应遵循的 IaaS 安全最佳实践

跟上 IaaS 安全最佳实践以保护您的数据。

由于 IaaS 系统固有的复杂性，而且在某些情况下，缺乏对 IaaS 平台如何保护您的资源的可见性，围绕基础架构即服务 (IaaS) 安全性的决策具有挑战性。

如果您是企业主、经理或 IT 专业人员，本 IaaS 安全最佳实践指南可以帮助您确保您的资产受到保护。 在深入探讨最小化这些风险的最佳方法之前，让我们先看看 IaaS 带来的安全风险。

IaaS 的安全风险

尽管 IaaS 系统具有便利性、可扩展性和低维护性，但它们具有独特的安全风险，特别是因为您必须将数据、计算和网络委托给外部服务提供商。

但归根结底，您使用 IaaS 解决方案面临的许多安全风险与任何联网计算环境面临的安全风险相似。 以下是需要注意的一些主要风险：

• 数据外泄。 当您使用 IaaS 解决方案时，您的业务数据存储系统可能会连接到互联网，这让黑客有机会尝试窃取敏感信息。 虽然与数据相关的事件通常被称为“泄漏”，但实际上，它们通常是复杂或高级攻击的结果。

• 数据丢失：与数据盗窃不同，数据丢失可能来自恶意行为或事故。 例如，不了解系统中数据价值的员工可能会删除有价值的文件。 同时，攻击者也可能会渗透您的系统并故意删除信息或将其作为勒索软件攻击的一部分作为人质

• 未经授权的访问：与用户拥有本地计算机和设备的传统环境不同，任何具有正确凭据的人都可以通过互联网访问 IaaS 设置。 这意味着，除非所有用户都采取适当的网络卫生措施，否则他们的凭据最终可能会落入企图闯入系统的恶意行为者手中。

• 内部攻击：内部攻击通常来自心怀不满的员工或那些作为网络间谍计划的一部分而获得报酬的员工。 然而，有时，仍然拥有访问凭据的前雇员可能会进入 IaaS 系统并造成麻烦。 通过删除前雇员的访问权限，您可以防止许多内部攻击。

• 恶意软件和拒绝服务攻击：与所有基于服务器的环境一样，IaaS 解决方案可能容易受到恶意软件和拒绝服务攻击。 但是，如果您的供应商拥有下一代防火墙和入侵检测系统，它们就可以防止许多此类攻击。

好消息是，这些威胁都不会阻止您采用 IaaS 模型，尤其是当您实施以下最佳实践时。

IaaS 安全最佳实践

尽管黑客活动总体上有所增加，组织最近面临的威胁类型也有所增加，但您可以做很多事情来确保系统安全。 对于 IaaS 解决方案，确保足够的安全性归结为几个关键考虑因素。

了解提供商的 IaaS 安全模型

IaaS 提供商的安全模型是您的主要防线。 在某些方面，IaaS 环境与任何其他情况非常相似，您将您所珍视的东西的安全委托给远程实体——无论是存储设施、银行还是保姆。 您需要了解它们如何保护您生活中必不可少的东西。

以下是一些可向您的 IaaS 提供商咨询的安全工具和方法：

• 哪些系统用于保护应用程序协议接口 (API)免受攻击者的攻击？ API 可通过互联网访问，因此您的提供商应该能够准确概述他们如何确保控制您的 IaaS 环境的 API 的安全。

• 入侵防御系统 (IPS)和入侵检测系统 (IDS) 应该是 IaaS 安全解决方案的核心。 您的提供商不仅应该拥有阻止威胁的系统，还应该使用可以检测可疑活动的网络监控解决方案。

• 一些 IaaS 提供商使用网络分段将单独的安全解决方案应用于云环境的特定部分。 例如，他们可能使用防火墙将您的网络的一个区域分开，而另一个防火墙保护您的整体基础设施。 这对于防止威胁横向移动通过您的系统非常有用。

• 虚拟防火墙是否用于保护特定工作负载？ 您的 IaaS 提供商可能会提供虚拟防火墙，这些防火墙可以放置在关键业务应用程序的前面。 对于某些组织而言，这为保护其最重要的工作负载提供了额外的信心。

了解您的提供商分担责任的方法

无论您的 IaaS 提供商拥有何种工具可供使用，重要的是要了解他们负责哪些安全要素以及哪些要素落在您的肩上。

例如，一些提供商可能会保证您存储的数据的安全，但许多提供商不会承诺您使用的应用程序不会受到破坏，尤其是因为您（客户）提供在 IaaS 生态系统中运行的应用程序。

设置严格的访问协议

通过使用严格的访问协议，您可以大大增加黑客的难度，从而大大缩小您的攻击面。

您可以使用以下一些方法来降低未经授权的个人进入您的 IaaS 环境的风险：

• 基于角色的访问控制 (RBAC)侧重于仅向需要您的网络部分来完成工作的人员提供访问权限。 例如，会计人员可能不需要访问 Web 开发平台，程序员也不需要访问客户信息数据库——除非他们正在构建使用它的应用程序。 具有访问权限的人越少，您的系统遭受破坏的可能性就越小。

• 零信任安全原则假定试图访问您系统的每个人、应用程序和网络都是一种威胁。 只有在他们确认自己的身份后，他们才被允许进入您的网络。 这意味着即使员工也无权重新进入几分钟前退出的会话，除非他们可以重新验证自己的身份。

• 多因素身份验证强制用户提供至少一种额外的身份验证方法，例如指纹扫描或物理设备，以及用户名和密码。

静态数据加密

通过加密静态数据，您可以保持其完整性，同时保护将来可能使用它的系统。 对于大多数 IaaS 提供商，数据加密是理所当然的。

它是这样工作的：

1. 您的 IaaS 提供商使用一种算法来加密您的数据，将其转换为一定数量的字符。

2. 只有与您的 IaaS 存储组件共享密钥的系统才能破译字符并使它们可读。

3. 加密算法旨在使某人无法弄清楚加密系统，即使他们拥有原始文件及其加密形式。

因此，如果有人要渗透您的系统并访问您提供商的云存储，他们将无法读取他们试图破坏或窃取的数据。

定期监测协议和清单

通过定期监控您的云资产，您和您的 IaaS 提供商都可以检测到表示恶意活动的网络异常。 在生命周期的早期发现问题可以防止它们迅速发展成具有挑战性的业务中断。

例如，网络监控系统可以检测到大量数据何时突然开始离开您的网络。 在某些情况下，这可能是外部攻击者窃取信息或内部人员向他们合​​作的恶意行为者发送数据的迹象。 通过适当的监控系统，您可以捕获此活动并立即停止。

从 IaaS 提供商的角度来看，库存是指虚拟机及其负责的工作负载。 通过跟踪您的 IaaS 库存，您可以：

• 了解云资源如何处理要求最苛刻的工作负载

• 如有必要，进行调整并申请更多资源

• 防止网络资产过度工作，这可能会导致漏洞

一致的补丁

当您不断地修补与 IaaS 环境结合使用的操作系统 (OS) 和软件时，您会让黑客更难找到唾手可得的果实。

例如，一些攻击者会尝试利用软件供应商已在最新版本中解决的漏洞。 通过简单地应用一个免费补丁，您就可以切断这些攻击者的通道。

这是您可能必须自己承担的责任之一，尤其是因为您是决定在您的云环境中运行哪些软件的人。 幸运的是，打补丁通常又快又容易，如果您曾经担心兼容性问题，与您的软件或操作系统提供商进行快速交谈可以让您放心。