企業(yè)上云可以帶來諸多好處，有助于企業(yè)優(yōu)化生產(chǎn)效率、提高靈活性、降低運營成本以及實現(xiàn)全球化的業(yè)務覆蓋等。但隨著企業(yè)組織將更多的業(yè)務系統(tǒng)和數(shù)據(jù)轉移到云端，它們也必須采取更加可靠的安全防護措施，以實現(xiàn)與本地化部署同樣水平的安全性保障。日前，美國國家安全局（NSA）聯(lián)合發(fā)布了多份網(wǎng)絡安全實踐指南報告，其中包含了基于云環(huán)境應用最佳實踐的10條安全策略，旨在幫助企業(yè)組織改善云環(huán)境應用的安全態(tài)勢。

1.嚴格遵從云安全責任共擔模型

隨著云計算應用的不斷成熟，企業(yè)組織開始高度重視云安全的重要性，并開始實施特定的云安全措施來保護云應用安全。同時，云服務提供商（CSP）也更加關注云安全的落地實踐，云安全責任共擔模型（SRM）應運而生。該模型旨在明確CSP與租戶之間的安全責任劃分，讓企業(yè)能夠了解他們在云安全方面的角色，并實施適當?shù)陌踩胧﹣肀Ｗo云資產(chǎn)。

在實踐應用時，SRM會因服務而異，也可能因CSP而異，所以對租戶而言，關注SRM文檔和最佳實踐指南必不可少。直接聯(lián)系CSP對于租戶更好了解其服務模式很有必要。組織應該讓CSP對自己的安全工作負責，同時也必須盡心盡責地履行自己的租戶安全責任。

2.實現(xiàn)云安全運營統(tǒng)一化、標準化

組織應該充分考慮混合云和多云環(huán)境應用時可能出現(xiàn)的復雜性?；旌显坪投嘣骗h(huán)境的使用已經(jīng)非常普遍，往往會帶來業(yè)務運營孤島和技能缺口，這可能導致配置差異、不必要的數(shù)據(jù)流、不全面的IAM、監(jiān)控能力不完整以及易被利用的安全缺口。企業(yè)應該使用網(wǎng)絡、IAM和日志最佳實踐來維護安全的云基礎設施，并且應該借助與云服務商無關的第三方安全管理工具實現(xiàn)云安全運營的統(tǒng)一化和標準化，在一個集中的工具平臺上維護和監(jiān)控多云應用環(huán)境安全。

3.積極開展云應用自動化部署實踐

基礎設施即代碼（IaC）實現(xiàn)了云資源部署自動化，而減少手動部署能夠大大降低云應用中人為錯誤導致配置不當和幽靈資產(chǎn)的可能性。IaC還可以幫助組織快速地檢測未經(jīng)授權的云配置更改。

通過開展云應用自動部署的實踐，可以進一步規(guī)范云上服務的安全應用。組織在部署IaC之前，應該創(chuàng)建一個威脅模型以剖析攻擊途徑，確定IaC模板是聲明式還是命令式，然后完成靜態(tài)應用程序安全測試，并考慮集成現(xiàn)有的CI/CD流程。在部署之后，組織還應動態(tài)測試已部署的資源，確保訪問和版本控制已啟用，避免手動更改，并持續(xù)記錄和監(jiān)控資源。

4.在云環(huán)境中實施網(wǎng)絡分段和加密

使用云計算資源的組織必須在其租戶環(huán)境中實施分段和加密等安全控制機制，以防止和檢測惡意攻擊者的活動。應該利用零信任網(wǎng)絡安全實踐來保護組織數(shù)據(jù)，比如評估所有請求中的身份信息、微分段和端到端加密。對網(wǎng)絡威脅的預防工作主要由微分段完成，根據(jù)組織團隊、應用程序工作流和數(shù)據(jù)進出來劃分資源。只有支持正常功能所必需的通信路徑才能享用資源，這大大限制了惡意攻擊者訪問租戶環(huán)境的機會。對進出云和云內(nèi)部的所有數(shù)據(jù)進行端到端加密也是保護云端數(shù)據(jù)的關鍵。

5.部署有效的云身份和訪問管理方案

采取適當?shù)脑粕矸莺驮L問管理（IAM）方案對于保護云資源至關重要。惡意攻擊者會使用多種技術竊取賬戶，暴露憑據(jù)或弱身份驗證實踐，以初始訪問租戶的云系統(tǒng)環(huán)境。他們還可能利用寬松的訪問控制策略進一步滲入到云環(huán)境中，訪問和竊取敏感的數(shù)據(jù)資源。為了防止這種情況，云用戶應該使用可靠的身份安全驗證措施，比如防網(wǎng)絡釣魚的多因素身份驗證（MFA）和妥善管理的臨時憑據(jù)。訪問控制策略應該認真配置，以確保為用戶授予必要的最小化權限，以保護特別敏感的業(yè)務運營和資源。

6.實施強大的云密鑰管理

CSP會提供進行密鑰管理的多種方法，從完全依賴云供應商實現(xiàn)全面委托的服務器端加密，到僅在客戶端加密的方法不一而足。在大多數(shù)情況下，企業(yè)會依賴CSP完成密鑰管理、加密和解密的工作。然而組織在進行云上密鑰管理問題時，應該充分了解每種方案的風險和優(yōu)點，以及如何管理密鑰的角色和職責至關重要。

7.全面保護云端數(shù)據(jù)安全

在惡意攻擊者的眼里，云是一個存放了大量高價值數(shù)據(jù)的誘人攻擊目標。因此，組織應該通過多種手段確保數(shù)據(jù)安全，比如選擇合適的云存儲、防止通過公共IP暴露數(shù)據(jù)、執(zhí)行最小權限、使用對象版本控制、創(chuàng)建具有恢復計劃的不可變備份、啟用加密，并定期檢查數(shù)據(jù)安全措施。

組織還應該全面了解CSP數(shù)據(jù)保留策略，然后選擇適當?shù)姆桨竵泶鎯γ舾袛?shù)據(jù)。此外，組織應該考慮啟用“軟刪除”功能，以減小意外刪除或惡意刪除造成的影響。

8.保護CI/ CD環(huán)境安全

云上開發(fā)、安全和運營（DevSecOps）程序對云環(huán)境安全至關重要。持續(xù)集成和持續(xù)交付（CI/CD）管道是保障DevSecOps流程安全的關鍵，經(jīng)常部署在云端。這類管道是惡意攻擊者的重要目標，因為成功闖入CI/CD管道可能會影響基礎設施和應用程序。組織應該遵循最佳實踐來保護組織的CI/CD管道，比如可靠的IAM實踐、及時更新工具、審計日志、實施安全掃描機制，并妥善處理秘密信息。

9.關注MSP的安全風險

雖然托管云服務提供商（MSP）可以為管理、維護及/或保護云環(huán)境提供實用的技術支持，但使用MSP服務的同時會加大組織的云計算應用攻擊面。組織在選擇MSP時應該優(yōu)先考慮安全性，以便通過MSP緩解云租戶面臨的安全威脅。組織應該選擇符合自身云安全標準和實踐的服務商。此外，組織應該全面審核云環(huán)境中的MSP賬戶和運營行為，優(yōu)先考慮特權賬戶及其活動。組織還應該將MSP服務集成到安全運營、系統(tǒng)恢復和事件響應流程中。

10.做好云上日志信息的管理

日志在云環(huán)境的威脅檢測中扮演著重要角色。檢測和響應安全事件需徹底了解系統(tǒng)的活動和行為。組織應該從所有相關的日志源收集和匯總日志，比如云服務、操作系統(tǒng)和應用程序。云環(huán)境通常提供方便的日志聚合機制，以便將日志數(shù)據(jù)匯集到集中式服務，便于更好的可視化和威脅狩獵。

對不同的云服務而言，默認的日志策略差異很大，因此安全專業(yè)人員配置這些策略顯得很重要，以確保惡意攻擊者在云租戶環(huán)境中的舉動受到監(jiān)測。安全專業(yè)人員可以使用眾多工具來分析日志，比如安全信息和事件管理（SIEM）系統(tǒng)、日志分析軟件和異常檢測服務，以查找攻陷指標和異常活動，包括不尋常的登錄企圖、網(wǎng)絡流量模式和異常系統(tǒng)事件。

參考鏈接：

https://www.bleepingcomputer.com/news/security/cisa-nsa-share-best-practices-for-securing-cloud-services/

https://gbhackers.com/nsp-top-ten-cloud-security-practices/