CyberArk Glossary >

Cloud Security 云安全

云安全是指保护基于云的应用程序、数据和虚拟基础架构的完整性的做法。该术语适用于所有云部署模型(公共云、私有云、混合云、多云)以及所有类型的基于云的服务和按需解决方案(IaaS、PaaS、SaaS)。一般而言,对于基于云的服务,云提供商负责保护底层基础架构,而客户则负责保护云中的应用程序和数据。

云部署模型
公共云 类似于 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 的公共多租户产品
私有云 一个业务实体的专用云环境(但通常由该实体中的许多组织共享)
混合云 内部公共云和私有云服务的组合
多云 云服务的组合;通常包括托管在多个公共和私有云上多种类型的服务(计算、存储等)
云服务类型
基础架构即服务 (IaaS)</ td> 按需、基础计算、存储和网络服务
平台即服务 (PaaS) 基于云的应用程序开发环境和框架
软件即服务 (SaaS) 按需解决方案(如作为基于云的应用程序提供的 Salesforce 或 Office 365,具以订阅为基础的许可模型)

云工作负载容易受到多种威胁影响

云资产和工作负载易受各种网络安全威胁的影响,包括数据泄露、勒索软件、DDoS 攻击和网络钓鱼攻击。网络攻击者可以使用被盗的凭据或受到威胁的应用程序,利用云安全漏洞来发起攻击,破坏服务或窃取敏感数据。强大的云安全系统和实践对于维护关键业务应用程序的可用性、保护机密信息并确保合规性至关重要。

Cloud Security
云安全漏洞的示例

 

云安全是云提供商与客户之间的共同责任

云安全实践在很多方面与传统的 IT 和网络安全实践相似,但是存在一些重要差异。与传统的 IT 安全不同,云安全通常由共同责任模型控制,即云服务提供商负责管理底层基础架构(例如,云存储服务、云计算服务、云网络服务)的安全,客户则负责管理虚拟机管理程序之上的所有内容(例如访客操作系统、用户、应用程序,数据)的安全。下图描述了 AWS 强制执行的共同责任模型

Cloud Security
AWS 共同责任模型

云客户的最佳安全实践

云客户必须制定各种安全措施,以保护基于云的应用程序和数据并降低安全风险。常见的云安全最佳实践包括:

  • 保护云管理控制台。所有云提供商都会提供管理控制台,用于管理帐户、配置服务、进行故障排除以及监视使用情况和计费。这些控制台是网络攻击者的常见目标。组织必须严格控制和监视对云管理控制台的特权访问,以防止攻击和数据泄漏。
  • 保护虚拟基础架构。虚拟服务器、数据存储、容器和其他云资源也是网络攻击者的常见目标。网络攻击者可能尝试利用 Puppet、Chef 和 Ansible 等自动配置工具来发起攻击和中断服务。客户必须实施强大的安全系统和实践,以防止未经授权访问云自动化脚本和配置工具。
  • 保护 API SSH 密钥。云应用通常调用 API 来停止或启动服务器,实例化容器或进行其他环境更改。诸如 SSH 密钥之类的 API 访问凭据通常被硬编码到应用程序中,放置在诸如 GitHub 之类的公共存储库中,成为恶意攻击者的攻击目标。组织必须从应用程序中删除嵌入式 SSH 密钥,并确保只有经授权的应用程序才能够访问它们。
  • 保护 DevOps 管理控制台和工具的安全。大多数 DevOps 组织都依赖于一组 CI/CD 工具来在云中开发和部署应用程序。犯罪者经常会尝试利用DevOps 管理控制台和工具发起攻击或窃取数据。客户必须严格控制和跟踪对在应用程序开发和交付管道的每个阶段使用的工具和管理控制台的访问,以减轻风险。
  • 保护 DevOps 管道代码。攻击者还可能尝试在整个开发和交付管道中利用云应用程序漏洞。开发人员经常将安全凭据硬编码进存储在共享存储或公共代码存储库中的源代码中。如果使用不当,应用程序凭据可能会被用于窃取专有信息或造成严重破坏。客户必须从源代码中删除机密信息,并采用适当的系统和实践以根据策略自动监视和控制访问。
  • 保护 SaaS 应用程序管理员帐户的安全。每种 SaaS 产品都包括一个用于管理用户和服务的管理控制台。SaaS 管理员帐户一般都是黑客和网络罪犯者的目标。客户必须严格控制和监视 SaaS 管理控制台访问权限,以确保 SaaS 安全并降低风险。

 

了解有关云安全的更多信息

其他术语表条目