风凌天下,盛世嫡妃凤轻小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安全云架構有哪些關鍵步驟？

?配置錯誤的興起始于2018年，主要是由沒有適當訪問控制權力的云數(shù)據(jù)存儲實現(xiàn)驅動的……盡管主要云計算提供商努力使默認配置更安全，但這些錯誤仍然存在。

云計算網(wǎng)絡攻擊并不像人們想像的那樣驚心動魄，現(xiàn)實生活中的劇本更加平淡無奇。網(wǎng)絡攻擊者部署自動化技術來掃描互聯(lián)網(wǎng)以尋找可利用的漏洞。他們得到的是一個可供選擇的目標虛擬“購物清單”，一旦進入云計算環(huán)境，他們就會利用其架構上的弱點來查找敏感數(shù)據(jù)，例如個人身份信息(PII)可以在幾分鐘內提取出來，通常是從對象存儲服務或數(shù)據(jù)庫快照。

安全防御聽起來容易，但Verizon公司日前發(fā)布的2022年度數(shù)據(jù)泄露調查報告(DBIR)指出，錯誤配置的興起始于2018年，主要是由云計算數(shù)據(jù)存儲實施驅動的在沒有適當?shù)脑L問控制的情況下……盡管主要云提供商努力使默認配置更安全，但這些錯誤仍然存??在。

網(wǎng)絡攻擊者不會遍歷安全團隊使用傳統(tǒng)入侵檢測和預防解決方案和流程監(jiān)控的傳統(tǒng)網(wǎng)絡。企業(yè)正試圖用以往的數(shù)據(jù)中心安全技術挫敗當今的云計算攻擊者，并且對云計算威脅形勢沒有完全了解。

通常情況下，重點是識別網(wǎng)絡攻擊者可以利用以進入云計算環(huán)境的資源錯誤配置，并分析日志事件以識別可疑活動的妥協(xié)指標（IOC）。這些可能是身份和訪問管理(IAM)配置的更改以提升權限、關閉加密以訪問數(shù)據(jù)或記錄以掩蓋蹤跡。對于任何云安全工作來說，這些都是必要的活動，但最終它們還不足以保證云計算數(shù)據(jù)的安全。錯誤配置只是黑客進入云環(huán)境并破壞API控制平臺的途徑之一，這種情況幾乎在每一次重大的云漏洞中都會發(fā)生。

花費大量時間和精力來查找和消除單一資源的錯誤配置并不能回答這個問題：當他們侵入并訪問控制平臺時會發(fā)生什么？因為網(wǎng)絡攻擊者遲早會侵入。

在通常情況下，任何企業(yè)云計算環(huán)境中都會有一些配置錯誤，云安全團隊通常每天都會發(fā)現(xiàn)并修復數(shù)十個或數(shù)百個漏洞。只專注于識別妥協(xié)指標（IOC）以阻止正在進行的網(wǎng)絡攻擊甚至風險更大；在團隊有機會做出響應之前的幾分鐘內，云計算漏洞就有可能發(fā)生。即使使用最好的監(jiān)控、分析和警報工具，也只能希望快速發(fā)現(xiàn)被黑客入侵。

新的威脅格局

開發(fā)人員和工程師越來越多地使用基礎設施即代碼(IaC)，它針對云計算提供商的應用程序編程接口(API)運行，以在其工作時實時構建和修改他們的云計算基礎設施，包括安全關鍵配置。云中的變化是一個常數(shù)，每次變化都會帶來錯誤配置漏洞的風險，網(wǎng)絡攻擊者可以使用自動檢測快速利用這些漏洞。

控制平面是配置和操作云的API表面。例如，企業(yè)可以使用控制平臺來構建容器、修改網(wǎng)絡路由以及訪問數(shù)據(jù)庫中的數(shù)據(jù)或數(shù)據(jù)庫的快照（這對于黑客來說是比侵入實時生產(chǎn)數(shù)據(jù)庫更受歡迎的目標）。換句話說，API控制平臺是用于配置和操作云計算服務的API的集合。

最小化任何成功的云計算攻擊事件的潛在攻擊半徑意味著在環(huán)境的架構設計中防止控制平臺受損。

安全云架構的一些步驟

任何企業(yè)都可以采取五個步驟來設計其云計算環(huán)境，使其在本質上能夠抵御云控制平臺入侵攻擊：

最小化控制云平臺風險?，F(xiàn)在是時候將對“云錯誤配置”的定義從單一資源錯誤配置擴大到包括架構錯誤配置，那些涉及多個資源以及它們如何相互關聯(lián)的錯誤配置。

對于現(xiàn)有的云計算環(huán)境，通過分析資源訪問策略和IAM配置來評估任何潛在滲透事件的攻擊半徑，以識別網(wǎng)絡攻擊者可用于發(fā)現(xiàn)、移動和數(shù)據(jù)提取的過于寬松的設置。當企業(yè)的開發(fā)人員和DevOps團隊合作，在不破壞應用程序的情況下消除這些架構的錯誤配置。這可能需要一些返工來解決現(xiàn)有環(huán)境中的這些漏洞，因此最好在設計和開發(fā)階段解決架構安全問題。

采用策略作為云基礎設施的代碼。策略即代碼(PaC)是一種以機器可以理解的語言表達策略的方法，例如Open Policy Agent、開源標準和云原生計算基金會項目。

在軟件定義的世界中，安全的角色是領域專家，他將知識傳授給構建東西的開發(fā)人員，以確保他們在安全的環(huán)境中工作。不是規(guī)則手冊或清單，而是代碼。需要記住的是，在云中構建應用程序和應用程序基礎設施的是開發(fā)人員。這一切都是用代碼完成的，所以開發(fā)人員而不是安全團隊擁有這個過程。策略即代碼(PaC)使開發(fā)團隊能夠以編程語言表達安全性和合規(guī)性規(guī)則，應用程序可以使用這些語言來檢查配置的正確性，并識別不需要的條件或不應該出現(xiàn)的事情。

使所有云計算利益相關者能夠安全地運行，而不會對規(guī)則是什么以及應如何應用規(guī)則產(chǎn)生任何歧義或分歧，這有助于使所有團隊在政策的單一真實來源下保持一致，消除解釋和應用政策時的人為錯誤，并推動安全自動化（評估和執(zhí)行等）在軟件開發(fā)生命周期(SDLC)的每個階段。

使開發(fā)人員能夠構建安全的云環(huán)境。IT團隊配置物理基礎設施并將其提供給開發(fā)人員的日子已經(jīng)一去不復返了。如今，開發(fā)人員和DevOps工程師使用基礎設施即代碼(IaC)來表達他們想要的基礎設施并自動提供它。

雖然這對于高效的云詐運營非常有用，但它增加了大規(guī)模傳播漏洞的風險。但是，采用基礎設施即代碼(IaC)為企業(yè)提供了一個前所未有的機會：能夠在部署前檢查基礎設施安全性。借助策略即代碼(PaC)，可以為開發(fā)人員提供工具以在開發(fā)時檢查安全性，并指導他們設計內在安全的環(huán)境，以最大限度地減少控制平臺危害威脅。每個人都可以更快、更安全地移動。

使用安全護欄來防止配置錯誤。無論企業(yè)在通過基礎設施即代碼(IaC)檢查和更安全的設計“擴展”云安全方面取得多么成功，錯誤配置仍然可能會漏掉，并且云計算資源的部署后突變是一個持續(xù)存在的風險。

企業(yè)應該在持續(xù)集成(CI)/持續(xù)交付(CD)管道中構建自動安全檢查，以在部署過程中自動捕獲錯誤配置，并在安全檢查失敗時自動使構建失敗。對于不太敏感的部署，提醒團隊注意違規(guī)行為，以便他們可以在必要時進行調查和補救。由于云計算資源的部署后更改無處不在，因此保持持續(xù)的運行時監(jiān)控以檢測漂移至關重要。確保正在運行的內容反映了創(chuàng)建它的基礎設施即代碼(IaC)模板，并檢查危險的錯誤配置事件和可能包含漏洞的孤立資源。在所有這些用例中，企業(yè)對策略即代碼(PaC)的采用將繼續(xù)帶來好處。

構建云安全架構專業(yè)知識。企業(yè)云采用率的提高要求安全專業(yè)人員將注意力從威脅檢測和監(jiān)控網(wǎng)絡流量等傳統(tǒng)安全方法，轉移到了解控制平臺破壞網(wǎng)絡攻擊的工作原理，以及如何有效地使用安全架構設計來防止它們。

為了做到這一點，企業(yè)需要能夠與開發(fā)人員和DevOps團隊密切合作的云計算安全工程師和架構師，以了解云計算用例并幫助在開發(fā)過程中建立安全設計原則。

保護云計算環(huán)境的最終目標是在任何成功的初始攻擊滲透事件發(fā)生之前使其毫無意義。畢竟，如果網(wǎng)絡攻擊者無法從中獲得任何收益，那么誰會在意網(wǎng)絡攻擊者是否可以訪問企業(yè)云環(huán)境中的資源呢？

讓企業(yè)的安全團隊了解云計算應用程序的工作原理，以幫助確保云計算基礎設施支持應用程序而不會引入不必要的風險。他們還需要知道如何利用策略即代碼(PaC)檢查環(huán)境中是否存在更深層次的多資源漏洞，并幫助指導開發(fā)人員設計和構建本質上安全的環(huán)境。?

分享題目：安全云架構有哪些關鍵步驟？
URL鏈接：http://m.fisionsoft.com.cn/article/dppgicp.html

新聞中心

新的威脅格局

安全云架構的一些步驟

其他資訊