什么是云安全

云安全是一组旨在保护基于云的基础设施、应用程序和数据的安全措施。目标是建立对数据和资源的控制，防止未经授权的访问，保护数据隐私，防止外部黑客技術或内部威胁的恶意攻击，并保护云工作负载免受意外或恶意破坏。云安全的另一个目标是将组织的合规策略扩展到云。 

这是有关数据泄露的广泛指南系列的一部分。

在本文中：

• 对云安全的需求：云安全挑战
  • 云配置错误
  • 数据隐私和保密
  • 社会工程和凭证盗窃
  • 具体合规要求
• 云安全解决方案的类型
  • 云访问安全代理 (CASB)
  • 云工作负载保护平台 (CWPP )
  • 云安全态势管理 (CSPM)
  • 云基础设施授权管理 (CIEM)
  • 云原生应用保护平台（CNAPP）
• 云安全最佳实践
  • 了解责任共担模型
  • 执行定期审计和渗透测试
  • 保护用户端点
  • 设置备份和恢复解决方案

对云安全的需求：云安全挑战

云配置错误

配置错误的系统或网络可以为攻击者提供入口点，使他们能够在网络内横向移动并获得对敏感资源的未经授权的访问。错误配置可能是由于云系统配置过程中缺乏安全意识、人为错误或自动化模板定义不当造成的。

数据隐私和保密

数据隐私和机密性是许多组织的主要关注点。欧盟通用数据保护条例 (GDPR)、美国健康保险互操作性和可访问性法案 (HIPAA) 以及支付卡行业数据安全标准 (PCI DSS) 等数据保护法规要求组织保护客户数据。大多数组织还拥有合规标准未涵盖的敏感或机密数据，但如果暴露，将对业务造成极大损害。

将数据迁移到云端有很多好处，但也带来了严重的安全问题。基于云的存储服务通常默认暴露在公共网络中，如果没有适当保护，可能会使攻击者轻松访问数据。

许多将数据和工作负载迁移到云的组织缺乏确保安全配置和部署的专业知识。这会带来移动到云端的敏感数据受到损害的风险，从而导致昂贵的审计、合规罚款和声誉受损。

社会工程和凭证盗窃

威胁行为者经常使用云应用程序和环境作为社会工程攻击的一部分。随着基于云的电子邮件和文档共享服务（例如 G-Suite、Google Drive、Office 365 和 OneDrive）的使用越来越多，攻击者很容易诱骗员工授予敏感数据的访问权限。所需要的只是发送一个请求访问内容的链接，并为用户授予访问权限提供一个很好的借口。

网络犯罪分子可以通过多种方式窃取员工的云服务凭据。保护云上的身份是组织的一个主要问题，因为身份泄露可能会暴露基于云的关键数据和资源的隐私和安全性。

具体合规要求

大多数数据保护标准要求组织证明他们正确限制了对受保护信息（例如信用卡数据或医疗患者记录）的访问。这可能需要在组织的网络中创建物理或逻辑隔离，确保受保护的数据只能由授权员工访问。

云部署对基础设施的可见性和控制能力有限，而且其结构也与传统数据中心不同。这可能会使在云中实现和演示这些类型的合规性要求变得更加困难。

云安全解决方案的类型

以下是可用于保护云安全的常见解决方案类型。

云访问安全代理 (CASB)

CASB是部署在云服务消费者和云服务提供商之间的安全策略执行点。它负责在用户访问基于云的资源时执行公司安全策略。CASB 可以处理多种类型的安全策略，包括：

• 认证与授权
• 单点登录
• 凭证映射
• 设备分析
• 加密
• 代币化
• 记录和警报
• 恶意软件检测和预防

云工作负载保护平台 (CWPP)

CWPP 是一种以工作负载为中心的安全产品，可保护在一个或多个虚拟机 (VM)、容器或无服务器功能上运行的工作负载（应用程序或其他资源）。CWPP 的独特之处在于，它将工作负载视为单个单元并对其进行保护，即使它运行在跨多个云或数据中心的多个服务器或云实例上。

CWPP 功能通常包括： 

• 系统强化和系统完整性监控
• 漏洞管理
• 基于主机的分段
• 应用控制
• 跨混合环境的工作负载安全可见性
• 从单个控制台集中控制工作负载安全

云安全态势管理 (CSPM)

CSPM 解决方案持续管理云安全风险。它们可以检测、记录和报告安全问题，并在某些情况下自动修复这些问题。这些问题可能包括云服务配置错误、安全设置不当、资源治理问题和合规性违规。

CSPM 解决方案侧重于四个主要领域：

1. 资产盘点及分类
2. 身份、安全性和合规性
3. 监测分析
4. 成本管理和资源组织

请参阅我们的 CSPM 详细指南了解更多信息。

云基础设施授权管理 (CIEM)

CIEM 是基于云的身份和访问管理 (IAM) 的扩展。IAM 是管理所有公共云平台中的身份和访问的基础，但是，它很快就会变得过于复杂，无法使用第一方云提供商工具进行管理。 

CIEM 解决方案可以通过提供集中身份和访问治理控制来解决这种复杂性。目标是将关键云基础设施上的权限降至最低，并简化动态分布式环境中的最小权限访问控制。

云原生应用保护平台（CNAPP）

CNAPP 是一个将 CSPM 和 CWPP 解决方案融合到一个平台中的新类别。CNAPP 解决方案可保护虚拟机、容器和无服务器功能等工作负载和主机的安全，使组织能够修复漏洞和错误配置、检测生产环境中的威胁、调查并积极响应。
 

云安全最佳实践

了解责任共担模型

云供应商在共享责任模型下运营，该模型在供应商和客户之间分配安全责任。通常，云供应商负责保护底层基础设施的安全，而云客户则负责保护云基础设施上托管的工作负载和数据的安全。

但是，不同交付模型（例如软件即服务 (SaaS)、平台即服务 (PaaS) 和基础设施即服务 (IaaS)）的责任有所不同。通常，您对基础设施的控制权越大，您在保护环境方面所承担的责任就越大。

执行定期审计和渗透测试

渗透测试是由道德黑客执行的模拟授权攻击，用于识别和修复安全漏洞。它可以帮助您评估云基础设施的安全控制并修复发现的任何漏洞和弱点。定期审核是一种安全最佳实践，通常也是监管机构确保合规性和安全性的要求。它有助于验证云安全措施（您的以及云供应商配置的措施）的有效性。

保护用户端点

云环境允许端点以各种方式（通常使用 Web 浏览器）与环境连接。组织可以通过实施客户端安全来保护其工作负载和数据，以保持最终用户浏览器的更新和安全。您可以结合使用防火墙、Internet 安全工具、防病毒、入侵检测工具、移动设备安全和端点安全解决方案来保护您的网络免受端点威胁。

设置备份和恢复解决方案

根据共享责任模型，云供应商提供持久性和高可用性。然而，这些功能并不能防止数据丢失。备份和恢复解决方案有助于确保有足够的数据可用于恢复，防止勒索软件感染、意外或恶意数据删除和修改以及硬件故障期间丢失数据。 

组织可以实施各种备份、恢复和归档策略。自动备份和生命周期策略可以帮助保留可恢复的副本。存档使您能够将不常用的数据存储在单独的安全存储中。恢复过程定义了在发生灾难或安全事件时应如何恢复数据以及负责管理此过程的角色。

LvBug 的云安全

将代码、应用程序和资产迁移到云环境会带来新的风险。LvBug 的综合平台通过召集强大的道德黑客社区来解决云安全风险，这些黑客提供独特的专业知识来查找漏洞扫描程序和人工智能遗漏。借助 LvBug 提供的内置可见性和报告，组织可以保护其云环境免受多种威胁媒介的影响，包括云配置错误、数据泄露、子域接管、未经授权的应用程序访问等等。

LvBug 提供三种主要产品，可以帮助希望强化云攻击面的组织： 

1. LvBug 评估为云渗透测试带来了一种创造性的、社区主导的方法，为组织提供更大的覆盖范围、实时结果和无缝的修复工作流程，以快速查找和修复漏洞。LvBug 的AWS 特定解决方案允许组织通过与背景检查、AWS 认证的黑客合作，了解跨云应用程序、API、IAM 风险、无服务器部署、DNS 管理和 S3 问题的云特定威胁。漏洞结果和情报还可以从 LvBug无缝路由到 AWS Security Hub，以采取快速、有效的安全行动。 
2. LvBug Bounty通过邀请道德黑客帮助组织发现并缩小云安全漏洞，最大限度地降低网络攻击的风险。 
3. LvBug Response帮助组织实施漏洞披露政策以遵守法规，同时为安全团队提供跨大量基于云的资产的漏洞情报。 

请参阅我们有关关键数据泄露主题的附加指南

我们与我们的内容合作伙伴一起编写了有关其他几个主题的深入指南，这些指南在您探索数据泄露的世界时也很有用。

数据保护

作者： 云云

• GDPR 数据保护：定义和实际措施
• Office 365 数据保护。这是必不可少的。 
• 如何维护安全的数据存储

高级威胁防护

作者：Cynet

• 高级威胁检测：捕获并消除偷袭攻击
• 恶意软件预防：多层方法
• 零日攻击预防：4 种准备方法

AWS备份

由 NetApp 撰写

• 混合云和纯云环境中的 AWS 数据库备份
• 了解 AWS 备份定价
• EBS 到 S3：简化 AWS 上的数据