米沃奇

如今，確保存儲在云端的客戶數(shù)據(jù)的安全是云端供應(yīng)商的重點(diǎn)工作之一。網(wǎng)絡(luò)威脅的數(shù)量在不斷增長，其危險和復(fù)雜程度也在不斷提高。

根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查，在云端發(fā)生的所有數(shù)據(jù)泄漏中，80%是由于IT部門的錯誤配置、賬戶管理和其他錯誤造成的，而不是來自云平臺的漏洞。因此，IT企業(yè)必須關(guān)注其內(nèi)部業(yè)務(wù)流程和人員培訓(xùn)，以加強(qiáng)整體安全。

另一項研究表明，64%的企業(yè)認(rèn)為云計算基礎(chǔ)設(shè)施比傳統(tǒng)數(shù)據(jù)中心更安全。在采用云計算的企業(yè)中，75%的企業(yè)在云存儲的保護(hù)措施之外采取了額外的保護(hù)措施。而對于這些額外的安全措施，有的采用數(shù)據(jù)加密，有的采用更嚴(yán)格的訪問策略，有的采用頻繁的系統(tǒng)審計。另外，專家建議仔細(xì)研究開放和不受保護(hù)的接口，它們可能成為數(shù)據(jù)保護(hù)方面的薄弱環(huán)節(jié)，也是云計算平臺的一個主要漏洞。

網(wǎng)絡(luò)攻擊者并不關(guān)心數(shù)據(jù)是位于虛擬機(jī)還是物理機(jī)上，他們的目標(biāo)是采用任何方式獲取訪問權(quán)限。因此，安全專家確定了保證云計算安全的三個主要措施：數(shù)據(jù)加密、有限的數(shù)據(jù)訪問、發(fā)生攻擊時的數(shù)據(jù)恢復(fù)。下面我們對如何提高云安全做簡要介紹。

一、分析和機(jī)器學(xué)習(xí)

為了解決許多安全問題，企業(yè)可以使用人工智能（AI）技術(shù)。人工智能框架和機(jī)器學(xué)習(xí)有助于自動化數(shù)據(jù)保護(hù)，并簡化日常任務(wù)的執(zhí)行。人工智能在公共云和私有云基礎(chǔ)架構(gòu)中提供服務(wù)，以加強(qiáng)其安全性。

使用這種方法有開源項目MineMeld，它根據(jù)來自外部來源的威脅數(shù)據(jù)，制定不同的安全策略和動態(tài)調(diào)整配置。它可能在某些情況下解決所有特定公司的需求。另一個是Gurucul云分析平臺，該平臺使用行為分析和機(jī)器學(xué)習(xí)來檢測外部和內(nèi)部威脅。

二、加密數(shù)據(jù)

企業(yè)沒有必要加密所有的數(shù)據(jù)。為了確保安全，企業(yè)需要一個詳細(xì)的策略。首先，確定自己的哪些數(shù)據(jù)需要位于云端。只有這樣，才能決定哪些信息值得加密。

在加強(qiáng)安全措施之前，企業(yè)需要評估其可行性。評估引入新措施的成本，并將其與數(shù)據(jù)泄露造成的潛在損失相比較。另外，企業(yè)還應(yīng)該分析加密、訪問控制、用戶身份驗證對系統(tǒng)性能的影響。

數(shù)據(jù)保護(hù)可以在多個層面上實施。例如，用戶發(fā)送到云端的所有數(shù)據(jù)都可以使用AES算法進(jìn)行加密，該算法提供了匿名性和安全性。下一級保護(hù)是云計算存儲服務(wù)器中的數(shù)據(jù)加密。云計算提供商通常將數(shù)據(jù)存儲在多個數(shù)據(jù)中心中，通過冗余來幫助保護(hù)客戶信息。

三、基礎(chǔ)設(shè)施監(jiān)控

在遷移到云端時，許多客戶需要實施新的安全策略。例如，他們必須更改其防火墻和虛擬網(wǎng)絡(luò)的設(shè)置。

與此同時，攻擊者幾乎總能找到破解系統(tǒng)的方法。因此，企業(yè)的主要任務(wù)是防止攻擊傳播到網(wǎng)絡(luò)的其他部分。如果安全系統(tǒng)阻止工作負(fù)載之間的未授權(quán)交互，并防止非法連接請求，則可以保證網(wǎng)絡(luò)其他部分的安全。

還有許多產(chǎn)品可以監(jiān)控數(shù)據(jù)中心的基礎(chǔ)設(shè)施。例如，思科公司為IT經(jīng)理提供了網(wǎng)絡(luò)活動的完整圖景，使他們不僅可以查看誰連接到網(wǎng)絡(luò)，還可以設(shè)置用戶規(guī)則，以及他們擁有哪些訪問權(quán)限。

四、采用自動化工具

另一種可以提高數(shù)據(jù)中心可靠性的方法是將安全系統(tǒng)與DevOps的實踐相結(jié)合。這樣做可以讓企業(yè)加快部署新的應(yīng)用程序，并更快地引入。適應(yīng)性安全體系結(jié)構(gòu)應(yīng)與管理工具集成在一起，使安全設(shè)置更改成為持續(xù)部署過程的一部分。

在云計算基礎(chǔ)設(shè)施中，安全性成為持續(xù)集成和持續(xù)部署的組成部分。它可以通過諸如Jenkins插件之類的工具提供，這些工具使安全性測試成為質(zhì)量保證不可缺少的步驟。用于安全測試和監(jiān)控的其他DevOps工具包括靜態(tài)分析（SAST）和動態(tài)分析（DAST）解決方案。靜態(tài)分析（SAST）可以分析處于靜態(tài)狀態(tài)的應(yīng)用程序的源代碼，并識別其安全漏洞。動態(tài)分析（DAST）在應(yīng)用程序運(yùn)行時檢測潛在的安全漏洞。

在以往，一個單獨(dú)的團(tuán)隊將處理產(chǎn)品安全問題。但是這種方法增加了在產(chǎn)品上工作的時間，并不能消除所有的漏洞。如今，安全整合可以在多個方向進(jìn)行，人們也應(yīng)該考慮產(chǎn)品開發(fā)所有階段的安全性，其包括云計算基礎(chǔ)設(shè)施。