[[395324]]

云計算已經被普遍應用于諸多行業的信息化建設中，云安全已經得到越來越多云服務提供商和云用戶的重視，本文從云安全挑戰、云安全態勢管理、云訪問安全代理、零信任模型和微隔離等角度對云安全進行分析和研究。

關于云基礎設施保護總覽

明確目的

網絡安全任務是保護集團網絡環境中的用戶(客戶和員工)，并使業務以安全的方式運行。基礎設施保護的首要任務是：減少IT基礎架構的風險暴露和攻擊面。客戶和集團的職能部門進行合作，及時確定改進領域，并在所有項目階段支持技術解決方案的設計和實施。

制定戰略

安全管理戰略主要從如下方面考慮：終端保護、網絡安全、系統和服務器安全、可信服務、云安全、編排與控制。主要需要采用的措施包括：網絡安全體系結構增強、安全遠程訪問、終端檢測和響應&威脅搜索設置、網絡訪問控制增強、電子郵件安全增強、終端配置管理、攻擊面可見性和情報、支持的云技術、云基礎設施管理、數字密鑰管理、策略編排器、漏洞管理等。

切換視角

以人為本，培養團隊知識和技能、跨能力和團隊合作精神;風險觀點，采用基于風險/優先級的方法;自動化，減少執行時間和總體操作工作量;標準化，降低流程和技術復雜性，增強基礎設施的恢復能力和控制能力;回到基礎，建立一個堅實的基礎。

開展云基礎設施安全管理重點包括：系統安全、終端安全、網絡安全、可信服務。

整體架構如下圖所示：

其中在云安全管理中重點需要在云安全態勢管理、云訪問安全代理、零信任和微隔離、硬件安全模塊四方面開展安全管控工作。

01. 云安全態勢管理

Cloud Security Posture Management

云安全態勢管理解決方案能夠自動連續地檢查可能導致數據泄漏的配置錯誤。這種自動化、持續性的檢測可以幫助組織進行必要的持續改進。企業應用遷移上云，并不意味著云上安全完全由云服務商負責。云服務商對基礎架構云堆棧有保護責任，但云租戶也需要負責云上環境的搭建，保護云上應用程序和云數據的安全性。也就是說，云服務商或云用戶的任何一方的錯誤都可能導致數據泄露等安全事故。

02. 云訪問安全代理

Cloud Access Security Broker

與傳統網絡安全相比，云訪問安全代理能夠更深入地了解用戶、設備、應用程序、事務和敏感數據，可以通過CASB將現有的安全策略、工作流程和安全措施擴展到云環境，在現有安全生態的基礎上提高安全能力。

云訪問安全代理常見用例：

可視化：正在使用哪些云服務，這對企業有什么風險?

影子IT安全態勢管理數據安全：如何將安全控制和策略擴展到正在使用的云服務?

數據丟失保護數據加密合規：對云服務的使用是否符合合規要求?

安全態勢管理訪問控制威脅防護：如何防御有針對性的攻擊和高級威脅?

用戶行為分析訪問控制

03. 零信任模型和微隔離

Zero trust model & Microsegmentation

零信任模型包括始終驗證訪問任何資源(軟件和基礎設施)的風險級別。其在網絡層面上的采用，使得網絡微觀分割與網絡部分的安全級別一致。零信任模型打破了傳統的外圍安全方法，這種方法假定在公司外圍完成的活動是可信的，并對新的連接場景作出反應，并擴展到云外圍和第三方活動。

微隔離的優點包括如下幾點：

阻止未經授權的橫向移動——減慢攻擊速度實現全部流量的可見性基于上下文/標記而不是IP地址的規則最小化自動化部署的時間利用共有云的本機功能(例如Azure網絡安全組)利用正在進行的針對私有云數據中心實施的技術

04. 硬件安全模塊

Hardware Security Module

硬件安全模塊(HSM)是防篡改的硬件設備，通過生成密鑰、加密和解密數據以及創建和驗證數字簽名來加強加密實踐。混合架構(共有云和自建云)中的HSM管理使得密鑰管理模型成為整個組織安全級別的關鍵決策。