论坛

通知事项
全部清除

云安全是共同的责任  


 太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

组织在保护其数据中心方面面临许多挑战,包括招募和保留安全专家,使用许多安全工具以及与威胁的数量和复杂性保持同步。

随着计算环境从客户控制的数据中心转移到云中,安全性的责任也发生了变化。现在,运营环境的安全性已成为云提供商和客户共同关注的问题。通过将这些职责转移到Azure等云服务,组织可以减少对不是核心业务能力的活动的关注。根据特定的技术选择,某些安全保护将内置到特定的服务中,而解决其他安全保护将仍然是客户的责任。为了确保提供适当的安全控制,必须仔细评估服务和技术选择。

该图描述了使用云技术实现安全性的优势。

安全是共同的责任

您要做的第一步是从本地数据中心到基础架构即服务(IaaS)。使用IaaS,您将利用最低级别的服务,并要求Azure创建虚拟机(VM)和虚拟网络。在此级别,仍然有责任修补和保护操作系统和软件,以及将网络配置为安全。在Contoso Shipping中,当您开始使用Azure VM而不是本地物理服务器时,便可以利用IaaS。除了操作优势外,您还可以获得在保护网络物理部分方面外包的安全优势。

迁移到平台即服务(PaaS)会外包一些安全问题。在此级别上,Azure负责操作系统和数据库管理系统等大多数基础软件的维护。一切都通过最新的安全修补程序进行了更新,并且可以与Azure 活性 Directory集成在一起以进行访问控制。 PaaS还具有许多操作优势。您无需手动为您的环境构建整个基础结构和子网,而是可以在Azure门户中“指向并单击”或运行自动脚本来上下移动复杂的安全系统,并根据需要对其进行扩展。 Contoso Shipping使用Azure Event Hub来从无人机和卡车中提取遥测数据,以及使用带有Azure Cosmos DB后端及其移动应用程序的Web应用程序(均为PaaS的示例)。

借助软件即服务(SaaS),您几乎可以外包所有东西。 SaaS是与Internet基础结构一起运行的软件。该代码由供应商控制,但配置为供客户使用。与许多公司一样,Contoso Shipping使用Office 365,这是SaaS的一个很好的例子!

该图显示了云提供商和客户如何在不同类型的计算服务实现下共享安全责任:内部部署,基础架构即服务,平台即服务和软件即服务。

Responsibilities shift from customer to Microsoft moving from on-prem to IaaS to PaaS to SaaS. In on-prem, all boxes are customer. In IaaS, physical hosts, network, and datacenter are now Microsoft. In PaaS, additional responsibility moves to  要么  becomes shared by Microsoft: operating system is entirely Microsoft; network controls, application, and identity & directory infrastructure are 共同责任. In SaaS, network controls and application become entirely the responsibility of Microsoft.

 

对于所有云部署类型,您都拥有自己的数据和身份。您负责帮助保护数据和身份,本地资源以及您控制的云组件(随服务类型而异)的安全。

无论部署类型如何,您始终对以下各项负责:

  • 数据
  • 终点
  • 帐目
  • 访问管理

分层的安全性方法

纵深防御 是一种采用一系列机制来减缓旨在获得未经授权的信息访问权限的攻击的策略。每一层都提供保护,因此,如果其中一层被破坏,则下一层已经就位,以防止进一步暴露。 Microsoft在物理数据中心和整个Azure服务中均采用了分层的安全性方法。纵深防御的目的是保护和防止未经授权访问信息的个人窃取信息。

纵深防御可以看成一组同心环,而数据要固定在中心。每个环在数据周围增加了一层额外的安全保护。这种方法消除了对任何单一保护层的依赖,并且可以减缓攻击并提供可以自动或手动执行的警报遥测。让我们看一下每个图层。

插图显示深度防御与数据为中心。包含数据的安全性环包括:应用程序,计算,网络,外围,身份和访问以及物理安全性。

数据

在几乎所有情况下,攻击者都在追捕数据:

  • 存储在数据库中
  • 存储在虚拟机内部的磁盘上
  • 存储在SaaS应用程序(如Office 365)上
  • 存储在云存储中

存储和控制对数据的访问权是那些人的责任,以确保数据受到适当保护。通常,有法规要求规定必须采取的控制和流程,以确保数据的机密性,完整性和可用性。

应用

  • 确保应用程序安全无漏洞。
  • 将敏感的应用程序机密存储在安全的存储介质中。
  • 将安全性作为所有应用程序开发的设计要求。

将安全性集成到应用程序开发生命周期中将有助于减少代码中引入的漏洞数量。我们鼓励所有开发团队确保其应用程序在默认情况下是安全的,并且使安全要求不可商议。

计算

  • 安全访问虚拟机。
  • 实施端点保护,并使系统保持最新状态。

恶意软件,未打补丁的系统和保护不当的系统会使您的环境容易受到攻击。该层的重点是确保您的计算资源安全,并具有适当的控制措施以最小化安全问题。

联网

  • 限制资源之间的通信。
  • 默认情况下拒绝。
  • 在适当的情况下限制入站互联网访问并限制出站。
  • 实现与本地网络的安全连接。

在这一层,重点是限制所有资源之间的网络连接,以仅允许所需的资源。通过限制这种通信,可以降低整个网络中横向移动的风险。

周长

  • 使用分布式拒绝服务(DDoS)保护来过滤大规模攻击,以免对最终用户造成拒绝服务。
  • 使用外围防火墙来识别和警告针对您的网络的恶意攻击。

在网络外围,这是关于防止对您的资源进行基于网络的攻击。识别这些攻击,消除其影响并在发生攻击时提醒您,这是确保网络安全的重要方法。

身份和访问

  • 控制对基础架构的访问并更改控制。
  • 使用单点登录和多因素身份验证。
  • 审核事件和更改。

身份和访问层都是关于确保身份的安全性,仅需要授予访问权限,并记录更改。

人身安全

  • 物理建筑物的安全性和控制对数据中心内计算硬件的访问是第一道防线。

借助物理安全性,目的是提供物理保护措施以防止对资产的访问。这些保护措施可确保不会绕开其他层,并且适当处理了丢失或盗窃。

蔚蓝 帮助减轻您的安全隐患。但是安全仍然是 共同责任。我们要承担多少责任取决于我们在Azure中使用哪种模型。我们使用 纵深防御 以此为指导,考虑哪些保护措施足以满足我们的数据和环境要求。

分享: