翻译2020年云安全综合指南(风险,最佳实践,认证)


翻译自:https://kinsta.com/blog/cloud-security/#what-is-kaspersky-security-cloud
在这里插入图片描述
云安全性包含技术,控件,流程和策略,这些技术,控件,流程和策略结合起来可以保护基于云的系统,数据和基础架构。它是计算机安全性(更广泛地说是信息安全性)的子域。

这是您和您的云服务提供商之间的共同责任。您实施云安全策略来保护您的数据,遵守法规遵从性并保护客户的隐私。反过来又可以保护您免受数据泄露和数据丢失的声誉,财务和法律影响。

云安全共享责任模型
云安全共享责任模型(图片来源:Synopsys)

云安全性是所有组织的关键要求。特别是根据(ISC)2的最新研究报告,有93%的组织对云安全性有中度或高度关注,四分之一的组织确认了过去12个月中的云安全事件。

在本文中,我们将创建有关云安全性的综合指南。您将探索迁移到云的安全风险,了解为什么需要云安全,并发现云安全最佳实践。我们还将涵盖诸如如何评估云服务提供商的安全性以及如何确定认证和培训以提高云安全性等主题。

文章目录

  • 1、云安全如何工作?
      • 1.1身份和访问管理
      • 1.2人身安全
      • 1.3威胁情报,监视和预防
      • 1.4加密
      • 1.5云漏洞和渗透测试
      • 1.6微细分(Micro-Segmentation)
      • 1.7下一代防火墙
  • 2、7个云计算的安全风险
      • 2.1失去可见性
      • 2.2违反合规性
      • 2.3缺乏云安全战略和架构
      • 2.4内部威胁
      • 2.5违约
      • 2.6不安全的应用程序用户界面(API)
      • 2.7云服务的配置错误
  • 3、为什么需要云安全
      • 3.1网络安全威胁持续增加
      • 3.2防止数据泄露和数据丢失
      • 3.3避免违反合规性
      • 3.4维持业务连续性
      • 3.5云安全优势
        • 3.5.1集中安全
        • 3.5.2降低成本
        • 3.5.3减少管理
        • 3.5.4更高的可靠性
  • 4、云安全最佳实践
      • 4.1选择受信任的提供商
      • 4.2了解您的共同责任模式
      • 4.3查看您的云提供商合同和SLA
      • 4.4培训您的用户
      • 4.5控制用户访问
      • 4.6保护您的用户端点
      • 4.7保持云服务的可见性
      • 4.8实施加密
      • 4.9实施强大的密码安全策略
      • 4.10使用云访问安全代理(CASB)
  • 5、针对云客户的十大安全清单建议
      • 5.1保护运输中的数据和静止数据
      • 5.2资产保护
      • 5.3可见性与控制
      • 5.4可信安全市场和合作伙伴网络
      • 5.5安全的用户管理
      • 5.6合规与安全集成
      • 5.7身份和认证
      • 5.8运营安全
      • 5.9人员安全
      • 5.10安全使用服务
  • 6、什么是云安全联盟?
      • 6.1会员资格
      • 6.2保证
      • 6.3教育
      • 6.4研究
      • 6.5社区
  • 7、什么是卡巴斯基安全云?
      • 7.1卡巴斯基安全云中的核心功能
        • 7.1.1扫瞄
        • 7.1.2隐私
        • 7.1.3家庭网络
        • 7.1.4高清健康
  • 8、什么是云访问安全代理(CASB)?
      • 8.1CASB如何工作?
      • 8.2反向代理
      • 8.3转发代理
      • 8.4API模式
      • 8.5CASB中的功能支柱
        • 8.5.1可见度
        • 8.5.2数据安全
        • 8.5.3威胁防护
        • 8.5.4合规
  • 9、2020年排名前5位的云访问安全代理
      • 9.1迈克菲
      • 9.2微软
      • 9.3Netskope
      • 9.4赛门铁克
      • 9.5Bitglass
  • 10、展望2020年十大云安全认证
      • 10.1(ISC)2 –认证的云安全专家(CCSP)
      • 10.2云安全联盟–云安全知识证书(CCSK)
      • 10.3AWS认证的安全性–专业
      • 10.4微软认证:Azure安全工程师助理
      • 10.5Google Cloud –专业的云安全工程师
      • 10.6阿里巴巴ACA云安全认证
      • 10.7阿里巴巴ACP云安全认证
      • 10.8云认证委员会–专业云安全经理认证(PCS)
      • 10.9Oracle Cloud Platform身份和安全管理2019认证助理
      • 10.10SANS SEC524:云安全和风险基础

1、云安全如何工作?

云安全是技术,控制,流程和策略的复杂交互。高度个性化的实践可满足您组织的独特要求。

因此,没有一个单一的解释涵盖云安全的“工作原理”。
在这里插入图片描述
幸运的是,您可以使用一套广泛建立的策略和工具来实现强大的云安全设置,其中包括:

1.1身份和访问管理

所有公司都应具有身份和访问管理(IAM)系统,以控制对信息的访问。您的云提供商将直接与您的IAM集成,或提供自己的内置系统。IAM结合了多因素身份验证和用户访问策略,可帮助您控制谁有权访问您的应用程序和数据,他们可以访问什么以及他们可以对您的数据执行什么操作。

1.2人身安全

物理安全性是云安全性的另一个支柱。它是多种措施的组合,可防止直接访问和破坏云提供商的数据中心中容纳的硬件。物理安全包括通过安全门,不间断电源,闭路电视,警报,空气和颗粒过滤,防火等来控制直接进入。

1.3威胁情报,监视和预防

威胁情报,入侵检测系统(IDS)和入侵防御系统(IPS)构成了云安全性的基础。威胁情报和IDS工具可提供功能,以识别当前以您的系统为目标或将成为未来威胁的攻击者。IPS工具实现了减轻攻击并向您发出警报的功能,因此您也可以做出响应。

1.4加密

使用云技术,您正在与云提供商的平台之间来回发送数据,通常将其存储在其基础架构中。加密是云安全的另一层,可通过在静止和传输时对其进行编码来保护您的数据资产。如果没有只有您才能访问的解密密钥,这可以确保几乎无法解密数据。

1.5云漏洞和渗透测试

维护和改善云安全性的另一种做法是漏洞和渗透测试。这些做法涉及您-或您的提供商-攻击您自己的云基础架构,以找出任何潜在的弱点或漏洞。然后,您可以实施解决方案来修补这些漏洞并提高安全性。

1.6微细分(Micro-Segmentation)

微分段在实施云安全性中越来越普遍。这是将您的云部署划分为不同的安全段,直至各个工作负载级别的一种做法。

通过隔离单个工作负载,您可以应用灵活的安全策略以最大程度地减少攻击者获得访问权限后可能造成的损害。

1.7下一代防火墙

下一代防火墙是云安全难题中的另一部分。它们使用传统的防火墙功能和较新的高级功能来保护您的工作负载。传统的防火墙保护包括数据包筛选,状态检查,代理,IP阻止,域名阻止和端口阻止。

下一代防火墙增加了入侵防御系统,深度数据包检查,应用程序控制以及对加密流量的分析,以提供全面的威胁检测和防御。
在这里插入图片描述

2、7个云计算的安全风险

无论您是否在云中运行,安全性都是所有企业都关心的问题。您将面临诸如拒绝服务,恶意软件,SQL注入,数据泄露和数据丢失等风险。所有这些都会极大地影响您的企业声誉和底线。

当您迁移到云时,会引入一系列新的风险并改变其他风险的性质。这并不意味着云计算并不安全。实际上,许多云提供商都提供了对高级安全工具和资源的访问,而这些是您以前无法访问的。

这只是意味着您需要了解风险的变化以减轻风险。因此,让我们看一下云计算的独特安全风险。

2.1失去可见性

大多数公司将通过多个设备,部门和地理位置访问一系列云服务。如果没有适当的工具,那么云计算设置中的这种复杂性会使您失去对基础架构访问的可见性。

如果没有正确的流程,您将看不到谁在使用您的云服务。包括他们正在访问,上传和下载的数据。

如果看不到它,就无法保护它。增加数据泄露和数据丢失的风险。

2.2违反合规性

随着法规控制的增加,您可能需要遵守一系列严格的合规性要求。迁移到云中时,如果不小心,会带来违反合规性的风险。

这些法规中的许多要求您的公司知道您的数据在哪里,谁可以访问它,如何处理它以及如何对其进行保护。其他法规要求您的云提供商拥有某些合规性凭证。

粗心地将数据传输到云或转移到错误的提供商,可能会使您的组织处于违规状态。引入潜在的严重法律和财务影响。

2.3缺乏云安全战略和架构

您可以轻松避免这种云安全风险,但许多风险却无法避免。急于将系统和数据迁移到云中,许多组织早在安全系统和策略得以保护其基础结构之前就已投入运营。

确保实施旨在使云与系统和数据保持同步的安全策略和基础架构。

2.4内部威胁

您值得信赖的员工,承包商和业务合作伙伴可能是您最大的安全隐患。这些内部威胁不需要恶意意图即可对您的业务造成损害。实际上,大多数内幕事件源于缺乏培训或疏忽大意。

当您当前面临此问题时,迁移到云将改变风险。您将对数据的控制权交给了云服务提供商,并从提供商的员工中引入了新的内部威胁层。

2.5违约

您拥有的任何合同合作伙伴关系都将限制如何使用共享数据,如何存储共享数据以及授权谁访问共享数据。您的员工在未经授权的情况下不经意间将受限制的数据转移到云服务中可能会违反合同,从而可能导致法律诉讼。

确保您阅读了云提供商的条款和条件。即使您有权将数据移动到云中,某些服务提供商也有权共享上传到其基础架构中的所有数据。由于无知,您可能无意间违反了保密协议。

2.6不安全的应用程序用户界面(API)

在云基础架构中使用操作系统时,您可以使用API??来实现控制。Web或移动应用程序中内置的任何API都可以由员工内部提供,也可以由消费者外部提供。

面向外部的API可能会带来云安全风险。任何不安全的外部API都是网关,旨在为希望窃取数据和操纵服务的网络犯罪分子提供未经授权的访问。

不安全的外部API的最突出示例是Facebook – Cambridge Analytica Scandal。Facebook不安全的外部API赋予Cambridge Analytica对Facebook用户数据的深度访问权限。

2.7云服务的配置错误

云服务配置错误是另一个潜在的云安全风险。随着服务范围和复杂性的增加,这是一个日益严重的问题。云服务的配置错误会导致数据公开暴露,操纵甚至删除。

常见原因包括保留高度安全的数据的默认安全性和访问管理设置。其他措施包括不匹配的访问管理,使未经授权的个人可以访问;以及损坏的数据访问,其中机密数据无需授权即可打开。

3、为什么需要云安全

云技术的大规模采用以及不断增长的网络威胁和复杂的网络威胁,共同推动了对云安全的需求。反思上面概述的采用云技术带来的安全风险,若无法缓解这些风险可能会产生重大影响。

但这并不全都是消极的,云安全也可以带来巨大的好处。让我们探讨为什么云安全性是关键要求。

3.1网络安全威胁持续增加

安全的云实践的驱动力是网络犯罪分子的数量和复杂程度不断增加的威胁。为了量化威胁,来自(ISC)2 的云安全报告发现,有28%的企业在2019年发生了云安全事件。英国政府还报告说,在过去12个月中,有32%的英国企业遭受了系统攻击。

3.2防止数据泄露和数据丢失

这些日益增加的网络威胁的结果是数据泄露和数据丢失的频率和数量的加速。仅在2019年的前6个月,诺顿新兴威胁报告就概述了超过40亿条记录被泄露的情况。

丢失或破坏数据泄露可能会产生重大的法律,财务和声誉影响。IBM现在在其最新报告中估计,数据泄露的平均成本为392万美元。

3.3避免违反合规性

我们已经提到了云安全性如何承担违规风险。为了证明不遵守法规的含义,您只需要观察德国联邦隐私监管机构,该机构最近就违反欧盟《通用数据保护条例》(GDPR)向1&1电信公司处以955万欧元的罚款。

3.4维持业务连续性

良好的云安全性有助于维持您的业务连续性。防御诸如拒绝服务攻击(DDoS攻击)之类的威胁。计划外中断和系统停机会中断您的业务连续性并影响您的利润。据Gartner的一个调查研究估计,平均每分钟$ 5600的停机成本。

3.5云安全优势

除了威胁防护和避免不良做法的后果外,云安全还提供了使它成为企业必需的优势。这些包括:

3.5.1集中安全

与以云计算集中应用程序和数据的方式相同,以云安全集中保护。帮助您提高可见性,实施控制并更好地防御攻击。将所有功能都集中到一处,还可以改善您的业务连续性和灾难恢复。

3.5.2降低成本

著名的云服务提供商将提供内置的硬件和软件,以全天候保护您的应用程序和数据。这样就无需在您自己的设置中进行大量的财务投资。

3.5.3减少管理

迁移到云引入了安全性的共享责任模型。这可以大大减少投入用于管理安全性的时间和资源。云服务提供商将负责跨存储,计算,网络和物理基础架构保护其基础架构(以及您)。

3.5.4更高的可靠性

领先的云服务提供商将提供您可以依靠的尖端云安全硬件和软件。您将获得连续服务的访问权限,您的用户可以在任何设备上从任何地方安全地访问数据和应用程序。

4、云安全最佳实践

将系统迁移到云中时,许多安全过程和最佳实践保持不变。但是,为了维护基于云的系统和数据的安全性,您将遇到一系列新的挑战。

为了帮助您应对这一挑战,我们针对基于云的部署编制了一系列安全最佳实践。

4.1选择受信任的提供商

云安全最佳实践的基础建立在选择可信赖的服务提供商上。您想与提供最佳内置安全协议并符合最高水平的行业最佳实践的云提供商合作。

为您扩展合作伙伴和解决方案市场的服务提供商,以进一步增强部署的安全性。

值得信赖的提供商的标志体现在他们所拥有的一系列安全合规性和认证中。任何好的提供者都可以将其公开。例如,所有领先的提供商(如Amazon Web Services,阿里云,Google Cloud和Azure)都提供透明的访问权限,您可以在其中确认其安全合规性和认证。

除此之外,选择受信任的提供者还有许多因素。我们将在本文后面的内容中介绍这十大清单,以评估任何云提供商的安全性。

4.2了解您的共同责任模式

当与云服务提供商合作,和你移动你的系统和数据到云中,你进入了安全实现责任共担的合作伙伴关系。

最佳实践的关键部分包括审查并了解您的共同责任。发现哪些安全任务将留在您的手中,以及哪些任务现在将由提供商处理。

这取决于您选择软件即服务(SaaS),平台即服务(PaaS),基础架构即服务(IaaS)还是本地数据中心。
在这里插入图片描述
像AWS,Azure,Google Cloud Platform和阿里云这样的领先云服务提供商都发布了所谓的安全共享责任模型。确保透明度和清晰度。确保您查看了云服务提供商的责任共担模型。

4.3查看您的云提供商合同和SLA

您可能不应该考虑将云合同和SLA视为安全最佳实践的一部分。SLA和云服务合同仅是事件发生时提供服务和追索权的保证。

条款和条件,附件和附录中有很多内容可能会影响您的安全性。合同可能意味着您的云服务提供商负责您的数据和拥有它之间的区别。

根据McAfee 2019云采用和风险报告,有62.7%的云提供商未指定客户数据归客户所有。这将创建一个合法的灰色区域,提供商可以在其中声明对您所有上载数据的所有权。

如果终止服务,请检查谁拥有数据以及数据将如何处理。另外,请弄清楚是否需要提供者提供对任何安全事件和响应的可见性。

如果您对合同的内容不满意,请尝试进行谈判。如果有任何不可协商的内容,则需要确定同意对于企业而言是否是可接受的风险。如果不是这样,您将需要寻找其他选择,以通过加密,监视甚至选择其他提供者来降低风险。

4.4培训您的用户

您的用户是安全云计算的第一道防线。他们的安全实践知识和应用可能是保护系统或为网络攻击打开一扇门的区别。

最佳做法是,确保对所有用户(员工和利益相关方)进行培训,这些用户以安全的云实践访问系统。让他们知道如何发现恶意软件,识别网络钓鱼电子邮件以及不安全做法的风险。

对于直接参与实施云安全性的更高级用户(例如管理员),请考虑针对特定行业的培训和认证。您将在本指南的后面找到一系列推荐的云安全认证和培训。

4.5控制用户访问

通过策略对用户访问进行严格控制是另一种云安全最佳实践。帮助您管理尝试访问您的云服务的用户。

您应该从零信任的位置开始,仅让用户访问他们所需的系统和数据,仅此而已。为避免实施策略时的复杂性,请创建具有指定角色的定义明确的组,以仅授予对所选资源的访问权限。然后,您可以将用户直接添加到组中,而无需为每个用户自定义访问权限。

4.6保护您的用户端点

云安全最佳实践的另一个要素是保护用户端点。大多数用户将通过Web浏览器访问您的云服务。因此,引入高级客户端安全性以使用户的浏览器保持最新并保护其不受攻击至关重要。

您还应该考虑实施端点安全解决方案以保护最终用户设备。随着移动设备和远程工作的爆炸式增长,至关重要的是,用户越来越多地通过非公司拥有的设备访问云服务。

寻找一种解决方案,其中包括防火墙,防病毒和Internet安全工具,移动设备安全性和入侵检测工具。

4.7保持云服务的可见性

云服务的使用可能多种多样且短暂。许多组织在一系列提供商和地区中使用多种云服务。研究表明,云资源的平均寿命为2小时。

这种行为会在您的云环境中造成盲点。如果看不到它,则无法保护它。

确保您实现了可提供整个生态系统可见性的云安全解决方案。然后,您可以通过一个门户监视和保护您所有不同资源,项目和区域中的云使用情况。这种可见性将帮助您实施精细的安全策略并减轻各种风险。

4.8实施加密

无论您身在何处,数据加密都是安全的最佳做法,这对您移至云中至关重要。使用云服务,您可以将数据存储在第三方平台上并在网络和云服务之间来回发送,从而使数据面临更大的风险。

确保对传输中的数据和静态数据实施最高级别的加密。您还应该考虑使用自己的加密解决方案,然后再将数据上传到云中,并使用自己的加密密钥来保持完全控制。

云提供商可能会提供内置的加密服务,以保护您的数据免受外界的攻击,但是它使他们能够访问您的加密密钥。

4.9实施强大的密码安全策略

无论您要访问的服务是什么,强健的密码安全策略都是最佳实践。实施尽可能强大的策略是防止未经授权的访问的重要因素。

作为最低要求,所有密码都应包含一个大写字母,一个小写字母,一个数字,一个符号和至少14个字符。强制用户每90天更新一次密码并进行设置,以便系统记住最近的24个密码。

这样的密码策略将阻止用户跨多个设备创建简单的密码,并防御大多数暴力攻击。

作为安全性最佳做法和保护的附加层,您还应该实现多因素身份验证。要求用户添加两个或更多证据以验证其身份。

4.10使用云访问安全代理(CASB)

CASB的使用正迅速成为实现云安全最佳实践的中心工具。它是位于您和您的云服务提供商之间的软件,用于将您的安全控制扩展到云中。

CASB为您提供了一套完善的云安全工具集,以提供您的云生态系统的可见性,实施数据安全策略,实施威胁识别和保护以及维护合规性。

您可以在本指南的后面部分中详细了解CASB的工作方式,其中包括CASB排名前5位的提供商。

5、针对云客户的十大安全清单建议

迁移到云中并选择服务提供商时,您应考虑的最重要因素之一就是安全性。您将与所选的服务提供商共享和/或存储公司数据。

您需要确信自己的数据是安全的。从分担责任到提供商的安全标准是否达到极限,有无数的安全因素需要考虑。这可能是一个艰巨的过程,尤其是如果您不是安全专家。
为了帮助我们在评估云服务提供商时编制了十大安全清单。

5.1保护运输中的数据和静止数据

当迁移到云服务时,安全性的关键要素是保护您(最终用户)和提供商之间传输的数据。这对您和提供者都是双重责任。您将需要网络保护来防止数据被拦截,并需要加密来防止攻击者读取任何被拦截的数据。

寻找可以为您提供一系列工具的服务提供商,以帮助您轻松地加密传输中和静止时的数据。这将确保对云服务提供商内部的任何内部数据传输,或云服务提供商与可能暴露API的其他服务之间的传输提供相同级别的保护。

5.2资产保护

选择云服务提供商时,您需要了解存储,处理和管理数据的物理位置。在政府和行业法规(例如GDPR)实施之后,这一点尤其重要。

为了确保您的资产受到保护,好的提供商将在其数据中心内提供高级物理保护,以保护您的数据免遭未经授权的访问。他们还将确保在重新配置或处置任何资源之前先擦除您的数据资产,以防止其落入错误的人手。

5.3可见性与控制

安全性的关键因素是查看和控制自己的数据的能力。优质的服务提供商将为您提供一种解决方案,无论您身在何处,都可以完全看到您的数据以及谁在访问数据。

您的提供商应提供活动监控,以便您发现整个生态系统中配置和安全性的变化。以及支持对新旧解决方案集成的合规性。

5.4可信安全市场和合作伙伴网络

保护您的云部署将需要多个解决方案或合作伙伴。优秀的云服务提供商将使您轻松地通过市场查找并与不同的合作伙伴和解决方案建立联系。

寻找具有市场的提供商,该市场提供经过验证的安全合作伙伴具有可靠伙伴关系的精选网络。市场还应该提供安全性解决方案,这些解决方案提供一键式部署,并且可以在公共,私有或混合云部署中为保护数据提供补充。

5.5安全的用户管理

优秀的云服务提供商将提供能够对用户进行安全管理的工具。这将有助于防止未经授权访问管理界面和过程,以确保应用程序,数据和资源不会受到损害。

云提供商还应提供功能来实施安全协议,以分隔用户并防止任何恶意(或受感染)用户影响另一个用户的服务和数据。

5.6合规与安全集成

在考虑云服务提供商时,安全性和合规性是齐头并进的。它们应满足由第三方组织验证的全球合规性要求。您需要一个云服务提供商,该提供商遵循业界云安全最佳实践并理想地持有公认的认证。

云安全联盟的安全,信任和保证注册表(STAR)计划是一个很好的指标。另外,如果您在一个受到严格监管的行业中工作- 可能适用HIPPA,PCI-DSS和GDPR-您还需要确定具有特定行业认证的提供商。

为确保合规性工作具有成本效益和效率,云服务提供商应为您提供将其安全控制继承到您自己的合规性和认证程序中的能力。

5.7身份和认证

您的云提供商应确保对任何服务接口的访问仅限于授权和认证的人员。

在查看提供程序时,您需要一种提供身份和身份验证功能的服务,其中包括用户名和密码,两因素身份验证,TLS客户端证书以及与现有身份提供程序的身份联合。

您还希望能够限制对专用线路,企业或社区网络的访问。好的提供商只能通过安全通道(例如HTTPS)来提供身份验证,以避免被拦截。

确保避免使用身份验证做法较弱的服务。这将使您的系统遭受未经授权的访问,从而导致数据盗窃,服务更改或服务被拒绝。还要避免通过电子邮件,HTTP或电话进行身份验证。

这些漏洞极易受到社会工程和身份和身份验证凭据的拦截。

5.8运营安全

选择云服务时,请寻找能够实现强大运营安全性以检测并防止攻击的提供商。这应该涵盖四个核心要素:

配置和变更管理
您希望提供程序在组成服务的资产(包括任何配置或依赖项)中提供透明性。他们应将可能影响安全性的任何服务更改通知您,以确保不会发生漏洞。

漏洞管理
您的提供商应具有漏洞管理流程,以检测和缓解对其服务的任何新威胁。您应随时了解这些威胁,严重性以及计划的缓解威胁时间表(包括解决方案)。

保护性监控
任何物有所值的提供商都将拥有高级监视工具,以识别服务的任何攻击,滥用或故障。他们将采取快速果断的措施来解决所有事件-使您随时了解结果。

事件管理
您的理想提供商将针对常见类型的攻击制定预先计划好的事件管理流程。他们将准备部署此过程以应对任何攻击。

您将有一条清晰的联系路线来报告任何事件,并采用可接受的时间范围和格式。

5.9人员安全

您需要一个可以信任其人员的云服务提供商,因为他们将有权访问您的系统和数据。您选择的云服务提供商将建立严格而透明的安全性筛选流程。

他们应该能够核实其人员的身份,工作权,并检查是否有未动用的刑事定罪。理想情况下,您希望他们符合您所在国家/地区当地制定的筛查标准,例如英国的BS 7858:2019或美国的I-9表格。

除了筛选之外,您还需要服务提供商,以确保其人员了解其固有的安全责任并接受定期培训。他们还应制定一项政策,以尽量减少访问并可能影响您服务的人数。

5.10安全使用服务

您可以选择具有最先进安全性的云提供商,并且仍然会由于服务使用不当而遭受破坏。了解使用服务时安全责任在哪里很重要。

您的责任级别将受到云部署模型,如何使用任何服务以及任何单个服务的内置功能的影响。

例如,您对IaaS负有重大的安全责任。部署计算实例时,您将有责任安装现代操作系统,配置安全性并确保正在进行的补丁程序和维护。您在该实例上部署的任何应用程序也是如此。

因此,请确保您了解所选服务的安全要求以及可用的任何安全配置选项。确保您还对员工进行安全使用所选服务的教育。

6、什么是云安全联盟?

当我们看云计算行业时,它是一个分散的市场,没有一个中央管理机构,企业可以从中寻求指导。这可能令人沮丧,尤其是在应对诸如云安全之类的挑战时。

值得庆幸的是,有许多组织致力于代替理事会来支持该行业。云安全联盟就是这样一个组织。
在这里插入图片描述
在云安全联盟(CSA)是一个非营利组织,致力于发展和提高的最佳做法的认识,以保持一个安全的云计算环境。

它是一个会员组织,以教育,研究,活动和产品的形式提供行业特定于云的安全指导。该指南直接利用了行业从业者,协会,政府以及CSA的个人和企业成员的综合主题专业知识。

为了让您更好地了解云安全联盟,让我们仔细看看它们如何支持行业。

6.1会员资格

CSA建立在其成员的基础上。以会员身份加入CSA会带来一系列不同的好处,具体取决于您是个人,企业还是解决方案提供商。

这些主要分为相似的类别,包括访问其其他成员的专家网络,在国际标准化委员会的席位,培训折扣以及访问独家活动和网络研讨会的机会。

6.2保证

CSA已开发了最著名的云安全认证计划之一:安全,信任和保证注册表(STAR)。

STAR是提供者保证程序,可通过自我评估,第三方审核以及根据标准进行持续监控来提供透明度。该计划包括三个级别,表明持有人在验证其云产品安全性的同时遵守最佳实践。

6.3教育

为了支持业界不断提高的云安全性,CSA提供了一系列的教育服务。您可以申请由CSA开发的一系列云安全认证,访问其知识中心并参加其定期安排的教育网络研讨会和活动。

6.4研究

CSA通过其正在进行的研究继续支持行业开发和创新云安全最佳实践。这是由他们的工作组推动的,这些工作组现在涵盖30个云安全领域。

最新和最前沿的技术包括DevSecOps,物联网,人工智能和区块链工作组的出现。CSA不断免费发布其研究成果,以确保行业能够及时了解云安全性的不断变化和变化。

6.5社区

CSA还通过继续维护和发展云安全社区来为行业提供支持。他们创建并维护了广泛的社区,这些社区使来自云安全行业的各种思想得以联系,共享知识并进行创新。
在这里插入图片描述
这些成长中的社区有多种形式。您可以加入CSA的各个章节,与本地专业人员和CSA峰会联系,在这里,最好的头脑与大众分享他们的专业知识。甚至还有CSA博客,它托管着一个追随者社区,他们希望与CSA惯例保持同步。

7、什么是卡巴斯基安全云?

在谈论云安全性时,很容易专注于企业而忘记了个人消费者的需求。

如果您要供个人使用的云服务(照片,文件,生活管理员),则需要考虑数据的安全性:卡巴斯基安全云,这是卡巴斯基基于云的新型自适应安全解决方案。
在这里插入图片描述
它结合了卡巴斯基实验室防病毒软件的最佳功能和应用程序,可为用户的设备提供针对数字威胁的响应式保护。

该平台是为个人用户而非企业而设计的。

卡巴斯基安全软件云可保护您的设备免受恶意软件和病毒的侵害,并增加了功能以适应您使用每台设备的方式,从而始终提供最大程度的保护。它提供的功能包括防病毒,防勒索软件,移动安全性,密码管理,VPN,家长控制以及一系列隐私工具。

该平台可在Windows,macOS,Android和iOS上使用。卡巴斯基安全云系列计划可为多达20台设备提供保护。

7.1卡巴斯基安全云中的核心功能

为了帮助您更好地了解卡巴斯基安全云产品,我们仔细研究了平台的核心功能,该功能分为四个部分:

7.1.1扫瞄

卡巴斯基安全云可以从任何安全解决方案中获得关键功能,可以扫描您的设备并删除发现的任何恶意软件或病毒。您可以从许多扫描选项中进行选择,包括单个文件,快速扫描,整个系统和计划的扫描。

7.1.2隐私

您可以使用内置功能来检查您的在线帐户,以确保它们不被破坏,阻止访问网络摄像头以及阻止网站访问量来保护您的隐私,以防止浏览活动受到监视。

您可以通过额外下载Kaspersky Secure Connection和Kaspersky Password Manager来扩展隐私。安全连接会加密您发送和接收的所有数据,同时还隐藏您的位置,而密码管理器会存储并保护您的密码。

7.1.3家庭网络

家庭网络使您可以查看连接到家庭网络的所有设备。确定受卡巴斯基安全云保护的服务器。该功能使您可以在连接新设备时收到通知,并且还可以阻止任何未知设备。

7.1.4高清健康

有用但简单的高清运行状况功能可让您对硬盘驱动器的磁盘状况和磁盘温度进行评估。提供有关错误率,电源循环,开机时间,读取的总数据和写入的总数据的信息。

卡巴斯基安全云是采用云服务如何引发对新安全解决方案需求的一个很好的例子。

在下一节中,我们将随着Cloud Access Security Broker的到来,探讨企业界的一个类似示例。

8、什么是云访问安全代理(CASB)?

一个云访问安全代理(CASB)是一个软件,你坐在之间,云服务消费,和你的云服务供应商(S)。CASB将您的安全控制从本地基础结构扩展到云中。帮助您为云应用程序实施安全性,合规性和治理策略。它通常位于本地或托管在云中。
在这里插入图片描述
CASB将帮助您防御高级别的云安全风险,并支持持续的监视和缓解高风险事件。它通过使用组织的安全策略保护在内部部署和云环境之间移动的数据来实现此目的。

CASB可以通过恶意软件防护来保护您免受网络攻击,并使用端到端加密保护您的数据,防止外部用户解密内容。

8.1CASB如何工作?

CASB可以通过三种不同的方式进行部署:作为反向代理,正向代理或以“ API模式” 部署。每个都有其独特的优缺点,许多行业专家建议采用多模式部署。

让我们仔细研究一下CASB的不同部署模式:

8.2反向代理

反向代理位于云服务的前面,通过位于网络流量的路径中来提供内联安全功能。反向代理代理的连接从Internet到您的应用程序服务器,隐藏了来自原始源的信息。

8.3转发代理

前向代理位于用户面前,CASB代理到多个云平台的流量。正向代理服务器的连接从位于防火墙后面的您到Internet。像反向代理一样,它也提供内联安全功能。

8.4API模式

与代理部署不同,使用应用程序接口(API)可以直接集成CASB和云服务。这使您可以保护托管和非托管流量。

根据云服务提供商的API功能,您可以查看活动,内容并采取强制措施。

8.5CASB中的功能支柱

CASB提供的功能属于四个“支柱”,其中包括:

8.5.1可见度

当云应用程序不在IT部门的视线范围内时,您将创建不受业务治理,风险和合规性流程控制的信息。

CASB使您可以查看所有云应用程序及其使用情况。包括有关谁在使用平台,他们的部门,位置和使用的设备的重要信息。

8.5.2数据安全

使用云平台会增加与错误人员无意间共享数据的风险。如果您使用的是云存储,则典型的数据丢失防护(DLP)工具将无法跟踪或控制谁在访问您的数据。

CASB可帮助您结合加密,令牌化,访问控制和信息权限管理,在云平台内实施以数据为中心的安全性。

8.5.3威胁防护

您自己的员工是最难防范的安全威胁之一。甚至被组织核心系统禁用的前员工也仍然可以访问包含业务关键信息的云应用程序。

利用CASB,您可以检测并响应云基础架构中的恶意或疏忽内部威胁,特权用户和受损帐户。

8.5.4合规

当数据转移到云中时,您需要确保维护数据安全性和隐私性,以符合行业和政府法规。CASB将为您执行此操作,在您的云部署中针对敏感数据识别并实施DLP策略。帮助您保持对SOX和HIPAA等法规的合规性。

CASB还可以帮助您根据PCI DSS,NIST,CJIS,MAS和ISO 27001等核心法规要求对您的云安全配置进行基准测试。

9、2020年排名前5位的云访问安全代理

由于数据泄露和丢失的巨大风险,服务向云的大规模迁移以及实现云安全性的需求在CASB市场上引起了爆炸性增长。

作为下一代技术,CASB已成为云安全策略的重要组成部分。五分之一的大型企业使用CASB根据固定或管理他们的云服务,Gartner的“魔力象限云访问经纪人”的报道:
在这里插入图片描述
Gartner使用其“魔力象限”确定了CASB市场的五位领导者,包括:

9.1迈克菲

McAfee于2018年1月以高调收购Skyhigh Networks进入CASB市场。该平台现在称为MVISION Cloud,可涵盖CASB的所有四个支柱,以提供广泛的云服务。

该平台提供了一个全面的DLP引擎,并提供了高级控制,包括加密以及对结构化和非结构化数据的标记化。CASB可以部署为具有反向代理模式功能和正向代理的API检查。

迈克菲还为需要它的用户提供了本地虚拟应用程序。

9.2微软

Microsoft的CASB产品称为Microsoft云应用程序安全性。该平台支持多种部署模式,包括反向代理和API连接器。Microsoft继续开发具有增强的可见性,分析,数据控制和创新的自动化功能的CASB解决方案。

Microsoft云应用程序安全性还与Microsoft不断增长的安全性和身份解决方案组合(包括Azure Active Directory和Microsoft Defender Advanced Threat Protection)本地集成。

这使Microsoft可以通过单击部署为客户提供跨其Microsoft平台的完全集成的解决方案。

9.3Netskope

与该领域的许多参与者只是单纯地收购CASB解决方案提供商不同,Netskope仍然是一家独立公司。该提供商以卓越的应用发现和SaaS安全评估而闻名。

Netskope通过已发布的API和未发布的API的内联解码来支持数千种云服务。CASB提供DLP并使用组合的威胁情报,静态和动态分析以及基于机器学习的异常检测来实时识别威胁。

9.4赛门铁克

赛门铁克的CASB产品称为CloudSOC,在2016年通过收购和集成Blue Coat Systems的Perspecsys和Elastica产品进行了增强。

CloudSOC使用自动数据分类提供DLP,并使用本机云API,实时流量处理以及来自多个数据源的输入来进行多模式监督。您可以使用高级用户行为分析(UBA)自动识别和消除组织内部和外部的威胁。

9.5Bitglass

Bitglass Cloud Security被称为下一代CASB,旨在与任何应用程序,设备或网络集成。

该平台从云本地运行,并且是唯一不使用代理或配置文件即可在移动设备上保护公司数据的提供商。通过引入专注于信任等级,信任级别和静态加密的零日方法,Bitglass引起了人们的关注。

10、展望2020年十大云安全认证

为了成功保护您的云平台,您将需要高级的云安全技能和知识。您还需要学习特定于平台的技能,以便可以配置访问权限,网络安全性并确保在所选的云提供商内部进行数据保护。

值得庆幸的是,云培训和认证市场在不断发展,并提供了许多解决方案。现在,您可以从各种特定于平台的和与供应商无关的认证中进行选择,以帮助您开发和证明所需的技能。无论您是想发展基础知识,还是要针对特定??工作角色定制技能,都有认证。

为了帮助您进行搜索,我们汇总了要在2020年获得的十大云安全认证列表。

仅获得其中一项认证,不仅可以帮助您更好地保护云部署,还可以提高您的就业能力,并提高薪水。

10.1(ISC)2 –认证的云安全专家(CCSP)

该CCSP是全球公认的云安全认证,针对IT和信息安全的领导者。

通过获得CCSP,您可以掌握在云中设计,管理和保护数据,应用程序和基础架构方面的高级技术技能和知识。您将使用(ISC)2网络安全专家制定的最佳实践,程序和策略来执行此操作。如果您是企业架构师,系统工程师,安全管理员,架构师,工程师或经理,则CCSP是理想的选择。

在培训和尝试CCSP考试之前,您需要满足一些严格的经验要求。您需要5年的全职IT工作经验,包括3年的网络安全经验和1年或以上CCSP CBK六个域中一个或多个域的经验。您可以替代拥有同样高级(ISC)2CISSP证书的经验要求,该证书名为“世界顶级网络安全认证”。

10.2云安全联盟–云安全知识证书(CCSK)

该CCSK证书是在云安全被广泛认可的入门级认证。它是由云安全联盟开发的,云安全联盟是一个成员组织,通过定义和提高对行业最佳实践的认识来帮助确保安全的云计算环境。

获得CCSK认证将证明您具备保护云中数据的基础技能和知识。您将学习如何建立映射到一系列职责的安全最佳实践的基线,从配置技术安全控制到云治理。

如果要获得(ISC)2的更高级的CCSP认证,则通过CCSK认证后,您还将满足一些必备的前提经验。

10.3AWS认证的安全性–专业

在AWS认证安全-专业证书是理想的,如果希望发展自己的事业与AWS云平台上工作。

通过获得AWS认证的安全性,您将跨数据分类,加密方法,安全Internet协议以及实施它们所需的AWS机制来验证您的技能。

努力获得认证,您可以从多种学习途径中进行选择,以在AWS的安全基础知识,架构和安全工程中塑造您的知识和技能。到本教程结束时,您将掌握控制权并放心地在AWS Cloud中安全运行应用程序。

要开始努力获取证书,您应该担任安全角色,并且至少有两年动手经验来保护AWS工作负载。

10.4微软认证:Azure安全工程师助理

最近,Microsoft将其认证途径转变为基于角色。通过获得他们的证书之一,您现在证明您具备履行特定工作职责所需的技能和知识。

因此,获得Azure安全工程师助理认证表明您具有成为Azure云平台上的安全工程师的技能。这包括在云环境中保护数据,应用程序和网络的能力。实施安全控制和威胁防护以及管理身份和访问。

在尝试AZ-500:Microsoft Azure安全技术考试之前,没有必备的技能要求。

10.5Google Cloud –专业的云安全工程师

获得Google的专业云安全工程师证书可证明您可以在Google Cloud Platform上设计,开发,实施和管理安全基础架构。您将使用符合安全性最佳做法和行业要求的Google安全技术来做到这一点。

通过获得专业云安全工程师认证,您将需要学习如何在Google Cloud Platform中配置访问,网络安全以及确保数据保护。您还需要发展知识以确保合规性和可管理的运营。

像Azure和AWS认证一样,如果您要开发特定于Google Cloud Platform的云安全技能,则此证书非常理想。通过这家领先的云提供商推进您的职业生涯。

10.6阿里巴巴ACA云安全认证

该ACA Cloud Security认证是阿里巴巴认证途径中的第一个。获得此认证将证明您具有在阿里云部署中应用云安全原理的基础知识。

您将学习Linux和网络操作的基本技能。同时还了解有关阿里云平台内所有托管,应用,网络和数据安全解决方案的信息。您将介绍阿里巴巴提供的几种关键安全产品,包括Server Guard,WAF,Anit-DDoS basic和Pro。

在获得准会员级别的认证后,您可以继续进行阿里巴巴ACP云安全认证。

10.7阿里巴巴ACP云安全认证

该ACP云安全认证,是在阿里巴巴云安全通道的第二认证。它是针对使用阿里云安全产品的架构师,开发人员和运维专业人士的更高级认证。

借助ACA Cloud Security认证中获得的基础技能和知识,您将了解阿里云在安全性,监控和管理方面的核心产品。

获得专业级认证后,您就可以继续追求阿里巴巴ACE云安全认证。尽管专家级认证仍在开发中,预计将很快推出。

10.8云认证委员会–专业云安全经理认证(PCS)

该CCC专业云安全Manager凭证是从云端证书委员会的高级认证。如果您是治理和风险专业人士,审计师合规性专家或云计算专家,则非常适合。

努力获得认证,您将学习在云环境中为安全性和治理应用最佳实践的技能和知识。涵盖关键主题,例如云服务管理,治理和策略。您还将学习如何在安全的环境中设计,部署和迁移云服务。

由于认证的先进性,建议您已经拥有EXIN提供的CCC Cloud Technology Associate和CCC Cloud Virtualization Essentials。

10.9Oracle Cloud Platform身份和安全管理2019认证助理

Oracle的云安全认证的标题是不言而喻的,您将了解Oracle Cloud Platform上的身份和安全管理。如果您是想要证明他们在实施云解决方案方面的专业知识的安全专业人员,则是理想的选择。

准备认证,您将介绍Oracle云平台中的核心安全功能。建立知识和技能以实施Oracle身份云服务,Oracle CASB云服务,服务体系结构和部署以及Identity Security Operations Center框架

通过1Z0-1070考试将证明您是Oracle认证助理(OCA)(全球认可的证书)。您将使用Oracle Cloud Security产品组合验证功能,包括服务配置。在开始之前,您需要具有管理员角色的Cloud Security实施的最新动手经验。

10.10SANS SEC524:云安全和风险基础

该SEC524:云安全与风险基础是一个过程,而不是一个认证。我将其包括在内,因为它教授的其他关键认证未涵盖的重要技能和知识。

最重要的是,您将学习如何评估不同云提供商的安全性。涵盖了云计算交付模型(SaaS,PaaS和IaaS)及其独特的安全性要求。在公共,私有或混合云方案中运行时,以及其他安全注意事项。

完成课程,您将获得一系列关键能力。如何评估云合同,调整安全体系结构,工具和流程以供在云环境中使用以及如何对云设置进行漏洞评估。