随着企业将系统和数据逐步转移到云上，如何保障云的安全显得至关重要。在云计算不断发展的当下，云安全威胁也变得越来越复杂。如果没有完善的安全保障体系，任何一个细小威胁都可能对企业业务造成严重影响。本文将重点分享一些安全规则以保护企业的云工作负载。

https://www.xikunyun.com/act/20191212

7种云安全控制举措

明确要负责什么

所有云服务都不尽相同，要负的责任也有所不同。软件即服务（SaaS）供应商会确保他们的应用程序受到保护，数据被安全地传输和存储，而IaaS环境并非总是如此。

例如，企业应完全负责其AWS EC2 、AWS EBS和AWS VPC实例，包括配置操作系统、管理应用程序、保护数据等。相反，AWS维护S3的操作系统和应用程序，而企业负责管理数据、访问控制和身份识别策略。AWS提供了为S3数据加密的工具，但这取决于企业在进入和离开服务器时是否启用了保护功能。应与IaaS供应商仔细核实谁负责每一项云安全控制措施。

控制谁有权访问

企业应控制好谁可以使用他们的云服务。例如，根据Redlock云安全情报（CSI）部门2018年5月的研究，超过一半（51%）的企业意外地暴露了至少一项云存储服务。一般而言，只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0，错误地启用了服务器的全局权限。

另一个常见的错误是，允许从互联网直接进行安全Shell（SSH）连接，这意味着任何能找到服务器地址的人都可以绕过防火墙，直接访问数据。主要云供应商都会提供身份识别和访问控制工具，请使用它们，应知道谁在何时访问了哪些数据。在创建身份识别和访问控制策略时，把最高权限限制在最小范围内，只在需要时临时授予额外权限。

保护数据

还有一种常见的错误是数据没有经过加密便放在了云上。如果把敏感数据存储在云中而没有对服务器的访问进行适当控制，这样做是不负责任的，也是危险的。要尽可能控制好加密密钥，虽然可以让云服务供应商提供访问密钥，但保护数据的责任在于企业。加密是一种安全保障措施，即使安全配置失败，数据落入未授权方的手中，他们也不能使用数据。

保护证书

为每一个外部服务创建唯一的密钥，并遵循最小特权原则限制对其访问，确保密钥没有太多的访问权限。创建IAM角色来分配特殊特权，例如进行API调用。务必定期轮换密钥，以避免攻击者有时间截获被攻破的密钥，冒充特权用户渗透到云环境中。不要使用root用户账户，即使是要用于管理任务。使用root用户来创建具有指定权限的新用户。锁定root账户，仅用于具体的账户和服务管理任务。

保证环境安全

对于云环境防护，深层防御尤其重要，因为即使一项控制措施失败了，也会有其他安全措施保持应用程序、网络和数据的安全。MFA在用户名和密码的基础上提供了额外的保护层，使得攻击者很难攻入。应启用MFA，限制对管理控制台、仪表板和特权账户的访问。

深度监视

主要云供应商都提供某种级别的日志记录工具，因此一定要启用安全日志记录和监视功能，看看是否有未经授权的访问和其他问题。例如，亚马逊为审查AWS环境提供了CloudTrail，当启用后，CloudTrail会记录所有AWS API调用的历史，包括API调用者的身份、调用的时间、调用者的源IP地址、请求参数，以及AWS服务返回的响应数据，它还可以用于变更跟踪、资源管理、安全性分析和合规审查等。

采用前移方法保证安全

前移方法提倡在开发过程中尽早考虑安全因素，而不是在开发的最后阶段增加安全措施。McAfee的Flaherty说：“企业不仅应该监控IaaS平台上的东西，还应该在平台上线前检查所有进入平台的代码。采用前移方法，能够在潜在的错误配置发展为问题之前进行审核并解决问题。”

在数字化转型过程中，企业可以选择专业的云管理服务提供商，基于企业业务及系统数据特点，搭建全面的云中安全保障体系，以更好应对各类问题，实现业务高效运营。 富通云腾安全管理之道

针对混合与多云环境下的管理难题，富通云腾自主研发的多云管理平台CMP2020-V1.0平台通过IAM的功能来部署和明确整个企业组织中的用户配置、访问权限、身份验证、Spring Security安全认证等相关的过程为用户提供全面的安全保障，确保信息不泄露，不丢失。基于角色访问控制为用户提供多级权限服务，以树形结构维护企业组织关系。用户可通过设置细粒度的角色操作权限，轻松管理企业账户。

同时，平台使用HTTPS传输方式，为用户提供敏感数据加密传输，防止恶意SQL注入、XSS攻击，并设置系统黑名单，被列入到黑名单的用户（IP地址、IP包、邮件等）将不能访问此平台。采用双因子增加系统数据安全，满足等保三级的安全评测指标，排除系统的安全隐患，提升系统安全等级。