论坛

云安全是......
 
Notifications
清除所有

云安全是共同的责任


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

组织面临许多挑战,并使用许多安全工具,包括招聘和保障安全专家,并保持与威胁的体积和复杂性的步伐。

随着计算环境从客户控制的数据中心移动到云端,安全的责任也会转变。运营环境的安全性现在是云提供商和客户共享的关注。通过将这些责任转移到像Azure这样的云服务,组织可以减少关注aren的活动'T核心业务能力。根据具体的技术选择,将建立某些安全保护,将内置于特定服务中,同时解决其他人将仍将留下客户'责任。为确保提供适当的安全控制,因此需要仔细评估服务和技术选择。

图表描绘了使用云技术进行安全的优势。

安全是一项共同的责任

第一次转移你'LL使来自本地数据中心到基础设施作为服务(IAAS)。使用IAAS,您正在利用最低级别的服务并要求Azure创建虚拟机(VM)和虚拟网络。在这个级别,它'仍然是您责任修补和保护您的操作系统和软件,以及将网络配置为安全。在Contoso运输时,您正在使用Azure VMS而不是您的内部物理服务器时享用IAAS。除了操作优势外,您还会收到外包担忧对保护网络的物理部分的安全优势。

将平台作为服务(PAAS)迁移出几个安全问题。在这个级别,Azure正在照顾操作系统和大多数基础软件,如数据库管理系统。所有内容都会使用最新的安全修补程序更新,可以与Azure Active Directory集成,可用于访问控制。 PaaS还具有许多操作优势。你可以通过手工制作环境的整个基础设施和子网,而不是为您的环境构建整个基础架构和子网"point and click"在Azure Portal中或运行自动脚本以使复杂,安全的系统上下,并根据需要进行缩放。 Contoso Shipping使用Azure Event集线器来摄取来自无人机和卡车的遥测数据 - 以及带有Azure Cosmos DB后端的Web应用程序,其移动应用程序是PaaS的所有示例。

使用软件作为服务(SaaS),您几乎所有的内容都会外包。 SaaS是使用Internet基础架构运行的软件。代码由供应商控制,但配置为客户使用。与如此多的公司一样,Contoso Shipping使用Office 365,这是SaaS的一个很棒的例子!

显示云提供商和客户如何在不同类型的计算服务实现下享有安全责任的例证:本地,基础架构作为服务,平台作为服务,以及软件作为服务。

Responsibilities shift from customer to Microsoft moving from on-prem to IaaS to PaaS to SaaS. In on-prem, all boxes are customer. In IaaS, physical hosts, network, and datacenter are now Microsoft. In PaaS, additional responsibility moves to or becomes shared by Microsoft: operating system is entirely Microsoft; network controls, application, and identity & directory infrastructure are 共同责任. In SaaS, network controls and application become entirely the responsibility of Microsoft.

 

对于所有云部署类型,您拥有您的数据和身份。您负责帮助保护您的数据和身份,您的内部资源以及所控制的云组件(由服务类型而异)。

无论部署类型如何,您始终保留以下项目的责任:

  • 数据
  • 终点
  • 账户
  • 访问管理

安全性的分层方法

防守深入 是一种雇用一系列机制来减缓旨在获取未经授权获取信息的攻击的进展的策略。每层提供保护,使得如果突破一层,则已经在适当位置进行后续层以防止进一步曝光。 Microsoft在物理数据中心和Azure Services中应用分层方法到安全性。深入防御的目标是保护并防止无权访问它的个人被盗的信息。

深度防御可以可视化为一组同心环,数据可以在中心处固定。每个环都在数据周围增加了一层附加的安全性。这种方法删除了对任何单一保护层的依赖,并使速度减慢攻击并提供可以自动或手动行动的警报遥测。让'看看每个层。

显示防御的例证深度与数据在中心。包围数据的rings是:应用程序,计算,网络,外围,身份和访问和物理安全性。

数据

在几乎所有情况下,攻击者都在数据之后:

  • 存储在数据库中
  • 存储在虚拟机内的磁盘上
  • 存储在SaaS应用程序(如Office 365)
  • 存储在云存储中

It'根据存储和控制数据的访问,以确保它的责任's正确固定。通常情况下,有规定的要求决定了必须到位的控制和流程,以确保数据的机密性,完整性和可用性。

应用

  • 确保应用程序是安全的并且没有漏洞。
  • 将敏感应用秘密存储在安全存储介质中。
  • 为所有应用程序开发提供安全性设计要求。

将安全性集成到应用程序开发生命周期将有助于减少代码中引入的漏洞的数量。我们鼓励所有开发团队确保默认情况下的应用程序是安全的,而且它们'重新制定安全要求不可谈判。

计算

  • 安全访问虚拟机。
  • 实现端点保护并保持系统修补和当前。

恶意软件,未分割的系统和不正确的安全系统打开您的环境攻击。本层中的焦点是确保您的计算资源是安全的,并且您具有适当的控件,以最大限度地减少安全问题。

联网

  • 限制资源之间的通信。
  • 默认拒绝。
  • 限制入站Internet访问和限制出站,在适当的情况下。
  • 实现对本地网络的安全连接。

在此图层,重点是限制所有资源的网络连接,仅允许所需的内容。通过限制此通信,您可以降低整个网络中横向移动的风险。

周长

  • 使用分布式拒绝服务(DDOS)保护来过滤大规模攻击,然后才能为最终用户拒绝服务。
  • 使用周边防火墙来识别和警告对您的网络的恶意攻击。

在网络周边,它'关于保护基于网络的攻击免受您的资源。确定这些攻击,消除其影响,并在发生时提醒您是保持网络安全的重要方法。

身份和访问

  • 控制对基础架构和更改控制的访问。
  • 使用单点登录和多因素身份验证。
  • 审核事件和变更。

身份和访问层全部是关于确保身份是安全的,只有所需的访问权限,并记录更改。

物理安全

  • 物理构建安全性和控制数据中心内计算硬件的访问是第一行防线。

通过物理安全,意图是提供防止资产的物理保障措施。这些保障措施确保了其他层可以'T被绕过,损失或盗窃进行适当处理。

Azure. 有助于缓解您的安全问题。但安全仍然是一个  共同责任。美国责任下降了多少取决于我们使用的模型。我们使用 防守深入 作为考虑我们的数据和环境的保护是充足的指导的指导。

分享: