许多公有云提供商都拥有致力于在软件服务、平台服务或基础设施服务层提供安全性的团队,在过去几年中,许多公有云提供商也投入大量资源来确保他们的产品比以前更加安全。然而,即便如此,公有云仍然可能会对在严格隐私、安全和合规条例下运营的组织带来风险。因此,企业的IT专业人员也必须发挥自己的作用,承担起确保企业业务安全的责任,这也是云计算提供商责任终止与企业责任开始之间的延伸。
企业的IT团队在加强其云计算环境的安全性时应考虑以下事项:
SaaS:正确设置权限
SaaS提供商负责确保其应用程序的安全,但要由企业IT专业人员正确设置内容权限。这些权限取决于用户,应根据需要定期检查和调整。许多SaaS提供商允许管理员控制用户共享权限,以便他们可以在方便性和安全性方面实现所需的平衡。
管理员应该通过配置SaaS工具来强制执行“最小权限原则”,以便只向需要它们的用户授予读写权限。例如,对网络文档安全性设置不甚了解的工作人员最终可能会对外泄露一些内容。客户的大量信息泄露的事件如今已屡见不鲜,过度宽松的读访问权限可能会让错误的人访问敏感信息。开放写入权限可能会给恶意用户创建“虚假内容”的机会,导致合法用户可能不信任原本真实有效的内容。IT管理员必须谨慎而细致地进行用户权限设置,防止滥用读取(泄漏)和写入(数据损坏或可能导致不信任的数据损坏或污点)权限。
PaaS:评估容器安全性
由于Linux容器的便捷性和更高的速度和灵活性,Linux容器已变得越来越流行,但安全性仍然是许多提供商面临的问题。IT管理员应扫描并修复容器映像,以确保他们没有已知的安全漏洞。在理想情况下,他们可以与开发团队一起使用DevOps技术来实现开发人员持续集成和部署管道中的安全检查和修复的自动化。这将防止开发人员在应用程序更新并应用时,都会被人工实施的安全流程所阻碍。
组织应该要求供应商对其容器映像的安全状态保持透明。“容器健康指数”可以提供帮助。这些存储库提供Linux容器映像安全性的每日和按需评级,使管理人员能够判断哪些容器可以安全使用,哪些容器包含已知的漏洞。
IaaS:保护平台
IaaS提供商负责提供其硬件,并为客户的云计算虚拟机创建高效和安全的虚拟空间。但代理托管人员必须确保其客户操作系统已完全打好补丁,并符合安全基准。
管理人员应该使用相同的管理平台和工具来扫描和修复自己的云计算虚拟机上的物理和虚拟化基础设施系统。采用通用的平台可以不再要求熟练使用不同管理软件或管理工具。而采用统一的工具可以提供对物理系统、虚拟化基础设施或云中各机构安全的整体观点。
IT管理人员可以采取其他重要的安全措施。他们应关闭并可能隔离不再使用的虚拟机,从而防止攻击者进入未打补丁的云计算虚拟机,然后在云计算基础设施中横向移动以获得更有利可图的目标。安全增强型Linux可以实施访问控制和安全策略,身份管理可让IT专业人员整合,审核对其系统具有管理访问权限的人员。他们应该执行多因素身份验证,以确保安全有效。
最后,IaaS环境必须尽可能实现自动化,以减少人为错误的可能性,从而提高安全性。管理人员可以使用仪表板和远程命令工具轻松监视自动化基础设施,并快速解决安全问题。
只要IT管理人员尽到自己的责任来保护他们的运行环境,企业采用公共云平台运营业务将带来巨大的收益。