一文讀懂雲安全

新鈦雲服已爲您服務1063天

本文討論如下問題：

1. 雲安全和傳統安全有什麼區別

2. 雲安全的挑戰及應對

3. 如何衡量雲安全水平

4. 如何構建有效的雲安全團隊

5. 公有云與私有云安全的區別

6. 雲安全實踐

7. 雲安全專家認證

8. 雲安全發展趨勢

Gartner數據顯示2021年全球公有云支出預計將增長18.4%，達到3049億美元，高於2020年的2575億美元。

新冠疫情使轉向雲的IT支出比例加快，預計到2024年，雲將佔全球企業IT支出市場總量的14.2%，高於2020年的9.1%。

SaaS仍然是最大的細分市場，預計到2021年將增長到1177億美元，PaaS預計將以26.6%的較高利潤率增長。

Gartner全球公有云服務最終用戶支出預測（單位：百萬美元）

2019

2020

2021

2022

雲業務流程服務 （BPaaS）

45,212

44,741

47,521

50,336

雲應用基礎設施服務 （PaaS）

37,512

43,823

55,486

68,964

雲應用服務（SaaS）

102,064

101,480

117,773

138,261

雲管理和安全服務

12,836

14,880

17,001

19,934

雲系統基礎設施服務 （IaaS）

44,457

51,421

65,264

82,225

桌面服務（DaaS）

616

1,204

1,945

2,542

總市場

242,696

257,549

304,990

362,263

BPaaS=業務流程即服務;

IaaS=基礎架構即服務;

PaaS=平臺即服務;

SaaS = 軟件即服務

注意事項：由於四捨五入，總計可能有出入。

隨着雲的深度使用，雲安全越來越重要！

根據McAfee的調查，大多數組織都信任公有云能保護敏感數據。但是，雲服務提供商不會處理影響雲安全的各個方面。因此，使用雲的組織正計劃將平均27%的安全預算投入到雲安全中，並計劃隨着時間的推移而增加。

一、雲安全和傳統安全的區別

雲安全和傳統安全的最大區別是責任範圍，傳統安全用戶100%爲自己的安全負責，雲安全則由用戶和雲供應商共擔責任，共同責任模型是雲安全的典型特徵。

共同責任模型概述了由雲服務提供商或用戶處理的安全要素。責任範圍因客戶使用雲的服務而異。這些服務包括軟件即服務（SaaS）、平臺即服務（PaaS）和基礎架構即服務（IaaS）。

根據組織使用的雲服務提供商，職責分工將有所不同。

SaaS：如果組織只使用SaaS應用，則擔心的雲安全問題最少。雲服務提供商負責包含應用和基礎設施。組織必須保護和管理它們放入雲中的數據。此外，組織還應管理哪些員工正在使用應用以及如何使用。

PaaS：使用PaaS服務的組織必須確保與SaaS產品相同的元素，以及應用程序部署和管理。雲服務提供商負責保護運行這些服務的基礎設施和操作系統的安全。

IaaS：組織能更多的控制IaaS服務的雲環境；但是，這意味着更多的雲安全責任。除了類似SaaS的責任外，組織還負責OS安全，並配置保護基礎設施的安全軟件或防火牆等服務。

二、雲安全的挑戰及應對

雲的所有收益，敏捷、提升效率、彈性，都伴隨着一個重大挑戰--安全性。安全和其他因素是相輔相成的關係，如果安全出現問題，則所有的收益都會變成零，甚至給企業帶來嚴重損失。

雲使安全問題進一步複雜化，傳統的安全控制通常不能滿足雲安全需求。許多組織無法理清與雲服務提供商（CSP）責任邊界，從而使其面臨許多漏洞。雲的擴展性也增加了潛在攻擊面。

爲了幫助公司瞭解他們面臨的雲挑戰，雲安全聯盟（CSA）整理了一份11項最常見的雲安全挑戰：

1.數據泄露

2.配置錯誤和變更控制不足

3.缺乏雲安全架構和策略

4.身份、憑據、訪問和關鍵管理不足

5.帳戶劫持

6.內部威脅

7.不安全的接口和API

8.弱控制平面

9.元結構和應用列表失敗

10.有限的可視化

11.濫用雲服務

1.數據泄露

數據泄露是CSP及其客戶的共同責任，也是主要的雲安全威脅。數據泄露可能會使公司屈服，對其聲譽造成不可逆轉的損害，造成的財務困境，法律責任，事故響應成本以及市場價值下降。

CSA建議如下：

定義數據價值及其損失的影響；

通過加密保護數據；

有一個完善的，經過充分測試的事件響應計劃。

CSA雲管控矩陣（CCM）規範包括以下內容：

執行數據輸入和輸出完整性程序；

將最低特權原則應用於訪問控制；

制定安全數據刪除和處置的政策和流程。

當資產配置錯誤時，容易受到攻擊。除了不安全的存儲之外，過多的權限和使用默認憑據也是漏洞的另外兩個主要來源。

與此相關的是，無效的變更控制可能導致雲配置錯誤。在按需實時雲環境中，應自動進行變更控制，以支持快速變更。

CSA建議如下：

特別注意通過互聯網訪問的數據；

定義數據的業務價值及其損失的影響；

創建並維護強大的事件響應計劃。

CCM規範包括：

確保外部合作伙伴遵守內部開發人員使用的變更管理、發佈和測試程序；

定期進行風險評估；

與承包商、第三方用戶和員工一起進行安全意識培訓。

太多的組織在沒有適當的架構和策略的情況下使用雲。在使用雲之前，用戶必須瞭解面臨的威脅、如何安全遷移到雲以共同責任模型。

如果沒有適當的規劃，用戶將容易受到網絡攻擊，這些攻擊可能導致財務損失、聲譽損害以及法律和合規問題。

CSA 建議如下：

確保安全架構與業務目標和目標一致；

制定和實施安全架構框架；

實施連續的安全監控流程。

CCM規範包括：

確保風險評估策略，包括流程、標準和控制以保持相關性；

根據商定的服務級別和容量級別、IT治理以及服務管理策略和流程，設計、開發和部署業務應用程序，及API設計和配置，網絡和系統組件；

限制和監控網絡環境中受信任和不信任的連接之間的流量。

大多數雲安全威脅（以及一般的網絡安全威脅）可能與身份和訪問管理（IAM）問題相關聯。根據CSA指南，這源於以下問題：

不適當的憑據保護；

缺少自動加密密鑰、密碼和證書；

IAM可擴展性挑戰；

缺少多因素身份驗證；

弱密碼。

通過管理配置、殭屍帳戶、過度帳戶、繞過IAM控件以及定義角色和權限，進一步進行跟蹤、監控和管理所需雲帳戶的總數。

作爲客戶責任，CSA 建議如下：

使用雙重身份驗證；

對雲用戶和身份實施嚴格的IAM控制；

密鑰，刪除未使用的憑據和訪問權限，並採用中心、程序化密鑰管理。

CCM規範包括：

確定關鍵管理人並制定和維護關鍵管理政策；

分配、記錄和傳達履行解僱或程序變更的職責和職責；

及時取消用戶對數據和網絡組件的訪問。

雲帳戶劫持是雲帳戶的披露、意外泄漏、暴露或其他對雲環境的操作、管理。這些高度特權和敏感的帳戶如果被破壞，可能會造成巨大的後果。

從網絡釣魚、憑據填充、弱密碼或被盜憑據到不當編碼，帳戶泄露可能導致數據泄露和服務中斷。

作爲CSP和用戶的責任，CSA建議如下：

記住，帳戶劫持不僅僅是一個密碼重置；

使用深度防禦和IAM 控制。

CCM規範包括：

制定、記錄和採用統一的業務連續性計劃；

將生產和非生產環境分開；

維護並定期更新合規聯絡，爲需要快速參與執法調查做準備。

與員工和其他在組織網絡內工作的人相關的風險不僅限於雲。無論是疏忽還是故意，內部人員（包括現任和前任員工、承包商和合作夥伴）都可能導致數據丟失、系統停機、客戶信心下降和數據泄露。

必須解決客戶的責任、涉及泄露或被盜數據的內部威脅、憑據問題、人爲錯誤和雲配置錯誤。

CSA 建議如下：

開展安全意識培訓；

修復配置錯誤的雲服務器；

限制對關鍵系統的訪問。

CCM 規範包括：

在搬遷或傳輸硬件、軟件或數據之前需要授權；

授權和重新驗證用戶訪問控制，並計劃間隔；

從其他租戶分割多租戶應用程序、基礎設施和網絡。

用戶通過 CSP UI 和 API 與雲服務進行交互，是雲環境中最暴露的組件之一。任何雲服務的安全性都始於這些服務的維護程度，並且是客戶和 CSP 的責任。

必須確保安全集成，客戶必須努力管理、監控。CSA 建議如下：

良好的 API 習慣；

避免 API 密鑰重複使用；

使用標準和開放的API框架。

CCM 規範包括：

按照行業領先標準設計、開發、部署和測試 API，並遵守適用的法律、法規和監管義務；

隔離和限制對與組織信息系統交互的審計工具的訪問，以防止數據披露和篡改；

限制能夠覆蓋系統、對象、網絡、VM 和應用程序控制的實用程序。

雲控制平面是收集組織使用的雲管理控制檯和接口，是用的責任。根據CSA的數據，它還包括數據複製、遷移和存儲。被破壞的控制平面可能導致數據丟失、監管罰款和其他後果，以及品牌聲譽受損，可能導致收入損失。

CSA 建議如下：

需要從 CSP 獲得足夠的控制；

盡職調查以確定潛在的雲服務是否有足夠的控制平面。

CCM 規範包括：

建立和制定信息安全政策和程序，供內部人員和外部業務關係審查；

實施和運用防禦深入措施，及時發現和應對網絡攻擊；

制定策略來標記、處理和安全包含數據的數據和對象。

CSA 定義的元結構是"提供基礎設施層和其他層之間接口的協議和機制"，換句話說，"連接技術並實現管理和配置的膠水"。

也被稱爲水線，元結構是CSP和客戶之間的分界線。這裡存在許多安全威脅，例如，CSA 列舉了 CSP 執行不良的 API 或客戶使用不當的雲應用。此類安全挑戰可能導致服務中斷和配置錯誤，並造成財務和數據損失後果。

應用列表的定義是"部署在雲中的應用程序和用於構建它們的基礎應用程序服務（例如，PaaS 功能，如消息隊列、AI 分析或通知服務）。

報告的新威脅是客戶和 CSP 的責任。CSA 建議如下：

CSP 提供可見性和暴露緩解措施，以抵消租戶缺乏透明度；

CSP 進行滲透測試，向客戶提供調查結果；

客戶在雲原生設計中實現功能和控制。

CCM 規範包括：

制定和維護審計計劃，以解決業務流程中斷問題；

實施加密，以保護存儲、使用和傳輸中的數據；

制定存儲和管理身份信息的政策和程序。

雲可視化長期以來一直是企業管理員關注的問題，有限的可視化會導致兩個關鍵挑戰：

未經批准的應用使用；

批准的應用未按預期使用，包括授權使用該應用程序的用戶，以及通過 SQL 注入或 DNS 攻擊獲得的被盜憑據訪問的未經授權的個人。

CSA說，這種有限的可見性導致缺乏治理、意識和安全性，所有這些都可能導致網絡攻擊、數據丟失和泄露。

CSA 建議如下：

從上到下開發雲可視化；

強制和執行全公司範圍內對可接受的雲使用策略的培訓；

要求所有未經批准的雲服務由雲安全架構師或第三方風險管理機構審覈和批准。

CCM 規範包括：

定期進行風險評估；

使所有人員瞭解其合規和安全職責；

進行清點、記錄和維護數據流。

雲可以被惡意使用，對合法的 SaaS、PaaS 和 IaaS 產品的邪惡使用都會影響個人、雲用戶和 CSP。用戶容易受到以下雲服務的濫用：

分佈式拒絕服務攻擊

網絡釣魚

加密

單擊欺詐

蠻力攻擊

託管惡意或盜版內容

泄露和濫用的雲服務可能導致費用發生，例如，惡意挖礦或攻擊者付款，客戶在不知不覺中託管惡意軟件，數據丟失等。

CSA 建議 CSP 努力通過事件響應框架檢測和減輕此類攻擊。CSP 還應提供其客戶可用於監控雲工作負載和應用程序的工具和控制。

作爲客戶和 CSP 的責任，CSA 建議如下：

監控員工雲的使用；

使用雲數據丟失預防技術。

CCM 規範包括：

採取技術措施管理移動設備風險：

確定企業和用戶擁有的終端（包括工作站、筆記本電腦和移動設備）的限額和使用權限

創建並維護已批准的應用程序和應用程序商店列表。

雲安全的衡量可以分爲五個要素，分別是安全架構、合規性、實施盡職調查、監控網絡以及包含可靠的身份驗證協議。

1.安全架構

組織應瞭解其雲服務的安全侷限性。這包括提供商提供的內容以及組織負責的內容。例如，如果企業選擇提供"基礎服務"（IaaS）雲的服務提供商，則預計該企業將處理設置的大部分安全性。

這是因爲企業負責軟件，自己處理大多數安全配置。雖然有更多的工作量，但它也使組織能夠更直接地控制其安全設置方式。

另一方面，如果雲服務提供商負責雲服務軟件（SaaS），則提供商將強制執行應用程序和數據安全。對於組織來說工作量少，對雲安全的控制也較少。

總體而言，組織需要了解雲安全架構的要素，以瞭解安全覆蓋方面的潛在差距、它們的責任以及如何確保雲計算中的薄弱環節。

企業可能需要實施的項目包括虛擬防火牆和入侵檢測系統以及入侵預防系統 （IDS/IPS）。

2.雲安全合規

許多國家正在實施數據隱私法規，並對未能充分保護用戶數據的公司處以罰款。例如，歐盟的《通用數據保護條例》（GDPR）對違規行爲處以鉅額罰款。定期研究法規是組織的優先事項。

以下是安全方面經常參考的一些國際、國內和行業標準：

ISO27001 信息安全管理體系

ISO20000 IT服務管理體系

ISO 22301 業務連續性管理

ISO 27017 雲計算信息安全

ISO 27018 公有云個人信息安全防護

ITSS 工信部雲計算服務能力評估

網絡安全等級保護

可信雲服務認證

PCI DSS認證（支付卡行業數據安全）

企業應不斷分析和審查其合規性。此外，還應評估當前的安全措施，並注意最新的安全漏洞。黑客不斷髮現新的入境點。企業必須繼續接受這些新違規事件的教訓，直面潛在的攻擊。

4.監控和可視化

性能管理工具是監控雲網絡健康狀況的又一關鍵步驟。網絡性能管理（NPM）工具發現影響網絡的問題，如流量瓶頸和可疑活動，並提醒IT專業人員注意這些問題。

5.認證

企業應實施集中登錄管理系統、雲訪問安全代理（CASB）、加密、加密密鑰管理和兩步認證。所有這些工具都增加了阻止黑客滲透敏感數據的障礙。

四、如何構建有效的雲安全團隊

隨着越來越多的組織將關鍵工作負載和數據部署到雲中，越來越多的攻擊集中在這些環境中。

幾個不同的挑戰可能會使雲事件檢測和響應變得困難，包括：

缺乏雲技術技能：許多安全運營分析師和事件響應者沒有時間和能力瞭解雲環境和技術。

供應商不兼容：某些常用的安全操作工具和服務在雲服務提供商環境中可能功能較差或不兼容。

缺乏雲可視化：許多組織對其雲部署中的當前資產和運營缺乏深入的洞察力和反省，使安全操作更具挑戰性。

臨時工作量：雲中的許多工作負載（如容器）只存在很短的時間，使響應和分析變得困難或不可能。

安全運營中心（SOC）團隊必須適應雲環境。當雲在組織中開始變得更加普遍時，某些治理會自然發生。雲安全運營中心還需要與風險團隊協調，以瞭解哪些雲環境正在使用中，哪些環境計劃用於未來。如果雲SOC團隊不知道資產運行在哪裡或使用什麼應用程序，則無法識別攻擊或事件。

雲安全運營中心團隊還必須與IT的各個領域合作。組織不再將所有內容劃分在單個數據中心或一組數據中心中。SOC團隊需要與雲工程團隊（如果組織有）合作，以更好地瞭解組織正在與之合作的雲提供商以及部署的具體服務和資產。雲SOC團隊應利用這些信息優化自己的活動並與DevOps團隊集成。

有效的雲安全運營中心團隊操作

雲安全運營中心團隊應提前執行以下操作：

建立單獨的雲帳戶或完全在其控制下的訂閱。

創建最少的特權帳戶，以便在需要時在雲中執行特定操作，並定義帳戶角色（理想情況下用於跨帳戶訪問）。

對所有帳戶實施多因素身份驗證。

啓用一次寫入存儲日誌和證據，這是最佳做法，即使證據目前沒有存儲在雲中。例如，在 AWS 中，可以使用S3 存儲桶版本進行安全保留和恢復。

組織應啓用任何主要IaaS雲的日誌記錄和事件聚合。核心記錄架構涉及三個不同的功能：

啓用核心API記錄：其中包括AWS的雲跟蹤、Azure的活動日誌以及Google雲平臺（GCP）的操作。

集成日誌攝入和處理服務：某些服務可以直接從存儲中引導日誌。大多數雲記錄最好通過將日誌傳遞到連接和攝錄的中間服務中來完成，例如亞馬遜雲觀察、Azure 監視器或 GCP雲記錄。

導出用於處理或與其他服務集成的日誌：一旦日誌被處理並傳遞給其他服務，請選擇最合適的連接模型。對於雲中日誌處理和響應，這通常通過事件處理和與無服務器和其他工具的集成來處理。

當然，每個雲提供商都有自己的特定選項和差異。Azure用戶可以直接從Azure監視器集成到微軟原生的SIEM工具。AWS用戶可以集成來自領先提供商（如Splunk和其他SIEM工具）的第三方連接器應用，以便從 CloudTrail S3 存儲桶中攝取，或流式傳輸到 Kinesis 等服務中以進行攝取。

五、公有云與私有云安全的區別

無論企業的基礎設施是私有云、公有云還是混合雲中，網絡安全都是一個關鍵組成部分。雖然某些雲架構大大簡化了安全任務和工具集成，但它往往以不靈活爲代價。

公有云安全

組織可以使用第三方雲服務提供商（CSP）來管理其數據中心基礎設施內的應用程序和數據。許多CSP還提供內置的安全工具，以幫助保護業務關鍵數據。

公有云安全優勢

由於各種原因，企業被公有云基礎設施所吸引，包括資本支出低、服務可擴展性和減輕內部 IT 員工的管理工作量。公有云基礎設施安全優勢包括：

減輕負載：大型CSP通常大量投資於高端網絡安全工具，以及在其領域知識淵博的員工。這使得將網絡安全工具和任務從內部卸載到第三方具有高度吸引力。

解決網絡安全技能差距問題：CSP的能力減少了僱傭昂貴且稀缺的信息安全人才的需求。

公有云安全缺點

一些企業，尤其是擁有大量IT基礎設施的大型企業，可能會發現公有云安全不適合。潛在的公有云安全挑戰包括：

CSP安全性未達到標準：在某些情況下，CSP的網絡安全工具、流程和方法不足以保護高度敏感的數據。

能見度不足：較大的組織通常需要能夠獲取和分析日誌、警報和其他數據，直至數據包級別。對於許多CSP，尤其SaaS，客戶無法訪問這些安全信息。這是因爲大多數基礎技術都是抽象的，目的是從客戶的角度簡化管理。

私有云安全

顧名思義，私有云允許企業訪問雲中的專用基礎設施資源。與公有云一樣，既有利也有弊。

私有云安全優勢

私有云對尋求對基礎基礎設施進行更精細控制的組織很有吸引力。這通常包括客戶配置訪問網絡、OS和服務器虛擬化平臺。從安全角度來看，私有云的優勢包括：

更好的控制：內部管理員在實施和訪問安全工具方面具有更大的靈活性。

完全可見性：通過私有云，該業務可對其網絡安全態勢獲得全面控制和可見性，並可以根據其特定需求對其進行自定義。

私有云安全缺點

私有云與公有云安全之間的差異正在變得明顯，尤其是在控制方面。然而，私有云的靈活性在定價和管理兩個方面都付出了代價。

財務成本：運營私有云通常比公有云更昂貴。企業爲精細化雲控制和可見性支付額外費用。

管理成本：設計和維護私有云中的網絡安全工具大大增加了管理責任。

出於這兩個原因，至關重要的是，IT決策者必須仔細權衡私有云的網絡安全優勢與增加的財務支出和間接管理費用。

混合雲安全性

另外，有在混合雲環境中運營的組織。這是一些業務應用程序和數據位於公有云中，而其他則在私有云或私有數據中心內。

混合雲安全優勢

與混合雲，整體可能大於其部分的總和。混合雲基礎架構的安全優勢包括：

兩全其美：混合雲企業架構結合了公有云和私有云的最佳功能，可以提供最大的安全性。

靈活性：混合模型使IT管理員有權決定應用程序和數據將位於何處，例如雲或企業數據中心。

混合雲安全挑戰

與私有云一樣，混合雲基礎架構的靈活性也有其缺點。例如，關於應用程序和數據所在位置的決定是一項重大責任，需要進行大量評審。組織應考慮混合雲模型的以下潛在缺點：

策略執行面臨挑戰：網絡安全政策可能變得難以複製，並擴展到公有云和私有云以及本地數據中心。在某些雲架構（如SaaS）中，可能無法複製在公司基礎架構的安全策略。

安全不一致：由於測了執行問題，某些應用程序和數據可能不如其他應用程序和數據安全。

需要更多的技能：安全管理員必須處理不同的方法和工具，根據脆弱資源所在的位置監控和執行威脅。

如何確定最佳雲安全架構

在雲計算和雲安全方面，沒有一種架構適合所有業務。IT架構師必須衡量所有業務應用程序和數據集的網絡安全需求。一旦定義，技術服務可以分類並指定部署在公有云或私有云中，無論從成本還是網絡安全的角度來看，這些都最有意義。

六、雲安全實踐

雲安全最佳實踐全包括：理解和實施安全基本原理、遵守共同責任模型、數據加密和遵守適用法規。

1. 瞭解提供商的安全模型

在使用雲產品之前，SOC需要了解雲提供商的安全模型。首先，供應商對類似概念使用不同的術語。例如，用戶可能會使用AWS中的標籤組織資產，但不能在谷歌雲平臺項目中使用，這會影響雲安全策略的實施方式，因此瞭解術語有助於防止錯誤。

其次，從運營的角度來看，SOC需要了解哪些安全功能可用，以及這些功能的潛在值或侷限性。

2. 加密數據

大多數雲提供商，尤其是較大的提供商，都提供對其創建的VM進行加密的功能。此加密功能通常是免費的或低成本可用。鑑於較低的財務和運營影響，使用此加密功能（如果默認情況下尚未打開）是一個明智的決定。

3.始終給程序打補丁

雲用戶主要負責保持工作負載的最新，在大多數情況下，這包括操作系統應用軟件。正如需要適當修補和維護本地服務器一樣，對雲工作負載也要保持同樣的警惕。雖然這聽起來像是常識，但一致的修補可能比看起來更加困難。當雲資源在不同組內或通過不同的操作過程進行管理時，情況尤其如此。

4.監控

關注任何基於雲的資產都是常識。但是，監控功能可以位於組織內的不同部門中。此外，提供商還通過不同的接口提供各種監控機制。這些挑戰需要規劃和遠見，以確保持續和高效的雲監控。

5. 管理訪問

需要考慮多身份和訪問管理（IAM）。首先，操作系統、應用程序和中間件。第二，在操作系統級別考慮特權訪問。

請注意，雲訪問還包括控制檯和其他功能，這些功能可提供有關雲資源的信息或影響雲資源的運行。因此，瞭解誰有權訪問控制檯以及出於何種目的至關重要。

6.雲中的文檔資產

在雲中保護數據時，組織需要準確記錄雲中的資產以及這些資產的當前安全狀況。許多工具使技術專業人員能夠找到資源：真正的挑戰是確切地找出需要記錄哪些資源。

除了顯而易見的情況，例如工作負載的運行位置，還需要查找以下資源：

身份和訪問管理用戶和管理員帳戶特權；

與雲帳戶關聯的所有公共IP地址，如果任何IP地址已被劫持，請提供預警；

資產與資源之間的關係，以發現潛在的攻擊路徑；

密鑰和關鍵特徵，包括禁用密鑰的時間閥值。

一旦組織設置雲環境，測試便是常態。大型且不斷增長的工具庫可用於使組織能夠對環境進行滲透測試、錯誤配置測試和各種形式的漏洞測試，有些工具可以搜索密鑰和密碼。總之，攻擊者將針對組織使用的所有工具、技術和程序都可用於加強雲環境。

8.創造現場安全培訓機會

"實彈射擊訓練"已成爲消防部門的主要科目。現場消防訓練是指購買建築物，裝備它完全像一個典型的住宅或辦公室，然後放火，並派遣消防員來控制火災的做法。因此，消防員可以深入瞭解火災在不同條件下的行爲，並瞭解自己在火災現場壓力下的弱點和趨勢。

雲環境現場培訓相當於實彈射擊訓練，是雲環境和雲應用的套件。這些工具包含錯誤配置和漏洞，可以快速輕鬆地設置，以培訓雲工程師如何檢測和補救常見的配置缺陷和安全漏洞。這種環境應成爲組織培訓計劃的一部分。使用遊戲化，並獎勵那些最快速、最有效地發現漏洞的網絡安全專家。

9.隨時瞭解新出現的威脅

組織需要跟蹤新出現的威脅，包括複雜的跨國攻擊，這些攻擊越來越多地使用雲服務。這樣做的好方法是通過Mitre ATT&CK框架，該框架跟蹤威脅，並將攻擊分解爲技術和戰術，如憑據訪問、特權升級、發現等。ATT&CK 框架還提供補救建議和對攻擊者行爲和活動的最新見解。其他保持知情的方法包括訂閱來自供應商和第三方組織的威脅情報源，以及參與其他網絡安全組織。

七、雲安全專家認證

認證可以幫助安全專業人士證明他們對信息安全主題的基線知識。許多尋求雲安全職業的專業人士將求助於認證，以推進他們的學習，向潛在的僱主證明他們的知識。

雖然關於安全認證計劃價值的爭論非常激烈，但它們仍然是僱主篩選應聘者和評估被面試者基線知識的主要方式之一。

信息安全行業已經存在了幾十年，並擁有一些最知名的認證。CISSP於1994年發佈，ISACA 的認證信息系統審覈員認證可追溯到1978年。

這些較老、成熟的認證提供商在其材料中添加了雲組件，但這些附加組件的深度通常相當有限。

來了解一些已經引入了專門的、深入的雲安全認證的認證提供商，以及雲安全專業人士在實施這些認證時可以期待什麼。

1. ISC認證雲安全專業人員 CCSP

最知名的雲安全認證是ISC的CCSP，雖然ISC的CISSP現在包含更多的雲材料，其專門的CCSP計劃將其提升到一個新的水平，涵蓋從雲應用安全到雲平臺安全等各種與雲相關的主題。

在獲得認證前必須至少具有五年的有償工作經驗。三年必須是信息安全，一年必須在 CCSP 知識共同機構（CBK）包含的六個域中的一個或多個領域：

雲概念、架構和設計

雲數據安全

雲平臺和基礎設施安全

雲應用安全性

雲安全操作

法律、風險和合規

雲安全聯盟的雲安全知識證書（CCSK）可以替代CCSK域的一年經驗，也可以替代 CISSP 的整個 CCSP 體驗要求。

2. CSA 雲安全知識證書CCSK

CSA 的CCSK是 CCSP 認證的較輕替代方案。該認證於2010年推出，致力於雲安全，與 CCSP 一樣，它深入到技術細節中。

CCSP 和 CCSK 之間存在一些重大差異。例如，CBK 對於 CCSK 來說不像 CCSP 那樣廣泛。CCSK 的研究材料 （來自 CSA 雲安全指南v4、CSA 雲控制矩陣和歐盟網絡安全雲計算風險評估機構報告 ）在互聯網上免費提供，因此無需任何書籍或培訓課程。此外，CCSK認證沒有先決條件或經驗要求。此外，CCSK考試可在線提供，並且是開放式書籍。

CCSK 是入門級到中端安全專業人員的一個很好的替代雲安全認證，對雲數據安全感興趣，但沒有理由花費 CCSP 認證所需的時間和成本。

3. GIAC 雲安全自動化 （GCSA）

GIAC的GCSA認證於2020年4月推出，專爲致力於保護雲和DevOps環境的開發人員、分析師和工程師設計。它包括配置管理自動化、持續集成/持續交付和持續監控以及如何使用開源工具、AWS工具鏈和Azure服務等主題。

GIAC 認證沒有先決條件，但它基於SANS研究所的線下或在線SEC540：雲安全和DevOps自動化課程。這個爲期五天的課程包括五個部分的主題：

開發人員介紹

雲基礎設施和編排

雲安全操作

雲安全作爲服務

合規性作爲代碼

考試可以自行購買，也可以在與SANS培訓一起購買時以折扣價購買。購買認證嘗試附帶兩個練習測試，它們與考試格式相同。

4. Mile認證雲安全官 （CCSO）

Mile的CCSO認證包括爲期五天的課程，包括講師主導的課程、自學時間和實時虛擬培訓。

CCSO由15個模塊組成：

雲計算和架構簡介

雲安全風險

ERM（企業風險管理）和治理

法律問題

虛擬化

數據安全

數據中心運營

互操作性和可移植性

傳統安全

BCM（業務連續性管理）和 DR

事件響應

應用安全性

加密和密鑰管理

身份、權利和訪問管理

審計和合規

它還由23個實驗室組成，包括虛擬化、Azure中的PaaS和SaaS的關鍵管理。

作爲Mile雲安全和虛擬化職業道路的一部分，這種高級認證非常適合在虛擬化、雲管理、審計和合規方面尋求職業的專業人士。

5. Arcitura認證雲安全專家

Arcitura提供多個雲認證專業（CCP）認證。其認證雲安全專家認證特別側重於與雲平臺、雲服務和其他雲技術（如虛擬化）相關的安全威脅。認證雲安全專家認證面向IT和安全專業人員和雲架構師，由五個模塊組成：

C90.01 基礎雲計算

C90.02 雲技術概念

C90.07 基本雲安全

C90.08 先進雲安全

C90.09 雲安全實驗室

完成這五個模塊及其各自的考試將獲得認證雲安全專家認證。建議IT一般背景，按順序進行考試，例如，C90.01必須在C90.02之前完成。

Arcitura提供三種考試形式：涵蓋所有五個模塊的單一考試：僅測試模塊7、8和9的部分考試（如果完成第1和第2模塊以進行不同的認證）：或五個單獨的模塊特定的考試。模塊特定的考試可通過VUE在線獲得。

6. 和7. CompTIA Cloud Essentials+和Cloud

CompTIA提供兩項認證，雖然不針對安全性，但涵蓋雲安全主題。Cloud Essentials+面向雲業務決策，而Cloud+更關注技術雲實現。

入門級Cloud Essentials+認證涵蓋特定的雲安全問題和措施，以及風險管理、事件響應和合規性。建議擁有六個月至一年的IT業務分析師經驗以及一些雲技術經驗。更深入的Cloud+ 認證涵蓋如何實施適當的安全控制，以及如何解決雲中的安全問題。建議擁有兩到三年的系統管理經驗。

8. EXIN 集成商安全雲服務認證

EXIN提供許多安全和雲課程。其認證集成商安全雲服務認證在符合特定雲計算和安全資格時頒發。其中包括獲得三項EXIN或CCC認證：

服務管理認證：

EXIN IT服務管理（ITSM）基金會;

VeriSM 基金會或以下機構之一：基於ISO 20000（任何級別）、EXIN BCS 服務集成和管理（任何級別）或ITIL（任何級別）的VeriSM 專業、EXIN ITSM：

EXIN BCS SIAM Foundation

雲計算認證：

EXIN 雲計算基礎或 CCC 雲計算證書

安全管理認證：

EXIN 網絡和 IT 安全基金會

基於ISO/IEC 27001的EXIN信息安全

雖然此認證並非純粹致力於雲安全，但它確保認證專業人員在IT安全和雲環境中都非常熟練。

供應商特定的雲安全認證

由於許多企業與一些特定的供應商和技術合作，因此其安全團隊成員在這些領域持有認證可能會取得豐碩成果。

九、雲安全發展趨勢

雲安全的發展趨勢是軟件定義安全即安全虛擬化。另外，從Gartner發佈的2020年雲安全技術成熟度曲線，也看一窺雲安全未來的發展趨勢。

安全虛擬化

安全虛擬化是安全功能從專用硬件設備向軟件的轉變，軟件可以在商業硬件之間輕鬆遷移或在雲中運行。

計算和網絡環境的虛擬化程度的提高，對靈活、基於雲的安全性提出了更多的要求。網絡和安全數據中心動態創建基於軟件的網絡和計算功能，如虛擬機VM，因此安全功能也必須以便攜式方式虛擬化，以便隨應用程序和計算工作負載一起移動。

物理安全設備通常插入到網絡外圍以提供保護，使經過驗證的用戶能夠訪問網絡。在虛擬環境中，網絡、工作負載和虛擬機器不斷被設置、銷燬，並在數據中心或網絡內遷移。此外，由於多個虛擬網絡可以跨相同的基礎物理基礎設施運行，因此安全性必須解決每一層虛擬化問題。例如，虛擬機具有額外的安全複雜性，因爲它們作爲數字文件運行，無論物理基礎設施如何，都可以遷移，從而帶來安全風險。這些趨勢推動了更多的安全虛擬化。

安全虛擬化使用安裝在虛擬安全網絡上的軟件來監控工作負載、應用程序和對虛擬機的訪問。安全還可以管理訪問虛擬網絡和工作負載本身的安全策略。

虛擬化安全中的兩個常見概念是分割和隔離。通過細分，特定的網絡資源只能訪問指定的應用程序和用戶。除了物理安全設備之外，虛擬軟件還可以實現這一點。另一個重要的方法是隔離，它允許離散的應用程序和工作負載在同一網絡上獨立運行。這方面的一個例子是細分處理敏感信息（如信用卡數據）的網絡部分。

隨着軟件定義網絡（SDN）的出現，細分可以內置於虛擬網絡織物中。例如，SDN網絡可以設置爲具有多個安全層，具體取決於分配給各種應用程序的策略。SDN安全的另一個趨勢是微分化方法，即在應用程序和工作負載級別上添加額外的安全層。

微分段將特定的安全策略應用於工作負載和應用程序，使安全功能能夠跟蹤網絡周圍的工作負載，這種方法在當今的虛擬基礎設施中很常見。

安全虛擬化是一個可能持續多年的強勁趨勢，因爲雲中運行的應用程序越來越多，網絡也越來越虛擬化。需要安裝新的安全軟件，以監控和管理虛擬基礎設施上的數據安全策略。

安全虛擬化將安全功能從硬件轉移到軟件分割和隔離都是安全虛擬化中使用的概念。隨着更多應用在雲中運行，虛擬網絡繼續增長，安全虛擬化可能會持續下去。

Gartner2020雲安全技術成熟度曲線

Gartner 提醒關注雲基礎設施權利管理（CIEM）、SaaS安全態勢管理（SSPM）、安全訪問服務邊緣（SASE）。

雲基礎設施權利管理（CIEM）

Gartner將雲基礎設施權利管理（CIEM）定義爲以身份爲中心的專門SaaS解決方案，專注於通過控制管理時間，來管理混合和多雲IaaS架構中的應享權利和數據管理中的雲訪問風險。CIEM通常依靠分析、機器學習 （ML）和先進的統計技術來檢測帳戶應享權利中的異常情況。

SaaS 安全態勢管理 （SSPM）

Gartner將SSPM定義爲持續評估安全風險和管理SaaS應用程序安全態勢的工具。核心功能包括報告本機SaaS安全設置的配置，併爲改進配置以降低風險提供建議。可選功能包括與行業框架的比較以及自動調整和重新配置。

安全訪問服務邊緣 （SASE）

Gartner預測，到2024年，至少有40%的企業將制定明確的戰略來採用SASE，高於2018年底的不到1%。安全訪問服務邊緣（SASE）是當今最被誇大的雲安全領域之一，Gartner提醒注意過渡營銷信息。

安全訪問服務邊緣 （SASE），發音爲"sassy"，支持安全分支機構和遠程工作人員訪問。SASE 的雲交付服務集，包括零信任網絡訪問和軟件定義的 WAN，正在推動快速採用。

疫情提示了業務連續性計劃的必要性，包括靈活、隨時隨地、大規模安全的遠程訪問，甚至來自不受信任的設備。SASE使安全團隊能夠以一致的方式提供安全的網絡和安全服務，以支持數字業務轉型和勞動力流動。

Gartner預測，零信任網絡訪問（ZTNA）和微分段將在未來兩年內在Hype週期和潛在的網絡安全市場合並。隨着基於身份和角色的接入增強基於網絡的雲資源和應用程序的訪問，合併ZTNA和微分段的障礙逐漸消失，導致這一市場領域的整合。Gartner指出，ZTNA 解決了組織面臨的用戶對應用場景，而基於身份的細分則處理了組件到組件的情景。合併它們使組織能夠實現更全面的零信任安全框架。

參考文檔：

1. https://searchcloudsecurity.techtarget.com/Guide-to-cloud-security-management-and-best-practices?

2. https://searchnetworking.techtarget.com/tip/5-basic-steps-for-effective-cloud-network-security?

3. https://searchcloudsecurity.techtarget.com/tip/The-best-cloud-security-certifications-for-IT-professionals?

4. https://searchcloudsecurity.techtarget.com/tip/Top-cloud-security-challenges-and-how-to-combat-them?

5. https://searchcloudsecurity.techtarget.com/tip/Private-vs-public-cloud-security-Benefits-and-drawbacks?

6. https://searchcloudsecurity.techtarget.com/tip/5-tips-to-better-secure-cloud-data?

7. https://searchcloudsecurity.techtarget.com/tip/5-step-IaaS-security-checklist-for-cloud-customers?

瞭解新鈦雲服

往期技術乾貨