文章目录
[+]
随着组织将越来越多的关键任务系统迁移到云端,人们越来越担心云迁移的安全风险。云安全现在已得到充分理解,并且有完善的工具和方法来保护云工作负载。然而,这些安全方法可能会在从本地环境到云环境的交叉过程中崩溃,从而导致灾难性的漏洞或数据泄露。
什么是云迁移?云迁移涉及将应用程序、数据和其他数字资产从本地数据中心迁移到云。这些可能是定制的应用程序或组织从第三方供应商获得许可的应用程序。云迁移有多种方法,包括:
按原样移动应用程序 — 这称为“直接迁移”。对应用程序进行小的更改以使其能够迁移到云重建或重构应用程序,使其更适合云环境从旧应用程序切换到支持云或由云供应商提供的新应用程序。为云构建新应用程序被称为“云原生开发”。云迁移的主要优势是什么?大多数云迁移的总体目标是获得云的优势——在高效的 IT 环境中托管应用程序和数据,从而改善成本、性能和安全性等参数。
(图片来自网络侵删)
迁移到云的主要动机包括弹性可扩展性、优化成本或从资本支出模式转变为运营支出模式的愿望,以及对仅在云环境中可用的新技术、服务或功能的需求。
也许更重要的是,云计算使企业 IT 团队摆脱了管理正常运行时间的负担,并提高了组织部署新服务和发展以支持不断变化的业务需求的能力。
(图片来自网络侵删)
迁移项目的主要关注点是迁移哪些应用程序。如果应用程序符合以下一个或多个条件,请考虑将其迁移到云:
应用程序与本地资源通信时不需要低延迟。对于将应用程序保留在本地,没有特定的安全性或合规性要求。 随着时间的推移,应用程序会受到负载波动的影响,这可以使云的弹性更具吸引力。 优先考虑非业务关键型应用程序,以确保您的首次迁移成功。当您获得更多经验时,迁移您的业务关键型应用程序。考虑哪种部署和定价模型最适合您的工作负载:
在公共云中部署应用程序可提供无限的可扩展性和即用即付模式。 构建私有云的前期费用很高,但可提供更高的可扩展性、增强的安全性并降低运营成本。最后,在部署到公共云时,选择您的提供商:
三大云提供商——AWS、微软和谷歌——为大多数用例提供同等的服务。 存在可以支持用例并可能提供有竞争力的价格或其他差异化因素的利基云提供商。许多公司采用多云方法,根据其技术解决方案的成本和适用性将不同的工作负载部署到不同的云提供商。云迁移的安全风险云迁移需要仔细规划,因为它很容易受到多种攻击。在迁移过程中,敏感数据会被传输,使其容易受到攻击。此外,在迁移项目的各个阶段,攻击者都可以访问不安全的开发、测试或生产环境。
规划云迁移工作时应考虑到以下威胁:
API 漏洞:应用程序编程接口 (API) 充当环境之间的通信通道。API 必须在云迁移过程的所有阶段得到保护。盲点:迁移到云端意味着放弃对运营某些方面的控制。在迁移之前,请检查您的云提供商提供的安全性以及如何通过第三方安全解决方案对其进行补充。合规性要求:确保您的目标云环境支持所需的合规性标准。这包括云提供商的合规性认证以及组织为确保云工作负载、数据和访问安全而执行的程序。所有这些都可以并且将会作为合规性要求的一部分进行审核。 不受控制的增长:云迁移不是一次性过程。将应用程序迁移到云后,组织可能会添加更多资源、使用新的云服务并添加更多应用程序。一旦额外的 SaaS 应用程序已经在云中运行,就开始使用它们是很常见的。这些新服务和应用程序必须得到适当的保护,从而带来了重大的运营挑战。数据丢失:云迁移涉及数据传输。确保在迁移过程中出现错误时备份数据至关重要。所有数据传输都通过加密通道进行,并仔细管理加密密钥。降低云迁移安全风险的 5 种方法以下是一些有助于提高云迁移期间和之后的安全性的最佳实践:
建立一套安全标准和准则:与合规性、IT 和开发团队合作制定基本安全标准。这些标准至少应涵盖访问控制、IaC 模板、云工作负载漏洞管理和安全 DevOps 程序。分配专门的人员进行身份和访问管理 (IAM):身份管理在云中至关重要且高度动态。指派专职人员以确保 IAM 得到妥善管理并长期维护。实施 多重身份验证:在云迁移的所有阶段,都需要要求多重身份验证,包括在开发环境中。这降低了未经授权访问管理员帐户和关键资产的风险。启用云范围内的日志记录:所有主要云服务提供商都提供集中式日志记录服务(例如 Amazon CloudTrail)。在整个迁移过程中利用此功能并将日志发送到中央收集器进行分析。使用这些日志在迁移过程中创建系统行为基线,以便更轻松地检测和调查安全事件。使用云安全态势管理 (CSPM) :CSPM 解决方案可监控云系统是否存在配置错误,并且在某些情况下可以立即修复它们。这对于在迁移的不同阶段跟踪许多云资产并确保关键数据和资产具有适当的安全设置非常重要。
