企業上云可以帶來諸多好處，有助于企業優化生產效率、提高靈活性、降低運營成本以及實現全球化的業務覆蓋等。但隨著企業組織將更多的業務系統和數據轉移到云端，它們也必須采取更加可靠的安全防護措施，以實現與本地化部署同樣水平的安全性保障。日前，美國國家安全局（NSA）聯合發布了多份網絡安全實踐指南報告，其中包含了基于云環境應用最佳實踐的10條安全策略，旨在幫助企業組織改善云環境應用的安全態勢。

1.嚴格遵從云安全責任共擔模型

隨著云計算應用的不斷成熟，企業組織開始高度重視云安全的重要性，并開始實施特定的云安全措施來保護云應用安全。同時，云服務提供商（CSP）也更加關注云安全的落地實踐，云安全責任共擔模型（SRM）應運而生。該模型旨在明確CSP與租戶之間的安全責任劃分，讓企業能夠了解他們在云安全方面的角色，并實施適當的安全措施來保護云資產。

在實踐應用時，SRM會因服務而異，也可能因CSP而異，所以對租戶而言，關注SRM文檔和最佳實踐指南必不可少。直接聯系CSP對于租戶更好了解其服務模式很有必要。組織應該讓CSP對自己的安全工作負責，同時也必須盡心盡責地履行自己的租戶安全責任。

2.實現云安全運營統一化、標準化

組織應該充分考慮混合云和多云環境應用時可能出現的復雜性。混合云和多云環境的使用已經非常普遍，往往會帶來業務運營孤島和技能缺口，這可能導致配置差異、不必要的數據流、不全面的IAM、監控能力不完整以及易被利用的安全缺口。企業應該使用網絡、IAM和日志最佳實踐來維護安全的云基礎設施，并且應該借助與云服務商無關的第三方安全管理工具實現云安全運營的統一化和標準化，在一個集中的工具平臺上維護和監控多云應用環境安全。

3.積極開展云應用自動化部署實踐

基礎設施即代碼（IaC）實現了云資源部署自動化，而減少手動部署能夠大大降低云應用中人為錯誤導致配置不當和幽靈資產的可能性。IaC還可以幫助組織快速地檢測未經授權的云配置更改。

通過開展云應用自動部署的實踐，可以進一步規范云上服務的安全應用。組織在部署IaC之前，應該創建一個威脅模型以剖析攻擊途徑，確定IaC模板是聲明式還是命令式，然后完成靜態應用程序安全測試，并考慮集成現有的CI/CD流程。在部署之后，組織還應動態測試已部署的資源，確保訪問和版本控制已啟用，避免手動更改，并持續記錄和監控資源。

4.在云環境中實施網絡分段和加密

使用云計算資源的組織必須在其租戶環境中實施分段和加密等安全控制機制，以防止和檢測惡意攻擊者的活動。應該利用零信任網絡安全實踐來保護組織數據，比如評估所有請求中的身份信息、微分段和端到端加密。對網絡威脅的預防工作主要由微分段完成，根據組織團隊、應用程序工作流和數據進出來劃分資源。只有支持正常功能所必需的通信路徑才能享用資源，這大大限制了惡意攻擊者訪問租戶環境的機會。對進出云和云內部的所有數據進行端到端加密也是保護云端數據的關鍵。

5.部署有效的云身份和訪問管理方案

采取適當的云身份和訪問管理（IAM）方案對于保護云資源至關重要。惡意攻擊者會使用多種技術竊取賬戶，暴露憑據或弱身份驗證實踐，以初始訪問租戶的云系統環境。他們還可能利用寬松的訪問控制策略進一步滲入到云環境中，訪問和竊取敏感的數據資源。為了防止這種情況，云用戶應該使用可靠的身份安全驗證措施，比如防網絡釣魚的多因素身份驗證（MFA）和妥善管理的臨時憑據。訪問控制策略應該認真配置，以確保為用戶授予必要的最小化權限，以保護特別敏感的業務運營和資源。

6.實施強大的云密鑰管理

CSP會提供進行密鑰管理的多種方法，從完全依賴云供應商實現全面委托的服務器端加密，到僅在客戶端加密的方法不一而足。在大多數情況下，企業會依賴CSP完成密鑰管理、加密和解密的工作。然而組織在進行云上密鑰管理問題時，應該充分了解每種方案的風險和優點，以及如何管理密鑰的角色和職責至關重要。

7.全面保護云端數據安全

在惡意攻擊者的眼里，云是一個存放了大量高價值數據的誘人攻擊目標。因此，組織應該通過多種手段確保數據安全，比如選擇合適的云存儲、防止通過公共IP暴露數據、執行最小權限、使用對象版本控制、創建具有恢復計劃的不可變備份、啟用加密，并定期檢查數據安全措施。

組織還應該全面了解CSP數據保留策略，然后選擇適當的方案來存儲敏感數據。此外，組織應該考慮啟用“軟刪除”功能，以減小意外刪除或惡意刪除造成的影響。

8.保護CI/ CD環境安全

云上開發、安全和運營（DevSecOps）程序對云環境安全至關重要。持續集成和持續交付（CI/CD）管道是保障DevSecOps流程安全的關鍵，經常部署在云端。這類管道是惡意攻擊者的重要目標，因為成功闖入CI/CD管道可能會影響基礎設施和應用程序。組織應該遵循最佳實踐來保護組織的CI/CD管道，比如可靠的IAM實踐、及時更新工具、審計日志、實施安全掃描機制，并妥善處理秘密信息。

9.關注MSP的安全風險

雖然托管云服務提供商（MSP）可以為管理、維護及/或保護云環境提供實用的技術支持，但使用MSP服務的同時會加大組織的云計算應用攻擊面。組織在選擇MSP時應該優先考慮安全性，以便通過MSP緩解云租戶面臨的安全威脅。組織應該選擇符合自身云安全標準和實踐的服務商。此外，組織應該全面審核云環境中的MSP賬戶和運營行為，優先考慮特權賬戶及其活動。組織還應該將MSP服務集成到安全運營、系統恢復和事件響應流程中。

10.做好云上日志信息的管理

日志在云環境的威脅檢測中扮演著重要角色。檢測和響應安全事件需徹底了解系統的活動和行為。組織應該從所有相關的日志源收集和匯總日志，比如云服務、操作系統和應用程序。云環境通常提供方便的日志聚合機制，以便將日志數據匯集到集中式服務，便于更好的可視化和威脅狩獵。

對不同的云服務而言，默認的日志策略差異很大，因此安全專業人員配置這些策略顯得很重要，以確保惡意攻擊者在云租戶環境中的舉動受到監測。安全專業人員可以使用眾多工具來分析日志，比如安全信息和事件管理（SIEM）系統、日志分析軟件和異常檢測服務，以查找攻陷指標和異常活動，包括不尋常的登錄企圖、網絡流量模式和異常系統事件。

參考鏈接：

https://www.bleepingcomputer.com/news/security/cisa-nsa-share-best-practices-for-securing-cloud-services/

https://gbhackers.com/nsp-top-ten-cloud-security-practices/