概述
来自英国NCSC 的云安全方法
关于云技术有一些模棱两可的术语,因此值得花一些时间来定义一些常见术语。当我们谈论“云”、“云服务”或“云计算”时,我们的意思是:
“一种按需、大规模可扩展的服务,托管在共享基础设施上,可通过互联网访问。典型的服务提供数据存储、数据处理和预构建功能,例如日志记录。
这遵循NIST 对云计算的定义,以确定云服务的共同特征。
云服务可以分为两大类:
- 预构建的云服务,解决业务问题;这些通常称为软件即服务或 SaaS
- 提供用于构建服务以解决业务问题的组件的云平台;此旗帜下的服务包括平台即服务 (PaaS)、基础设施即服务 (IaaS) 和无服务器组件
了解云服务部分更详细地介绍了各种类型的云,以及有关其部署、安全和管理模型的信息。
云中的安全性
公共云服务的规模可以带来许多安全优势以及众多的功能优势。然而,大多数云服务的共享性质可能会让您很难清楚地了解采用服务时将面临的风险。
本指南将帮助您:
- 评估公共云服务的安全性
- 确定它们是否适合您的预期用途
为此,您必须首先了解服务提供的分离措施。您还需要清楚地了解服务安全运行的责任平衡(和提供商之间)。
如果您要使用云平台构建服务,则需要很好地了解在此设置中通常如何处理加密技术。我们的云加密指南涵盖了所涉及的所有术语和技术。
大多数概念同样适用于混合云、多云和一些较大的私有云部署。有关服务部署模型的部分涵盖了这些不太常见的云部署类型的一些额外注意事项。
我们关于安全使用云服务的指南包括您在构建云平台之前需要采取的一些操作,以及保护软件即服务 (SaaS) 应用程序的安全。
致力于云安全
从项目一开始就考虑网络安全,效果最佳。尝试在最后一刻添加安全性可能会产生不可预测(且昂贵)的结果。
当完全集成到合适的开发流程中时,本指南中的建议将产生最佳结果。我们建议的方法包括以下四个步骤。按顺序完成这些操作将帮助您确定适合您的预期用途的安全云服务。
1.了解业务需求
您应该首先了解云服务的预期用途,以及将在其中存储和处理的数据。我们建议在识别和管理网络安全风险时参考 NCSC 的风险管理指南。
2.选择满足需求的云提供商
我们的云提供商选择指南介绍了如何使用以下任一方法选择合适的云提供商:
如果要对云服务进行商业招标,我们建议要求投标中包含对云安全原则的响应。
“物有所值”永远是选择服务时考虑的因素。某些云服务具有不同价格的许可证,这些许可证具有不同的安全功能(例如单点登录或强制多重身份验证)。应该确保获得的许可证报价包含满足您安全需求的服务。
·云安全原则,或
·云安全的轻量级方法
3.安全使用云服务
选择云提供商后,您应该了解使用该服务或平台时的安全责任。所有云服务都需要您应用某种配置来确保其符合您的需求;云服务完全“默认安全”是不寻常的。我们在安全使用云服务指南中概述了您应该采取的最重要的操作。
选择云提供商后设计您的服务架构将使您能够充分利用服务中内置的本机安全技术。
许多公共云服务都会发布安全良好实践指南、示例架构和配置基线来帮助您入门。
4.持续监控和管理风险
使用后,请定期检查该服务以及您使用该服务的方式是否仍然满足您的业务和安全需求,您也应该不时进行检查。