什么是云安全？

云安全包括多种流程、策略和工具，旨在用于保护并确保组织安全，以及降低组织在使用云计算中的风险。因为现在大多数组织都依赖基于云的服务（包括但不限于软件和基础架构产品），所以确保云安全就成了组织的当务之急。

当组织使用云时，他们会选择通过使用互联网来存储数据。虽然这有助于提高绩效和促进协作，但它却引入了必须解决的安全风险。

云计算是通过互联网来共享和存储数据的一种方式。云计算并非将信息和数据保存在硬盘或本地服务器上，而是利用网络和服务来在线管理数据，从而让用户可以通过互联网连接从任何地方访问这些数据。

作为个体用户来说，过去习惯于将私人相机的照片、文档或音乐存储在外部硬盘或 U 盘上。现在，他们则可以使用云存储空间来存储和保存这些数据。同样，公司在管理组织数据方面也出现了这样的变化 — 将数据从本地服务器迁移到云存储空间。使用云技术的消费者也非常普遍。

众多企业和组织都在纷纷采用云计算和存储，而且他们中有许多都迁移到了云来满足所有管理数据的需求。这项技术为应用程序的开发提供了大量机会。它不但经济高效，有助于开展远程工作，而且还为产品部署提供了灵活性。

与任何一种数据存储一样，云计算也有其自身的各种安全风险。利用云环境的组织通常会与第三方云服务提供商合作。这意味着，他们需要将敏感数据交托给外部公司。

要将数据存储在云中，组织就需要认真研究安全措施。云计算有多种不同的形式，对于用户和云服务提供商来说，每种云计算都有他们需要承担的风险与责任。最佳的云安全实践会与您现有的程序、策略和技术很好地集成。

云计算主要有三种形式。每种服务都具有满足特定商务案例需求的独特功能。无论您的使用方式如何，值得注意的是，没有任何云服务提供商能够提供一个完全让您放手不管的解决方案。您仍然需要对数据安全、访问以及客户信息保护负责。

软件即服务 (SaaS)

SaaS（软件即服务）是一种常用的云服务模型，许多企业每天都在使用。SaaS 是在第三方云服务提供商为最终用户构建和许可产品时创建的。

Google Workspace 和 Microsoft 365 等工具就是 SaaS 云服务的示例。Microsoft 和 Google 并不开发内部生产力软件，而是为您创建 SaaS 并通过他们的云平台提供。

基础架构即服务 (IaaS)

利用基础架构即服务 (IaaS)，组织可在云中而非本地管理他们的数据基础架构。因此，与第三方 IaaS 提供商合作的组织可以在云环境中控制和操纵自己的数据。利用率取决于用户的需求。

使用 IaaS 的一个显著优势是，您不需要购买和维护服务器。云服务提供商为您提供并维护服务器，您向他们支付访问费用即可。例如，常用的 IaaS 提供商有：Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud。

平台即服务 (PaaS)

开发和构建应用程序的公司通常都会使用一种称为平台即服务 (PaaS) 的云服务。这种云技术为组织提供了在云环境中创建、存储和部署应用程序的各种工具。

云服务提供商负责维护基础架构，而客户专注于构建应用程序。

云环境具有多种部署类型。对于企业来说，这就是您访问云并在其中使用数据的方式。每种类型的云部署都有不同的功能，您需要和云服务提供商决定哪种部署最适合您的组织。

公共云

公共云模型基于互联网构建，并且提供收费服务。云服务提供商负责处理交付的各个方面。几乎任何人都可以访问公共云服务。想一想像 Google Workspace（或消费者端的 Google Photos）这样的工具。成千上万的用户会出于各种目的来利用公共云。

私有云

私有云是专门针对一家企业及其数据来构建的。私有云可以由组织或第三方云服务提供商在现场创建和管理。使用私有云，公司可以更好地控制数据，灵活地进行更改，同时还能做到只允许组织内的人员访问服务。

混合云

混合云部署会利用现场数据中心和云环境来管理信息。对于需要额外容量（所需容量超出了其本地部署服务器所提供的容量）的公司来说，这是一个极好的选择。此外，它还有助于使组织的数据托管多样化。

多云

多云部署会使用两种或更多云服务，并且可以结合公共云环境和私有云环境。它为组织构建和启动应用程序提供了更大的灵活性。

超大规模业者

许多企业的业务运营都会出现很大的波动（例如，假日期间电子商务网站的网络流量会显著增加），因此需要快速、巨大的扩展能力。通过多租户平台，超大规模云服务提供商为企业提供了扩展和缩减部署的能力，以满足他们的数据访问需求。

Gartner 预测¹，到 2025 年，99% 的云故障都将是客户的过错所致。对于在云中保护敏感数据的组织来说，拥有正确的策略和资源将会产生不同的效果。

根据 Elastic Security Labs 的全球威胁报告，Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure 这三大云服务提供商基于云的威胁的主要原因包括：窃取应用程序访问令牌、暴力攻击和帐户操纵。

随着云存储变为开展业务的主要方式，云安全也成为了用户必须关注的话题。这可能是公司在如何管理数据方面的一个重大转变，特别是在他们习惯于主要使用自己服务器和网络的情况下，尤为如此。

研究表明，许多公司都在逐渐将云用作主要信息管理资源。事实上，85% 的组织都在采用云优先的模型。

随着这些转变的发生，公司需要评估与云存储相关的漏洞和威胁。而伴随着这些风险的是云服务提供商及其客户之间的共同责任。

与有效的云安全功能相关的一个更大的挑战是，缺乏可在基于云的应用、服务等环境中获取数据并进行分析的可见性。您不能指望安全团队来保护他们看不到的财产。

在安全团队部署应用程序并决定如何利用云计算时，了解数据安全措施以及采取哪些措施可以管理风险，对所有企业来说都至关重要。云服务中的漏洞或任何中断都可能会干扰客户体验，在最严重的情况下，甚至还会暴露公司或客户信息。

许多行业都要遵守客户数据存储的监管要求，因此在实施云安全措施时，必须考虑这些准则。

云安全一直致力于确保数据得到保护。如果一个组织正在实施复杂的云网络，由于网络碎片化的缘故，安全可能会极具挑战性。

保护云环境的安全从访问控制开始。了解谁拥有哪些设备上的哪些信息的凭据，可以减少未经授权的进入。

利用工作负载监测和威胁保护技术，企业可以创建一些规则，用于在出现潜在威胁时触发告警。设备和用户见解可以协助组织识别访问问题，并了解什么事件导致了可能的漏洞。

云态势管理工具是云安全的一个重要组成部分。使用云态势管理，公司可以找出由错误配置引起的问题。

云服务提供商和客户需要共同承担云安全责任。各方都必须知道自己在管理和保护数据方面的作用。

所有数据存储都有风险，但使用第三方服务会面临一系列独特的挑战。如果存在漏洞或攻击的风险，这可能会损害组织的数据。如果云服务提供商的服务中断，这可能意味着内部应用程序和可能面向客户的应用程序都会中断，进而可能导致业务损失或更易于遭到网络威胁的入侵。

云安全的许多风险与传统存储模型的风险都很相似。员工可能会意外地发布数据，或成为网络钓鱼诈骗或恶意软件诈骗的受害者。其他问题也可能会出现，例如：数据丢失、数据删除不充分、凭据被盗，以及整体缺乏可见性，使团队无法进行有效保护。云存储的跟踪和监测可能很复杂，尤其是对于分布式的员工团队来说更是如此。合规性和监管要求可能会带来额外的障碍，特别是对金融公司来说更为明显。

使用第三方云服务提供商的公司并不能推卸保护客户数据和内部数据的责任而将自己置身事外。每种云服务类型都有不同程度的风险。几乎在每一种情况下，无论公司使用哪种云服务，他们仍然需要对自己所拥有的数据负有最终责任。

使用 SaaS 工具，用户要为他们使用的信息及其设备负责。当使用 SaaS 时，您要负责自己在平台中创建的源的数据安全。而且，一旦您将信息部署到了云中，您就需要依靠服务提供商的安全计划来确保信息的安全。

使用 PaaS 的公司必须保护自己的用户访问权限、数据和最终用户使用的工具。一个云服务提供商会负责多个平台元素，如构建、中间件、运行时和核心计算服务。借助 PaaS，您可以使用云服务来运行应用程序。如果云服务中断，您的应用程序也会中断。

借助 IaaS，客户负责确保操作系统上所有内容的安全，而云服务提供商负责管理基础架构网络。

1. 把关策略

   所有公司都应实施把关策略和工具来支持他们的云环境。工作负载监测和威胁防护技术可以与您的云网络集成，以评估威胁，提醒您可能存在的漏洞，并在问题发生时进行调查。

2. 加密技术

   使用加密技术和管理用户访问权限是实现数据安全的支柱。敏感信息经常因人为错误而遭到泄露。了解谁可以访问您的数据将更易于发现威胁和漏洞。公司应考虑使用多因素登录，使不受欢迎的用户更难进行访问。

3. 持续监测

   使用允许监测云平台的资源可以帮助您发现基础架构中的弱点，并采取必要的措施来阻止威胁。与云服务提供商合作时，请务必要探讨一下他们会如何保护您的敏感数据。询问他们的加密工具、数据备份计划，以及发生漏洞时的协议。

4. 态势监测

   最近的数据表明，近一半 (49%) 采用云原生技术的组织预计，错误配置会在未来两年内导致漏洞。云态势工具可以让公司深入了解他们的云风险。

   一些公司可能需要组建一个内部云安全团队。云计算专业人员不一定需要具备所有云服务的编码技能。希望基于 PaaS 开发应用程序的组织可能需要有一个具备编码背景的高级团队。

1. 增强数据保护

   组织的数据存储在云中通常会更安全，因为云服务提供商拥有各种工具和资源，可以随时监测威胁，而组织的 SOC 可能就无法做到这一点。云服务提供商固有的强大访问控制和加密技术可进一步加强组织的安全态势，从而防止不必要的访问。

2. 灵活性和经济性

   云服务提供商提供的安全功能并不是仅面向大型企业来提供。云环境的经济性是这一服务的特点之一。任何规模的公司都可以找到满足自身安全需求的提供商，并通过随用随付费的许可模式，使用提供商提供的产品来存储和管理他们的信息。

3. 可见性和监督

   虽然公司可能会放弃一些对数据的控制，但他们可以了解整个网络中发生的情况。强大的监测工具和应用程序使企业能够深入了解他们的数据发生的情况，以及潜在问题可能来自何处。

4. 充分利用内部能力

   提高云安全员工能力的组织都会为团队寻找许多课程和认证机会。优秀的云安全认证将会帮助该领域的员工建立他们的知识库，特别是积累在特定云服务方面的知识。

   主要的云服务提供商都会提供他们自己的课程，如 Google Professional Cloud Security Engineer 认证或 AWS Certified Security。此外，会员制的组织也会提供培训和认证，包括云安全专家认证 (CCSP) 和云安全知识认证 (CCSK)。

5. 运行时间

   每一分钟的中断都会给组织带来多方面的损失，例如增加潜在销售的机会成本，削弱客户忠诚度和损害组织声誉等。全面的云安全解决方案有助于确保组织不会受到 DDos 攻击的侵害，并通过全球网络边缘服务器基础架构适当管理流量激增。

利用 Elastic Security for Cloud，用户可通过态势管理和云工作负载保护来管理云风险。

除了这些工具，Elastic 安全还提供了独特的规则和 Machine Learning，可用于识别未知的威胁并提供被忽视的见解。寻找云安全产品的公司会发现，Elastic 提供了一个完全集成的安全堆栈，能够最大程度地避免无序增加完全不同的工具和供应商。

请免费试用 Elastic 安全，了解如何简化云安全。

• 使用 Elastic 保护您的云
• 云安全解决方案
• 网络研讨会：Elastic Security for Cloud 简介

¹ Gartner - https://www.gartner.com/smarterwithgartner/is-the-cloud-secure