云服务的安全评测详解

　　云计算安全可以促进云计算创新发展，将有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等很多问题，云计算安全框架等10项标准被批准为国际标准。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划的促进了政府部门信息系统向云计算平台的迁移。

　　随着越来越多的应用利用云计算的力量，其安全性变得越来越受关注。以下让我们看看确保云计算中的最大安全性三个关键的实践。

　　为了更深入地探讨云计算安全的复杂性，行业厂商最近主办了一个网络研讨会。产品策略威胁堆栈主管VikramVarakantam和AdRoll公司高级DevOps工程师IlyaKalinin在会上阐述了组织在扩展云基础架构时需要考虑的一些主要的安全问题。

　　作为一种趋势，云计算已成为行业主流。并且毫不夸张地说，每个成功的企业已经采用或正在采用云计算，其目标是从云计算的敏捷性、灵活性和速度中受益。

　　虽然许多组织已经完全拥抱云计算，但并不是所有组织都能够完全或准确地识别、评估以及解决在云计算中快速扩展的关键安全隐患。

　　逻辑的安全抽象化

　　这是指我们开始从物理分离出逻辑。下一代安全的一个重要组成部分是让技术在不同层互动的能力。这意味着部署虚拟服务直接与底层物理组件互动。

　　可扩展的安全服务

　　下一代安全使用各种服务来控制和保护基础设施数据。应用程序防火墙、基于API的安全以及网络流量服务监控都提供新水平的安全性。

　　数据安全和控制

　　设置控制来管理入站用户和用户组。创建一个动态的环境，其中数据和用户在利用云计算时，都将得到智能的管理。此外，由于数据和虚拟机都是灵活的，并能够穿过多个数据中心点，下一代安全正在定义所有这些信息在穿过不同云计算点时应该如何被控制和保护。这将帮助提高数据安全性、完整性和控制。

　　为了确保成功，组织需要制定和实施云计算安全策略，在采用云计算前期、中期和后期进行引导。在某种程度上，这意味着他们需要确定适当的工具和流程。这也意味着DevOps和安全团队必须知道如何使他们的过程从一开始就可以确保他们继续以云计算的速度构建和操作，同时保持安全性和合规性(如果需要的话)。

　　将安全性作为在云计算中运行大规模本地应用程序的一个组成部分，管理组织的云环境中的风险至关重要。为了在这一领域提供指导，以下推荐了三个关键实践，可以帮助组织在云环境中实现大规模的安全。

　　1.发展和维护可见性

　　如今，企业快速增长的业务越来越依赖于现代基础设施(采用公共云，私有云以及混合云)来促进其扩大规模。

　　然而，许多人发现其扩展有限的可见性，从风险角度来看，它们的云基础架构内部，特别是在业务关键数据驻留的工作负载和云服务内部正在运行的应用程序。

　　虽然关于迁移到公共云是否比传统数据中心更加安全或更不安全的争论仍然存在，但仍然有一个清晰的事实：公共云广泛采用，并且不会很快消失。

　　所以唯一合法的问题是：企业会盲目或有信心地扩大规模吗?

　　为了保持可见性，企业必须确保其具有实时和历史的工作负载窗口。工作负载是企业的云基础架构的中心，它拥有企业的基础架构中发生事情的真实来源。因此，企业必须具备可见性。企业还需要将无缝可见性集成到现有的安全，开发和操作工作流程中，以确保从一开始就实现自动监控。

　　2.信任但需要验证

　　人们已经多次谈到“信任但验证”模型，但它重复。如今，很多组织都期望信任，但他们没有验证。

　　信任是至关重要的，因为如果企业需要快速移动和创建业务，用户都必须访问其基础设施。但是，企业还必须持续监控和审计，以便其可以验证业务关键活动，并有效管理风险。

　　3.使用基于策略的行为监控和调查内容

　　制定政策鼓励积极的安全过程。这意味着设计基于行为而不是明确指令的规则。例如，实施一个良好的安全过程将允许开发人员访问生产环境，但是只有当他们通过VPN、jumphosts登录时。这种类型的行为监控可以帮助发现意外的安全事件，同时提高生产力，加强企业的安全。

　　基于策略的行为监控还允许企业的安全系统根据需要学习新模式并调整策略，同时使用正确的内容调查异常，以准确地衡量安全风险与异常。

　　在威胁堆栈中，企业需要重视听取客户如何在现实世界中思考和应用安全原则、工具。

　　AdRoll公司是当今最大的在线广告平台之一，拥有超过25,000个客户。AdRoll公司团队管理大型AWS云基础设施部署(跨越数以千计的服务器)，以支持这个巨大而复杂的环境。DevOps高级工程师IlyaKalinin拥有云基础设施，DevOps工作流，自动化和云安全的深厚背景，以及云安全专题的现实经验。

　　以下是Kalinin给出的更容易和更成功地实现云计算之旅的三个提示：

　　(1)要有耐心

　　人们的耐心很容易被云安全的复杂性所淹没，所以Ilya建议退一步，以便进一步了解。其关键是要做到云安全，它可能需要一些时间。所以尝试实施这个过程有耐心，并专注于完成这个过程(而不是只是让它完成)。

　　(2)与供应商进行沟通

　　云计算安全是一个复杂的主题，当企业向组合中添加外部透视功能时，它可能非常有用。Ilya建议使用企业需要将其供应商作为一种资源。企业经常能够通过分享从客户那里获得的见解，并可以帮助客户看到更广泛的景象。所以如果企业陷入困境，不知道该怎么做，请与供应商联系，大多数供应商都会提供帮助。

　　(3)决定是建立还是购买

　　企业可能会感到惊讶的是，自己投入建设云安全设施是多么昂贵，因此这意味着拼凑在一起的解决方案或从头开始构建。如果企业正在考虑建立自己的解决方案，一定先问问自己这样的问题：

　　它需要多少工时?

　　这种努力会耗尽业务所需的资源吗?

　　维护要求和成本(短期和长期)是多少?

　　与现成的SaaS产品(成本和特性)如何比较?

　　是否有足够的安全专业知识来建立一个系统?

　　将其整合在一起

　　可见性是公共云基础设施运行安全的重要组成部分。它应该从低开销工作负载开始，并扩展到基础设施和外部区域，如网络和软件。当企业努力实现这种可见性时，请记住建立一个“信任但验证”范例，让企业快速运行并保持风险。另外，在做出任何补救决定之前，建立基本规则，监控行为并根据内容进行调查。最后，当企业正在向云计算迁移时，请耐心等待这个过程，不要害怕要求外部输入，而是做出明智的决定是否建立或购买。无论企业在云计算发展之路上遇到什么困难，有了经过验证的最佳实践和基于操作经验的专家指导企业实施，企业的云计算应用将会取得成功。

　　更多详细内容，尽在课课家教育，我们期待您的咨询！