應遵循的 IaaS 安全最佳實踐

跟上 IaaS 安全最佳實踐以保護您的數據。

由於 IaaS 系統固有的複雜性，而且在某些情況下，缺乏對 IaaS 平台如何保護您的資源的可見性，圍繞基礎架構即服務 (IaaS) 安全性的決策具有挑戰性。

如果您是企業主、經理或 IT 專業人員，本 IaaS 安全最佳實踐指南可以幫助您確保您的資產受到保護。 在深入探討最小化這些風險的最佳方法之前，讓我們先看看 IaaS 帶來的安全風險。

IaaS 的安全風險

儘管 IaaS 系統具有便利性、可擴展性和低維護性，但它們具有獨特的安全風險，特別是因為您必須將數據、計算和網絡委託給外部服務提供商。

但歸根結底，您使用 IaaS 解決方案面臨的許多安全風險與任何联網計算環境面臨的安全風險相似。 以下是需要注意的一些主要風險：

• 數據外洩。 當您使用 IaaS 解決方案時，您的業務數據存儲系統可能會連接到互聯網，這讓黑客有機會嘗試竊取敏感信息。 雖然與數據相關的事件通常被稱為“洩漏”，但實際上，它們通常是複雜或高級攻擊的結果。

• 數據丟失：與數據盜竊不同，數據丟失可能來自惡意行為或事故。 例如，不了解系統中數據價值的員工可能會刪除有價值的文件。 同時，攻擊者也可能會滲透您的系統並故意刪除信息或將其作為勒索軟件攻擊的一部分作為人質

• 未經授權的訪問：與用戶擁有本地計算機和設備的傳統環境不同，任何具有正確憑據的人都可以通過互聯網訪問 IaaS 設置。 這意味著，除非所有用戶都採取適當的網絡衛生措施，否則他們的憑據最終可能會落入企圖闖入系統的惡意行為者手中。

• 內部攻擊：內部攻擊通常來自心懷不滿的員工或那些作為網絡間諜計劃的一部分而獲得報酬的員工。 然而，有時，仍然擁有訪問憑據的前僱員可能會進入 IaaS 系統並造成麻煩。 通過刪除前僱員的訪問權限，您可以防止許多內部攻擊。

• 惡意軟件和拒絕服務攻擊：與所有基於服務器的環境一樣，IaaS 解決方案可能容易受到惡意軟件和拒絕服務攻擊。 但是，如果您的供應商擁有下一代防火牆和入侵檢測系統，它們就可以防止許多此類攻擊。

好消息是，這些威脅都不會阻止您採用 IaaS 模型，尤其是當您實施以下最佳實踐時。

IaaS 安全最佳實踐

儘管黑客活動總體上有所增加，組織最近面臨的威脅類型也有所增加，但您可以做很多事情來確保系統安全。 對於 IaaS 解決方案，確保足夠的安全性歸結為幾個關鍵考慮因素。

了解提供商的 IaaS 安全模型

IaaS 提供商的安全模型是您的主要防線。 在某些方面，IaaS 環境與任何其他情況非常相似，您將您所珍視的東西的安全委託給遠程實體——無論是存儲設施、銀行還是保姆。 您需要了解它們如何保護您生活中必不可少的東西。

以下是一些可向您的 IaaS 提供商諮詢的安全工具和方法：

• 哪些系統用於保護應用程序協議接口 (API)免受攻擊者的攻擊？ API 可通過互聯網訪問，因此您的提供商應該能夠準確概述他們如何確保控制您的 IaaS 環境的 API 的安全。

• 入侵防禦系統 (IPS)和入侵檢測系統 (IDS) 應該是 IaaS 安全解決方案的核心。 您的提供商不僅應該擁有阻止威脅的系統，還應該使用可以檢測可疑活動的網絡監控解決方案。

• 一些 IaaS 提供商使用網絡分段將單獨的安全解決方案應用於雲環境的特定部分。 例如，他們可能使用防火牆將您的網絡的一個區域分開，而另一個防火牆保護您的整體基礎設施。 這對於防止威脅橫向移動通過您的系統非常有用。

• 虛擬防火牆是否用於保護特定工作負載？ 您的 IaaS 提供商可能會提供虛擬防火牆，這些防火牆可以放置在關鍵業務應用程序的前面。 對於某些組織而言，這為保護其最重要的工作負載提供了額外的信心。

了解您的提供商分擔責任的方法

無論您的 IaaS 提供商擁有何種工具可供使用，重要的是要了解他們負責哪些安全要素以及哪些要素落在您的肩上。

例如，一些提供商可能會保證您存儲的數據的安全，但許多提供商不會承諾您使用的應用程序不會受到破壞，尤其是因為您（客戶）提供在 IaaS 生態系統中運行的應用程序。

設置嚴格的訪問協議

通過使用嚴格的訪問協議，您可以大大增加黑客的難度，從而大大縮小您的攻擊面。

您可以使用以下一些方法來降低未經授權的個人進入您的 IaaS 環境的風險：

• 基於角色的訪問控制 (RBAC)側重於僅向需要您的網絡部分來完成工作的人員提供訪問權限。 例如，會計人員可能不需要訪問 Web 開發平台，程序員也不需要訪問客戶信息數據庫——除非他們正在構建使用它的應用程序。 具有訪問權限的人越少，您的系統遭受破壞的可能性就越小。

• 零信任安全原則假定試圖訪問您系統的每個人、應用程序和網絡都是一種威脅。 只有在他們確認自己的身份後，他們才被允許進入您的網絡。 這意味著即使員工也無權重新進入幾分鐘前退出的會話，除非他們可以重新驗證自己的身份。

• 多因素身份驗證強制用戶提供至少一種額外的身份驗證方法，例如指紋掃描或物理設備，以及用戶名和密碼。

靜態數據加密

通過加密靜態數據，您可以保持其完整性，同時保護將來可能使用它的系統。 對於大多數 IaaS 提供商，數據加密是理所當然的。

它是這樣工作的：

1. 您的 IaaS 提供商使用一種算法來加密您的數據，將其轉換為一定數量的字符。

2. 只有與您的 IaaS 存儲組件共享密鑰的系統才能破譯字符並使它們可讀。

3. 加密算法旨在使某人無法弄清楚加密系統，即使他們擁有原始文件及其加密形式。

因此，如果有人要滲透您的系統並訪問您提供商的雲存儲，他們將無法讀取他們試圖破壞或竊取的數據。

定期監測協議和清單

通過定期監控您的雲資產，您和您的 IaaS 提供商都可以檢測到表示惡意活動的網絡異常。 在生命週期的早期發現問題可以防止它們迅速發展成具有挑戰性的業務中斷。

例如，網絡監控系統可以檢測到大量數據何時突然開始離開您的網絡。 在某些情況下，這可能是外部攻擊者竊取信息或內部人員向他們合作的惡意行為者發送數據的跡象。 通過適當的監控系統，您可以捕獲此活動並立即停止。

從 IaaS 提供商的角度來看，庫存是指虛擬機及其負責的工作負載。 通過跟踪您的 IaaS 庫存，您可以：

• 了解雲資源如何處理要求最苛刻的工作負載

• 如有必要，進行調整併申請更多資源

• 防止網絡資產過度工作，這可能會導致漏洞

一致的補丁

當您不斷地修補與 IaaS 環境結合使用的操作系統 (OS) 和軟件時，您會讓黑客更難找到唾手可得的果實。

例如，一些攻擊者會嘗試利用軟件供應商已在最新版本中解決的漏洞。 通過簡單地應用一個免費補丁，您就可以切斷這些攻擊者的通道。

這是您可能必須自己承擔的責任之一，尤其是因為您是決定在您的雲環境中運行哪些軟件的人。 幸運的是，打補丁通常又快又容易，如果您曾經擔心兼容性問題，與您的軟件或操作系統提供商進行快速交談可以讓您放心。