似值得信赖的来源，要求受害者提供有价值的数据或采取某些行动，比如更改密码。一旦被欺骗的员工按照链接输入他们的凭据，他们的账户就会被泄露。钓鱼电子邮件还可能包含恶意链接或感染病毒的文件，以控制员工的计算机并泄露敏感数据。

影子IT

您组织中的员工在安装和使用未经网络安全团队授权的云应用程序和服务时，可能并不知道“影子IT”的含义。未经批准的软件会带来网络安全风险和挑战，包括缺乏对未经授权的应用程序的IT控制、未修补的漏洞的可能性以及IT合规性问题。

此外，受到损害和滥用的云服务可能在您的云基础设施中拥有广泛的访问权限。然后，网络犯罪分子可以使用这些权限删除或窃取您的敏感数据。

无意的内部活动

在网络安全意识较低的组织中，员工可能会在不知不觉中助力数据泄露、账户泄露和漏洞利用。粗心的工作人员和访问您的云基础设施的第三方可能会犯错误，存在不良的密码习惯，通过未经授权的云应用程序共享信息，或未能遵循其他安全预防措施。

忽视职责的系统管理员尤为危险，因为根据《2022年云安全报告》显示，云错误配置占所有云安全事件的23%。

恶意内部活动

内部威胁在云中和在本地一样常见。事实上，根据最新的《2022年数据泄露调查报告》显示，内部威胁占安全事件的22%左右。

一个恶意的内部人员可能存在不同的动机。他们可能是从事工业间谍活动的外部特工，谋取个人利益的恶意员工或第三方，或者是心怀不满的员工寻求对公司进行报复。

组织中的恶意内部人员可能导致数据丢失、系统破损、安装恶意软件并窃取知识产权。

内部人员的根本问题在于，他们的恶意活动很难与基本的日常活动区分开来，因此很难预测和检测与内部人员相关的事件。此外，恶意的内部人员通常可以访问关键系统和数据。

云安全最佳实践

云安全结合了不同的网络安全策略、流程和解决方案。在下述7条云数据安全最佳实践中，我们总结了保护云计算环境的最有效方法：

1. 云安全访问

尽管大多数云提供商都有自己的方法来保护客户的基础设施，但您仍然要负责保护组织的云用户帐户和对敏感数据的访问。为了降低帐户泄露和凭证盗窃的风险，可以考虑在组织中加强密码管理。

您可以从向网络安全程序添加密码策略开始。教育员工保持网络安全习惯，包括不同账户使用不同且复杂的密码，以及定期轮换密码。为了真正提高帐户和密码安全性，您可以部署集中式密码管理解决方案。

2. 管理用户访问权限

为了确保员工能够有效地履行职责，一些组织为他们提供对系统和数据的广泛访问权。这些用户的账户对网络攻击者来说是一座金矿，因为入侵这些账户可以更轻松地访问关键的云基础设施并升级权限。

为了避免这种情况，组织可以定期重新评估和撤销用户特权。考虑遵循最小特权原则，该原则规定用户只能访问执行其工作所需的数据。在这种情况下，泄露用户的云账户只会让网络犯罪分子获得有限的敏感数据。

此外，组织还可以通过明确的入职和离职程序（包括添加和删除帐户及其特权）来控制访问权限。

3. 提供员工监控的可见性

为了提高组织的云基础设施的透明度和安全性，您可以使用专用解决方案来监视人员的活动。通过观察员工在工作时间的活动，您将能够检测到云帐户泄露或内部威胁的早期迹象。

假设您的网络安全专家注意到一个用户从一个不寻常的IP地址或在非工作时间登录到您的云基础设施。在这种情况下，他们将能够及时对这种异常活动做出反应，因为这表明了入侵的可能性。

类似地，如果一名员工使用禁止的云服务或对敏感数据采取异常的行为，监控可以帮助您迅速发现这种行为，并为您提供一些时间来分析情况。

您还应考虑监控任何外部第三方（如业务合作伙伴、供应商）的活动，因为它们可能成为您组织中的另一个网络安全风险来源。

4. 监控特权用户

关键的私有云安全最佳实践之一是跟踪云基础设施中的特权用户。通常情况下，系统管理员和高层管理人员比普通用户拥有更多的敏感数据访问权限。因此，特权用户可能会对云环境造成更大的损害，无论是恶意的还是无意的。

在部署云基础设施时，检查是否存在任何默认服务帐户是至关重要的，因为它们通常是有特权的。一旦这些账户被攻破，攻击者就可以访问云网络和关键资源。

为了降低网络安全事件的风险并提高问责制，您可以为云基础设施中的所有特权用户（包括系统管理员和关键管理人员）建立不间断的活动监控。

5. 教育员工防范网络钓鱼

监视用户活动并不是最小化组织内人为因素影响的唯一方法。为了更好地保护您的云基础设施，您可以提高员工的网络安全意识，特别强调网络钓鱼。

即使是最复杂的反钓鱼系统也不能保证所需的保护水平。最近一项针对1800封发送给一家金融公司员工的钓鱼邮件的研究显示，有50封邮件绕过了电子邮件过滤服务。14名用户打开了恶意邮件，从而启动了恶意软件。尽管13次安装尝试被拒绝，但有一人成功安装了恶意软件。实际上，即使是一起事故也足以感染和破坏整个系统。

您可以培训员工了解网络钓鱼和社会工程的迹象，以避免泄露敏感信息。定期的网络安全培训和研讨会是最好的措施，因为网络钓鱼攻击在方法和数量上都在不断发展。

钓鱼培训项目最大的错误是缺乏模拟现实生活的训练。模拟应该像一次真实的网络钓鱼攻击，员工应该不知道即将到来的测试。然后，您可以跟踪模拟结果并确定哪些员工需要进一步培训。

6. 确保满足IT合规性要求

遵守标准、法律和法规的网络安全旨在保护消费者数据，并为组织更好地保护敏感数据提供一般性指导。如果在云基础设施中没有正确的安全控制和工具来实现IT合规性，在数据泄露的情况下，您的组织可能会面临数百万美元的罚款。

一般来说，著名的云计算提供商会与最知名的法规遵从性要求保持一致。然而，使用这些云服务的组织仍然必须确保他们自己的数据流程和安全性是合规的。由于在不断变化的云环境中缺乏可见性，遵从性审计过程并不容易。

为了满足IT遵从性需求，您必须首先定义您的行业需要遵从哪些标准，以及您的组织必须满足哪些标准。例如，每个使用SWIFT服务的金融机构都必须遵守SWIFT客户安全计划（CSP）要求。类似地，任何在云中存储客户数据的组织都必须遵守SOC 2合规性要求。为了方便地确定您的组织必须满足的要求，可以考虑雇用一名数据保护官（DPO），他将为您提供网络安全和IT合规方面的专业知识。

7. 高效响应安全事件

如果不能快速检测、控制和消除网络安全威胁，数据泄露造成的损失可能会增加。威胁在云环境中存在的时间越长，攻击者可以窃取或删除的数据就越多。

相反地，对网络安全事件的快速响应可以限制损害的程度。考虑制定一个事件响应计划，以确保您的网络安全团队能够在紧急情况下有效地采取行动。该计划必须为不同的场景概述严格的角色和程序。

结语

云计算的特殊性导致了某些网络安全问题。在复杂的云环境中，广泛的攻击面和缺乏可见性增加了云帐户泄露、成功的网络钓鱼攻击和内部活动的可能性。

使用上述云网络安全最佳实践作为清单，保护您的云基础设施免受潜在的网络安全事件的影响，并保护您组织的敏感数据。高效的云基础设施安全性包括保护对边界的访问、限制访问权限以及监视常规用户和特权用户的活动。为了降低网络安全风险，您还可以提高员工对网络钓鱼攻击的防范意识，并为可能发生的安全事件制定响应计划。