確保雲計算安全的五大最佳實踐

如果我們回顧一下，就會發現2014年很可能稱得上是「有史以來爆出最重大安全洩密事件的一年」。

可以說，不法分子們已武裝到了牙齒，但儘管許多犯罪分子在技術層面確確實實取得了非常大的進步，可是在我看來真正引人注目的是，現有的安全實踐和技術原本可以防止許多這樣的洩密事件。

許多不幸中招的公司陷入了一個很常見的陷阱，這個陷阱常常被稱為「合規即安全」心態。 這種想法得出的結論是，如果公司不遺餘力地做到遵守法律――符合任何法律法規，包括《健康保險可攜性及責任性法案》(HIPAA)和《支付卡行業資料安全標準》(PCI)等，那麼它實際上就會「很安全」。 遺憾的是，事實遠非如此。 與許多種類的法規一樣，遵守法律其實意味著只要付出極少的絕對努力。

這倒不是說合規就不重要了，合規確實很重要。 即便付出了最大的努力，也永遠無法確保百分之百的安全性。 但如果雲服務公司想要給自己最大的機會，避免重大洩密事件帶來的非常嚴重的後果，它們現在就應該做好這五個實踐。

1. 不斷確保可見度

首先，公司企業需要確保百分之百的可見度，隨時瞭解其技術資產和服務。 簡而言之，要是你不了解情況，保護也就無從談起。 始終要瞭解自己有什麼資產或服務及其運作狀況。 這聽起來極其基本，但是考慮到現代虛擬基礎設施具有自動化、彈性和隨需應變的特性，確保可見度可能是一大挑戰。 一旦你摸清了基礎設施、應用程式、資料和使用者方面的情況，就能開始明白如何限制攻擊範圍，更有效地防止或緩解攻擊。

2. 風險管理

這意味著為第一個最佳實踐中的可見度和透明度添加上下文。 一旦獲得了透明度，公司企業就要消除已知本商業網路裡面存在的明顯的安全性漏洞(過期的工作站和行動裝置等)。 想在這個層面緩解曝露風險，關鍵在於使用不斷監控的工具，以及強有力的安全性漏洞和安全建構管理技術及實踐。

3. 強存取控制

這個最佳實踐似乎不言自喻，但常常實施不當。 雖然許多公司的確實施了存取控制措施，但它們常常授予不必要的訪問權。 在最近幾起洩密事件中，有效的存取控制ID被用來闖入企業裡面與某人所在職能部門毫無關系的系統。 他們擁有訪問權，完全是因為其在企業裡面擁有的級別，儘管他們實際上不需要這種訪問權就能完成工作。 確保你落實了合適的訪問管理和許可權監控機制。 最小許可權概念在這方面至關重要，不斷監控使用者活動以確保沒有違反貴企業政策同樣很重要。

4. 資料保護和加密

一旦確立了強存取控制機制，不斷確保可見度，而且緩解了已知的安全性漏洞，就要對你知道很敏感的所有資料進行加密。 回顧之前的一些洩密事件，要引以為戒。 你可以從中發現需要保護哪些類別的資料、需要怎樣的優先順序別。 這通常意味著保護「靜態資料」和「動態資料」，但是也要落實資料丟失預防(DLP)等技術，確保萬一受到危及，資料也不會被發送到商業網路外面。

5. 危機管理

很少有公司在如何迅速地應對資料洩密、緩解破壞方面實施相應的政策和程式。 總之一句話，即便採用了穩健的安全實踐，洩密事件也會發生;這不是「會不會發生」的問題，而是「何時會發生」的問題。 為了防備這種情況，公司就要落實相應的流程和技術，好讓自己能夠迅速應對，緩解任何安全洩密事件的不利影響。 這就意味著能夠明白你已遭到了攻擊，可以採取什麼辦法來限制其影響。 這方面涉及的技術包括：檔完整性監控、入侵偵測和用於中招後分析的取證資料。 在洩密事件發生之前制定一套行動方案，之後一旦察覺了洩密事件，就遵照行動方案來行事。

不管貴企業從事哪個行業，或者使用多少雲服務，貴企業都應該落實這五大安全要素，並且作為日常工作的一部分而加以實施。 切記：合規並不等同于安全。 它只是代表最基本的保護。 合規無力應對異常安全或高級持續性威脅(APT)：在這種情況下，隱藏的惡意軟體會在很長一段時間內引起安全洩密事件。