云安全架构和云计算模型类型

基于云的创新正在迅速成为一种竞争需求。云安全架构是一种在云中保护和查看组织数据和协作应用程序的方法,并与云提供商共享责任。

随着越来越多的企业努力通过将数据和基础设施迁移到云端来加快运营速度,安全已成为一项更重要的责任。公司正在寻求提高速度和敏捷性的方法,运营和开发团队正在发现云服务的新用途。企业必须通过提高协作技能和提升云端的运营效率来保持竞争力,同时节省资金和资源。

这种安全架构为敏感数据和信息增加了另一层保护。该框架包括不同的安全应用程序,以及身份管理和数据保护策略。它制定了管理数据处理同时保持其安全的精确计划和程序。

什么是云安全架构?

云安全架构是指用于保护云平台上的数据、工作负载和系统的硬件和技术。制定云安全架构计划应从蓝图和设计过程开始,并应从一开始就构建到云平台中。过分频繁地,云架构师只关注速度,然后才尝试事后添加安全措施。

云安全架构是一个框架,其中包含保护在云中或通过云处理的信息、数据和应用程序所需的所有技术和软件。公共云、私有云和混合云是一些云计算框架。所有云都必须非常安全,以保护敏感数据和信息。

云安全架构在企业中的重要性

随着公司的发展,它将需要更安全的系统来处理其工作负载。云网络提供了许多好处,但它们也存在许多安全问题。如果未经授权的用户访问了私人数据,则可能对公司构成危险情况。因此,云安全架构至关重要。

云安全架构可以弥补传统销售点 (POS) 系统中未被发现的安全漏洞。此外,云安全设计消除了安全网络冗余问题。它还有助于组织安全措施,同时确保其在整个数据处理过程中保持可靠性。合适的云安全架构还可以成功处理复杂的安全问题。

云计算模型类型

云的安全基于共享云责任范式构建,其中提供商和客户共同承担云安全的责任。共享职责并不意味着减少责任。根据云环境的不同,云提供商将处理物理、基础设施和应用程序安全的不同部分。相比之下,云用户将负责安全和管理的特定领域。

基础设施即服务 (IaaS)

IaaS(基础设施即服务)是一种云计算概念,它通过互联网提供虚拟化的计算资源,例如网络、存储和工作站。在 IaaS 中,云服务提供商 (CSP) 负责其底层服务器和数据的安全,包括服务器安全、存储和网络基础设施、虚拟化和虚拟机管理程序。用户访问、数据、应用程序、操作系统和网络流量都是企业安全义务的一部分。

IaaS 云安全模型还需要以下安全功能:

  • 审核和监控资源的错误配置

  • 自动执行策略更正

  • 使用 DLP 防止数据丢失

  • 捕获自定义应用程序活动并执行控制

  • 检测恶意用户活动和行为

  • 检测和删除恶意软件

  • 发现流氓 IaaS 服务和帐户

  • 识别已配置的用户风险

  • 丰富本机云平台取证

  • 管理多个 IaaS 提供商

平台即服务 (PaaS)

PaaS 云服务模型的大部分内容由 CSP 保护,但组织负责其应用程序的安全。PaaS 通过允许用户安装应用程序而无需投资和管理硬件、软件和托管基础设施来扩展 IaaS。

PaaS 的应用包括:

  • 云访问安全代理 (CASB)

  • 云工作负载保护平台 (CWPP)

  • 云安全态势管理 (CSPM)

  • 商业分析/智能

  • 日志

  • IP 限制

  • API 网关

  • 物联网 (IoT)

软件即服务 (SaaS)

作为其服务合同的一部分,CSP 协商 SaaS 中安全所有权的条款。企业的物理、基础设施、虚拟机管理程序、网络流量和操作系统通常通过 SaaS 托管。

以下是 SaaS 应用程序和基础设施控制的示例:

  • 执行数据丢失防护 (DLP)

  • 防止将敏感数据未经授权地共享给错误的人员

  • 阻止将公司数据同步/下载到个人设备

  • 检测受损帐户、内部威胁和恶意软件

  • 了解未经授权的应用程序

  • 审核错误配置

云安全架构面临哪些威胁?

在计划云实施时,您需要做好准备以应对诸如恶意软件和基于特权的攻击等常见威胁。本文将尝试展示业内专业人员目前正在考虑的一些高知名度威胁的快照。

内部人员风险

内部人员风险包括可以访问系统和数据的内部员工以及来自云服务提供商 (CSP) 的管理员。当您注册 CSP 服务时,您实际上是将您的数据和工作负载交给了负责维护 CSP 架构的团队。

数据的可用性

另一个需要考虑的因素是数据是否可供政府机构使用。安全专家越来越关注表明政府是否可以通过法院命令或其他方式访问私有或公共云中的数据的规则、法规和现实案例。

拒绝服务攻击

拒绝服务攻击是当前的热门话题。典型的临时直接拒绝服务 (DDoS) 攻击包括用请求轰炸系统,直到系统崩溃。通过使用网络合规性标准来阻止重复请求,安全边界可以抵御这些攻击。在努力恢复系统的同时,CSP 还可以将工作负载和流量迁移到其他资源。

永久性拒绝服务攻击破坏性更大,因为它们通常会导致固件损坏,从而导致服务器无法启动。在这种情况下,技术人员需要手动重新加载固件并从头开始重建系统,这可能需要几天甚至几周的时间。

连接云的边缘系统

云边缘可以指连接云的边缘系统,但它也与 CSP 不直接控制的服务器架构相关。由于全球 CSP 无法在全球每个角落开发和运营设施,因此它们依靠合作伙伴为较小、地理位置孤立或农村地区提供服务。因此,许多 CSP 无法完全控制监控和确保硬件的物理盒完整性,以及物理攻击防御,例如关闭 USB 端口访问。

访问公共云产品

客户评估公共云产品的能力受其控制水平的影响。从客户的角度来看,用户担心将敏感工作负载从客户的私有云迁移到公共云。另一方面,大型云提供商通常装备精良,并且在云安全方面的知识水平远高于普通的私有云用户。客户,即使他们的安全工具不太先进,也发现完全控制其最敏感数据令人放心。

密码强度

即使拥有全球最强大的云安全架构,服务器也无法帮助您由于硬件限制而开发更好的密码。密码是最常见的攻击媒介之一。硬件、固件和软件防护侧重于云安全架构师。

更新于: 2022年4月14日

5K+ 次浏览

开启您的职业生涯

通过完成课程获得认证

立即开始
广告