日前推出的两个新的调查报告表明企业在部署公共云、私有云和混合云的风险有着巨大差异。以下是关于企业成功实施云计算安全策略所需的工具、信息和组织结构的建议。

如今，将数据和服务迁移到云端已经让很多公司反思他们的安全策略和措施。他们是否需要云计算安全策略？他们的云计算安全策略有什么不同？最近的两项调查揭示了企业的安全策略如何变化，更重要的是它们应该如何改变。

在云端部署更多的IT基础设施在某种程度上比内部部署的数据中心更加安全。例如，企业可以清楚了解系统正在运行的最新版本，并及时提供适当的补丁。云计算服务提供商也正在构建新的功能，例如使用机器语言进行异常检测。但是这也带来了新的风险，其中一些是企业误解了如何管理云计算安全的结果。

企业需要了解云计算IT战略（无论是混合云、私有托管还是公共云）如何影响其网络安全策略以及该策略的战术执行情况，这一点非常重要。

什么是云计算安全风险？

在云计算安全提供商Alert Logic公司的调查报告中，分析了与内部部署数据中心相比的各种形式的云环境的风险性质和数量。在18个月的时间里，该公司分析了来自3800多名客户的147 PB数据，并对安全事件进行了量化和分类。在此期间，该公司分析了超过220万个企业积极应对的安全事件。其主要发现包括：

·混合云环境的安全事件数量最高，达到977起，，其次是托管私有云（684），内部部署数据中心（612）和公共云（405）。

到目前为止，最常见的事件类型是Web应用程序的攻击（75％），其次是暴力攻击（16％），侦测（5％）和服务器端勒索软件（2％）。

·Web应用程序攻击最常见的因素是SQL（47．74％），Joomla（26．11％），Apache Struts（10．11％）和Magento（6．98％）。

Wordpress是最常见的暴力攻击的目标（41％），其次是MS SQL（19％）。

无论是公共云、私有云还是混合云环境，Web应用程序的威胁是主要因素。他们之间的不同是企业所面临的风险水平。“Alert Logic公司从安全厂商的角度来看，公共云的有效保护能力较高，因为有着更好的信噪比和较少嘈杂的攻击。”Alert Logic公司Misha Govshteyn联合创始人说，“在公共云环境中发生安全事件时，企业应该会更多地关注，因为它们通常比较隐秘，不易被人发现。”

调查表明，一些平台的安全性比其他平台更脆弱。 Govshteyn说：“尽管企业尽了最大的努力，但还是会增加攻击面。”他举例说，“人们普遍认为，LAMP堆栈比基于微软的应用堆栈更加脆弱。”他还将PHP应用程序视为一个热点。

Govshteyn说：“内容管理系统（尤其是Wordpress，Joomla和Django）作为Web应用程序的平台，其安全性的脆弱性远远超过大多数人的想象，并且具有许多漏洞。只有了解这些特性的开发团队倾向于使用的Web框架和平台，才能保证这些系统的安全。大多数安全人员很少关注这些细节，而是根据糟糕的假设做出决定。”

为了最大限度地减少云计算威胁的影响，Alert Logic公司有三个主要建议：

·依靠应用程序白名单来阻止对未知程序的访问。这包括为组织中使用的每个应用程序进行风险与价值评估。

·了解企业自己的修补过程并优先安装补丁程序。

·根据当前用户的职责限制管理和访问权限。这将需要企业保持最新的应用程序和操作系统的权限。

如何保护云平台

网络监控解决方案提供商Gigamon公司委托市场研究机构VansonBourne公司进行的调查表明，73％的受访者表示他们的大部分应用工作负载运行在公共云或私有云中。然而，这些受访者中有35％的人希望以“完全相同的方式”处理网络安全，就像他们在内部部署数据中心操作一样。其余的人表示他们别无选择，只能改变他们对云计算的安全策略。

当然，并不是每个公司都将敏感或重要的数据迁移到云中，所以对于他们而言，改变策略的理由就更少了。但是，大多数公司正在迁移关键和专有公司信息（56％）或营销资产（53％）。47％的人希望在云端拥有个人身份信息，这由于将会受到新的隐私法规即将实施（例如欧盟的GDPR）的影响。

Govshteyn表示，企业应该把重点放在云计算安全策略的三个主要领域上：

1．工具。企业在云环境中部署的安全工具必须是原生的，并且能够保护Web应用程序和云端工作负载。 Govshteyn表示：“安全技术都集中在端点保护制定一套攻击向量。这在云端并不常见，并且没有足够的能力处理OWASP的十大威胁，这占到所有云计算攻击的75％。”他指出，端点威胁针对的是Web浏览器和客户端软件，而基础设施威胁则针对服务器和应用程序框架。

2．体系。体系结构的定义围绕云计算提供的安全和管理优势，而不是企业在传统数据中心中使用的相同体系结构。 Govshteyn说：“现在有数据显示，纯粹的公共云环境可以让企业降低事件率，但只有使用云计算功能来设计更安全的基础架构才能实现。”他建议企业将每个应用程序或微服务隔离在自己的虚拟私有云中，这样可以减少任何入侵的范围。

“像雅虎公司数据泄露这样的主要违规行为最初是以简单的Web应用程序作为初始输入向量，因此不太重要的应用程序往往成为企业最大的问题。”另外，企业不要在云部署中修补漏洞。相反，部署运行最新代码的新的云计算基础设施，并停用原有的基础设施。

Govshteyn表示：“只有在部署自动化的情况下才能做到这一点，但是企业将获得传统数据中心永远无法实现的基础设施控制级别的能力。”

3．连接点。企业需要确定云部署与运行传统代码的传统数据中心相互连接的点。他说：“这些问题很可能是企业最大的问题来源，因为我们看到一个明显的趋势，即混合云部署往往会遭遇大部分安全事件。”

并非企业现有安全策略的所有内容都必须为云计算而改变。“企业在某些方面可以使用相同的安全策略，例如，对于取证和威胁检测的深度内容检测。对于云端来说，其本身并不是一个坏主意。追求这一目标的企业一般都在寻求其安全架构之间的一致性，以减少其安全状况的差距。”Gigamon产品营销高级经理Tom Clavel说。

Clavel补充说：“企业面临的挑战是如何获得网络流量来进行这种检查。虽然这些数据可以通过多种方式在本地部署的数据中心获得，但在云端无法使用。另外，即使他们能够访问流量，也不必将信息泄漏到内部工具进行检查，而没有人工智能的帮助则成本高，并且会适得其反。”