隨著云采用率上升到新的高度，安全標準未能跟上其發(fā)展的步伐。組織需要對自己的云計算安全負責，而五個實用技巧將會對此有所幫助。

毫無疑問，云計算的廣泛采用促進了更大規(guī)模的協(xié)作，推動了創(chuàng)新和創(chuàng)造。企業(yè)分布在各地的員工可以更加和諧地工作，IT部門可以減少昂貴的硬件和維護成本，組織可以從軟件工具的最新發(fā)展中受益。但不可避免地會面臨安全性這個問題。

[[245494]]

安全性已經(jīng)在云計算應用的興奮中被遺忘，許多企業(yè)已經(jīng)做出一些危險假設，認為如果發(fā)生代價高昂的數(shù)據(jù)泄露，云計算服務提供商應該負有責任。企業(yè)需要擔心許多不同的云計算安全威脅，因此制定一個強大的、全面的云安全策略至關重要。

為此，企業(yè)可以采取以下五個技巧來改善云計算的安全性。

1. 建立完全可見性

組織有機地開發(fā)、獲取和采用必須與遺留系統(tǒng)集成的新工具，并與不同的供應商和合作伙伴建立新的關系。在本地服務器和多個外部云計算服務之間傳播數(shù)據(jù)，這并不罕見。日益增加的復雜性使得難以保持全局視圖。

在調查中，當570名網(wǎng)絡安全人員和IT專業(yè)人員被問及嘗試保護云計算工作負載時最頭痛的問題時，43%的受訪者表示是基礎設施安全性的可見性，38%的受訪者表示是合規(guī)性，35%的受訪者表示設置一致的安全策略。如果沒有完全映射并建立實時可見性，企業(yè)無法保護其云計算環(huán)境，無論它看起來如何。

2. 培訓員工

絕大多數(shù)數(shù)據(jù)泄露事件都能追溯到人為錯誤，無論是錯誤配置、訪問控制不良、網(wǎng)絡釣魚攻擊還是簡單錯誤。這就是適當?shù)陌踩庾R培訓如此重要的原因。為企業(yè)員工提供所需的信息和技能，以降低惡意軟件或未經(jīng)授權的訪問風險，并確保及時報告潛在事件。

確保企業(yè)的員工具備正確配置他們正在使用的工具所需的技能，這只是其中的一部分。還需要灌輸良好的安全意識，并制定非常明確的政策，規(guī)定誰負責以及發(fā)生潛在事件時的程序。完全防止錯誤是不可能的，但正確的反應可以創(chuàng)造一個與眾不同的世界。

3. 盡早包含安全性

對于任何試圖保護云計算平臺的人來說，部分問題在于他們通常會將安全性改造為在設計時很少考慮的系統(tǒng)。負責安全的人往往努力說服壓力不足的團隊改變他們的流程。部門之間的障礙可能導致怨恨和抵制。

企業(yè)引入安全性并消除障礙是向DevSecOps轉變的一部分，DevSecOps允許從任何項目的開始設計安全性。這可能是一個雄心勃勃的目標，但在任何討論中盡早包含安全性的基本原則是有效的，無論是采用新工具，開發(fā)軟件，還是云計算架構的變更。

4. 持續(xù)監(jiān)控

創(chuàng)建云計算的快照，并精確映射數(shù)據(jù)在任何給定時刻的位置只是基礎，企業(yè)還需要不斷警惕以應對產生的問題。數(shù)據(jù)應始終加密，應嚴格控制訪問，監(jiān)控流量，并盡快識別和修復漏洞。

企業(yè)需要持續(xù)監(jiān)控網(wǎng)絡，并持續(xù)提供有關潛在威脅的新信息。確保標記可疑行為，以便可以發(fā)現(xiàn)惡意內部人員以及未經(jīng)授權的訪問。為任何數(shù)據(jù)修改或刪除構建清晰的審計路徑。企業(yè)發(fā)現(xiàn)問題的速度越快，解決問題的機會就越大。

5. 定期測試

與流行的看法相反，將數(shù)據(jù)轉移到云中并不會將責任轉移到云計算提供商。如果發(fā)生數(shù)據(jù)丟失，企業(yè)仍將承擔監(jiān)管處罰、喪失用戶信任，以及所有其他相關后果的責任。這就是為什么企業(yè)必須對合作伙伴進行盡職調查并確保他們完全理解合規(guī)的意義的原因。

唯一可以確保企業(yè)內部和外部防御工作正常的方法就是測試。應該規(guī)劃和實施定期測試程序，其中包括從滲透測試到模擬網(wǎng)絡釣魚攻擊的所有內容。創(chuàng)建反饋循環(huán)并激發(fā)新興威脅是確保企業(yè)的安全系統(tǒng)快速發(fā)展的最佳方法，但不要忘記將測試與可操作的補救建議聯(lián)系起來，使企業(yè)的團隊能夠進行必要的更改。此外，不要忘記文檔的安全。

云計算安全需要深入挖掘，每個組織的網(wǎng)絡和業(yè)務都各不相同，但這些指導原則應該對其有益。