雲端安全性的定義
雲端安全性是雲端服務提供者和其客戶要承擔共同的責任。責任多寡將視所提供的服務類型而定:
公用雲端環境
由雲端服務提供者所執行。在此環境中,會與多個租用戶共用伺服器。
私人雲端環境
可以在客戶擁有的資料中心,或由公用雲端服務提供者所執行。在這兩個情況中,伺服器都是單一租用戶,且組織無需與其他公司共用空間。
混合式雲端環境
內部部署資料中心和協力廠商雲端的組合。
多雲端環境
包括由不同雲端服務提供者營運的兩個或以上的雲端服務。
無論組織使用何種類型的環境或環境組合,雲端安全性的目的就是保護實體網路,包括路由器和電力系統、資料、資料儲存體、資料伺服器、應用程式、軟體、作業系統和硬體。
雲端安全性為何至關重要?
雲端已成為線上生活不可或缺的一部分。這不僅讓數位通訊和工作變得更方便,還能促進組織快速創新。但在朋友間分享相片、同事間共同作業開發新產品,或是政府提供線上服務時,並不總是清楚資料本身儲存的位置。可能有人會不慎將資料移動到較不安全的位置,而且由於一切都能透過網際網路來存取,資產更可能面臨未經授權存取的風險。
資料隱私權對人員和政府而言日益重要。像是一般資料保護規定 (GDPR) 和健康保險流通與責任法案 (HIPAA) 等法規會要求組織以透明的方式收集資訊,並制定可協助防範資料遭竊或錯誤使用的原則。如果無法遵守將面臨巨額罰款和信譽受損。
為了保持競爭力,組織必須持續快速地反覆使用雲端,並讓員工和客戶可以輕鬆存取服務,同時保護資料和系統免受下列威脅侵害:
- 遭入侵的帳戶:攻擊者通常會使用網路釣魚活動來竊取員工密碼,並取得系統和重要公司資產的存取權。
- 硬體和軟體弱點:無論組織使用的是公用還是私人雲端,安裝硬體和軟體的修補程式並保持在最新狀態至關重要。
- 內部威脅:人為錯誤是造成安全性缺口的一大原因。設定錯誤會為惡意執行者提供漏洞,而員工經常會點選惡意連結,或不慎將資料移動到較不安全的位置。
- 雲端資源缺乏可見度:這項雲端風險會對安全性弱點與威脅的偵測及回應造成困難,進而導致出現缺口和資料外洩。
- 缺乏風險優先順序:當安全性系統管理員掌握雲端資源後,改善安全性態勢的建議可能會接踵而來。因此,確定風險優先順序非常重要,這樣系統管理員就知道應將重點放在哪裡,才能對安全性產生最大影響。
- 高風險雲端權限:雲端服務和身分識別的增加提升了高風險雲端權限的數量,進而擴大可能的攻擊面。權限蔓延指標 (PCI) 計量可根據身分識別的權限來衡量可能造成多少傷害。
- 新興威脅趨勢:雲端安全性風險持續在演變。若要避免安全性缺口和資料外洩,掌握最新威脅趨勢至關重要。
- 雲端原生開發環境和安全性缺乏整合:應用程式部署到雲端之前,安全性小組和開發小組合作識別及修正程式碼問題至關重要。
雲端安全性如何運作?
雲端安全性是雲端服務提供者和其客戶要承擔共同的責任。責任多寡將視所提供的服務類型而定:
基礎結構即服務
在此模式中,雲端服務提供者會隨需求提供運算、網路和儲存資源。提供者負責保護核心運算服務。客戶必須保護作業系統上的所有項目,包括應用程式、資料、執行階段、中介軟體和作業系統本身。
平台即服務
許多提供者也在雲端中提供完整的開發和部署環境。除了核心運算服務以外,他們還負責保護執行階段、中介軟體和作業系統。客戶必須保護其應用程式、資料、使用者存取權、終端使用者裝置和終端使用者網路。
軟體即服務
組織也可以透過隨用隨付模式存取軟體,像是 Microsoft Office 365 或 Google 雲端硬碟。在此模式中,客戶仍需要保護其資料、使用者和裝置的安全性。
無論責任歸屬於誰,雲端安全性都具備四個主要層面:
- 限制存取權:由於雲端可以讓一切都透過網際網路來存取,因此確保只有正確人員可以在正確時間擁有正確工具的存取權至關重要。
- 保護資料:組織需要了解其資料的存放位置並採取適當的控制措施,保護資料本身以及託管資料的基礎結構。
- 資料復原:為了防範外洩,擁有良好的備份解決方案和資料復原計劃相當重要。
- 應對計劃:組織遭到攻擊時,需要能降低影響和防止其他系統遭入侵的計劃。
- 提早實施安全性措施:安全性小組和開發小組合作將安全性內嵌到程式碼本身,讓雲端原生應用程式從一開始就有安全性並保持安全。
- 整合 DevOps 安全性態勢的可見度:藉由使用單一畫面窗格來呈現各 DevOps 平台的 DevOps 安全性態勢深入解析,將盲點降至最低。
- 讓安全性小組持續專注於新興威脅:以程式碼強化雲端資源設定,藉此降低在實際執行環境發生安全性問題。
雲端安全性工具的類型
雲端安全性工具會處理來自員工和外部威脅的弱點,也能協助緩解開發期間產生的錯誤,並減少未經授權人員取得敏感性資料存取權的風險。
-
雲端安全性態勢管理
雲端設定錯誤經常發生,並造成可入侵的機會。許多這類錯誤發生的原因是,人員不了解客戶有設定雲端並保護應用程式的責任。在環境複雜的大型企業中也容易出錯。
雲端安全性態勢管理解決方案是透過持續尋找可能導致外洩的設定錯誤,協助您降低風險。透過將程序自動化,這些解決方案就能減少手動程序中出錯的風險,並提升擁有數千個服務和帳戶環境的可見度。 偵測到弱點後,開發人員可以透過引導式建議修正問題。 雲端安全性態勢管理可持續監控環境中的惡意活動或是未經授權的存取。
-
雲端工作負載保護平台
由於組織制定可協助開發人員更快速建置和部署的程序,因此在開發期間遺漏安全性檢查的風險也就更大。雲端工作負載保護平台可協助保護雲端中應用程式所需的運算、儲存和網路功能。方法是藉由識別公用、私人和混合式雲端中的工作負載,並掃描以尋找弱點。如果發現弱點,解決方案會提出建議控制措施來修正弱點。
-
雲端存取安全性代理程式
由於尋找和存取雲端服務非常容易,因此 IT 小組難以掌握所有用於組織的軟體。
雲端存取安全性代理程式 (CASB) 可協助 IT 人員掌握雲端應用程式使用情況,並為每個應用程式提供風險評定。這些解決方案也能透過顯示資料如何經由雲端移動的工具,協助保護資料並符合合規性目標。組織還可以使用這些工具來偵測異常使用者行為並補救威脅。
-
身分識別和存取權
控制誰可以存取資源,對於保護雲端中的資料至關重要。組織必須能確保員工、承包商和業務合作夥伴無論是在現場還是遠端工作,都擁有正確的存取權。
組織使用身分識別和存取權解決方案來驗證身分、限制存取敏感性資源,並強制執行多重要素驗證和最低權限原則。
-
雲端基礎結構權利管理
身分識別和存取權管理甚至會在人員跨多雲端存取資料時變得更複雜。雲端基礎結構權利管理解決方案可協助公司掌握哪些身分跨雲端平台存取哪些資源。IT 小組也可以使用這些產品,套用最低權限存取和其他安全性原則。
-
雲端原生應用程式防護平台
全方位的雲端原生應用程式防護平台 (CNAPP) 可協助安全性小組將安全性嵌入程式碼和雲端。CNAPP 整合了合規性和安全性功能,以預防、偵測和回應多雲端和混合環境中從開發到執行的雲端安全性威脅。
-
整合 DevOps 安全性管理
整合適用於 DevOps 的安全性管理有助於從一開始就保持雲端應用程式的安全。安全性小組有權整合、加強和管理多管線安全性、將安全性嵌入程式碼本身以提早實施安全性措施,並在單一主控台中支援程式碼對雲端的保護。
雲端安全性面臨的挑戰有哪些?
雲端的互連關係讓線上工作和互動變得更簡單,但也產生安全性風險。安全性小組需要解決方案,協助他們處理下列在雲端中面臨的重大挑戰:
缺乏資料可見度
若要保持組織的生產力,IT 人員必須為員工、業務合作夥伴和承包商,提供公司資產和資訊的存取權。這類人員當中有不少是遠端工作或位於公司網路之外,而大型企業的授權使用者清單則是不斷在變動。由於許多人員使用多部裝置,跨各種公用和私人雲端存取公司資源,因此難以監控已使用哪些服務以及如何透過雲端移動資料。技術小組需要確保資料不會被移動到較不安全的儲存解決方案,並需要防止不當的人員取得敏感性資訊的存取權。
複雜環境
雲端讓部署基礎結構和應用程式變得更加輕鬆。有了這麼多不同的提供者和服務,IT 小組可以選擇最適合每個產品和服務需求的環境。這導致產生跨內部部署、公用和私人雲端的複雜環境。混合式的多雲端環境需要能在整個生態系統運行,以及保護人員從不同位置存取不同資產的安全性解決方案。發生設定錯誤的可能性更大,因此監控跨這些複雜環境橫向移動的威脅相當有挑戰性。
快速創新
各種要素的組合讓組織可以快速創新並部署新產品。AI、機器學習和物聯網技術已促進企業更有效收集和使用資料。雲端服務提供者提供低程式碼和無程式碼服務,讓公司能更輕鬆使用進階技術。DevOps 程序已縮短開發週期。隨著更多組織的基礎結構託管在雲端中,他們已將資源重新分配到研究和開發方面。快速創新的缺點是,技術變化的速度太快,導致安全性標準經常被跳過或是忽略。
合規性和控管
雖然多數大型雲端服務提供者會遵守數個知名的合規性資格鑑定計畫,但雲端客戶還是有責任要確保其工作負載符合政府和內部標準。
內部威脅
保護組織不受員工有意或無意使用其授權的存取權造成傷害的影響,對於 IT 小組和安全性小組而言至關重要。內部威脅包括可能導致潛在安全性事件的人為錯誤,例如,當員工在回應電子郵件網路釣魚活動後不小心安裝了惡意軟體。其他類型的威脅是由惡意內部人員造成的,例如盜竊或欺詐,他們會透過單獨行動或與網路犯罪組織合作來造成傷害。內部風險比外部威脅更難偵測,因為內部人員已經可以存取組織的資產,並且熟悉公司的安全性措施。
實作雲端安全性
只要正確結合程序、控制措施和技術,就可以減少針對雲端環境的網路攻擊風險。
雲端原生應用程式平台包括雲端工作負載保護平台、雲端基礎結構權利管理和雲端安全性態勢管理,其會協助您減少錯誤、加強安全性,並能有效管理存取權。
為了支援您在技術上的投資,舉辦定期訓練協助員工識別網路釣魚活動和其他社交工程技術。確保人員如果懷疑自己收到惡意電子郵件,他們可以很容易地通知 IT 人員。執行網路釣魚模擬,監控您的計劃是否有效。
建立可協助您防止、偵測和回應攻擊的程序。定期安裝軟體和硬體的修補程式來減少弱點。加密敏感性資料並開發強式密碼原則,降低帳戶遭入侵的風險。 多重要素驗證可使未經授權的使用者更難取得存取權,而無密碼技術比傳統密碼更容易使用且更安全。
隨著混合式工作模式讓員工靈活地在辦公室和遠端工作,組織勢必需要全新的資訊安全模型,無論人員、裝置、應用程式和資料位於何處,皆可隨時隨地提供保護。零信任架構始於下列原則:即使存取要求來自網路內部,您仍無法再信任它。為了緩解風險,請假設您已經遭到入侵,並明確地驗證所有存取要求。運用最低權限存取權,讓人員只能存取他們需要的資源,且無法存取任何其他內容。
雲端安全性解決方案
雖然雲端會帶來新的安全性風險,但正確的雲端安全性解決方案、程序和原則卻能協助您大幅降低風險。從依照下列步驟開始:
- 識別組織中採用的所有雲端服務提供者,並讓自己熟悉其在安全性和隱私權相關的責任。
- 投資像是雲端存取安全性代理程式等工具,掌握貴組織使用的應用程式和資料。
- 部署雲端安全性態勢管理,協助您識別和修正設定錯誤。
- 實作雲端工作負載保護平台,在開發程序中建置安全性。
- 定期安裝軟體的修補程式並制定原則,將員工的裝置保持在最新狀態。
- 制定訓練計畫,確保員工都能了解最新的威脅和網路釣魚策略。
- 實作零信任安全性策略,並使用身分識別和存取權管理,以管理和保護存取權。
- 在 DevOps 管線中,將安全性嵌入到程式碼本身以提早實施安全性措施,讓雲端原生應用程式從一開始就有安全性並保持安全。
深入了解 Microsoft 安全性
常見問題集
-
雲端安全性是雲端服務提供者和其客戶要承擔共同的責任。責任多寡將視所提供的服務類型而定:
基礎結構即服務。在此模式中,雲端服務提供者會隨需求提供運算、網路和儲存資源。提供者負責保護核心運算服務的安全。客戶必須保護作業系統及作業系統上的所有項目,包括應用程式、資料、執行階段和中介軟體。
平台即服務。許多提供者也在雲端中提供完整的開發和部署環境。除了核心運算服務以外,他們還負責保護執行階段、中介軟體和作業系統。客戶必須保護其應用程式、資料、使用者存取權、終端使用者裝置和終端使用者網路。
軟體即服務。組織也可以透過隨用隨付模式存取軟體,像是 Microsoft Office 365 或 Google 雲端硬碟。在此模式中,客戶仍需要保護其資料、使用者和裝置的安全性。
-
協助公司保護雲端中資源的四個工具:
- 雲端工作負載保護平台可協助保護雲端中應用程式所需的運算、儲存和網路功能。方法是藉由識別公用、私人和混合式雲端中的工作負載,並掃描以尋找弱點。如果發現弱點,解決方案會提出建議控制措施來修正問題。
- 雲端應用程式安全性代理程式可協助 IT 小組掌握雲端應用程式使用情況,並為每個應用程式提供風險評定。這些解決方案也能透過顯示資料如何經由雲端移動的工具,協助保護資料並符合合規性目標。組織還可以使用雲端應用程式安全性代理程式來偵測異常使用者行為並補救威脅。
- 雲端安全性態勢管理解決方案是透過持續尋找可能導致外洩的設定錯誤,協助您降低風險。透過將程序自動化,這些解決方案就能減少手動程序中出錯的風險,並提升擁有數千個服務和帳戶環境的可見度。偵測到弱點後,這些解決方案會提供引導式建議,協助開發人員修正問題。
- 身分識別和存取權管理解決方案提供管理身分識別和套用存取原則的工具。組織使用這些解決方案來限制存取敏感性資源,並強制執行多重要素驗證和最低權限存取。
- 雲端原生應用程式防護平台 (CNAPP) 可協助安全性小組將安全性嵌入程式碼和雲端。CNAPP 整合了合規性和安全性功能,以預防、偵測和回應從開發到執行階段的雲端安全性威脅。
- 整合 DevOps 安全性管理使安全性小組能夠整合、加強和管理多管線安全性、將安全性嵌入程式碼本身以提早實施安全性措施,並在單一主控台中支援程式碼對雲端的保護。
-
在制定程序和原則保護雲端時,組織需要考量這四個領域:
- 限制存取權:由於雲端可以讓一切都透過網際網路來存取,因此確保只有正確人員可以在正確時間擁有正確工具的存取權至關重要。
- 保護資料:組織需要了解其資料的存放位置並採取適當的控制措施,保護託管和儲存資料的基礎結構,以及資料本身。
- 資料復原:為了防範外洩,擁有良好的備份解決方案和資料復原計劃相當重要。
- 回應計劃:組織遭到入侵時,需要能降低影響和防止其他系統遭入侵的計劃。
- 提早實施安全性措施:安全性小組和開發小組合作將安全性內嵌到程式碼本身,讓雲端原生應用程式從一開始就有安全性並保持安全。
- 整合 DevOps 安全性態勢的可見度:藉由使用單一畫面窗格來呈現各 DevOps 平台的 DevOps 安全性態勢深入解析,將盲點降至最低。
- 讓安全性小組持續專注於新興威脅:以程式碼強化雲端資源設定,藉此降低在實際執行環境發生安全性問題。
-
組織需要留意下列雲端風險:
- 帳戶遭入侵:攻擊者通常會使用網路釣魚活動來竊取員工密碼,並取得系統和重要公司資產的存取權。
- 硬體和軟體弱點:無論組織使用的是公用還是私人雲端,安裝硬體和軟體的修補程式並保持在最新狀態至關重要。
- 內部威脅:人為錯誤是造成安全性缺口的一大原因。設定錯誤會為惡意執行者提供漏洞,而員工經常會點選惡意連結,或不慎將資料移動到較不安全的位置。
- 雲端資源缺乏可見度:這項雲端風險會對安全性弱點與威脅的偵測及回應造成困難,進而導致出現缺口和資料外洩。
- 缺乏風險優先順序:當安全性系統管理員掌握雲端資源後,改善安全性態勢的建議可能會接踵而來。因此,確定風險優先順序非常重要,這樣系統管理員就知道應將重點放在哪裡,才能對安全性產生最大影響。
- 高風險雲端權限:雲端服務和身分識別的增加提升了高風險雲端權限的數量,進而擴大可能的攻擊面。權限蔓延指標 (PCI) 計量可根據身分識別的權限來衡量可能造成多少傷害。
- 新興威脅趨勢:雲端安全性風險持續在演變。若要避免安全性缺口和資料外洩,掌握最新威脅趨勢至關重要。
- 雲端原生開發環境和安全性缺乏整合:應用程式部署到雲端之前,安全性小組和開發小組合作識別及修正程式碼問題至關重要。
-
雲端安全性指的是保護雲端式系統和資料的技術、程序、原則和控制措施。雲端安全性部分範例包含:
- 雲端存取安全性代理程式等工具,以掌握組織使用的應用程式和資料。
- 雲端安全性態勢管理,以協助識別和修正設定錯誤。
- 可協助安全性小組和開發小組合作將安全性嵌入程式碼本身的工具。
- 雲端工作負載保護平台,以在開發程序中建置安全性。
- 實作原則以將員工的裝置保持在最新狀態,包含定期修補軟體。
- 制定訓練計畫,以確保員工都能了解最新的威脅和網路釣魚策略。
-
透過保護雲端系統和資料免受內部和外部威脅,雲端安全性能降低網路攻擊的風險。雲端安全性還可透過控制擁有資源存取權的對象來支援混合式工作模式,無論對象是現場或遠端工作的員工、承包商和商務合作夥伴。另一個優點是雲端安全性加強了資料隱私,並協助組織遵守 GDPR 和 HIPAA 等法規。如果無法遵守這些法規可能會面臨巨額罰款和信譽受損。
-
雲端安全性的最佳做法涵蓋貴組織的技術、程序和控制項,包括:
- 確認您的雲端原生應用程式平台,包括雲端工作負載保護平台、雲端基礎結構權利管理和雲端安全性態勢管理,有助於您減少錯誤、加強安全性,並能有效管理存取權。
- 舉辦定期訓練協助員工識別網路釣魚活動和其他社交工程技術。此外,實作可協助您預防、偵測和應對攻擊的程序,包括將敏感性資料加密、定期修補軟體和硬體,以及開發強式密碼原則。
- 採用明確驗證所有存取要求的零信任架構。這包含運用最低權限存取權,讓人員只能存取他們需要的資源,且無法存取任何其他內容。
- 在 DevOps 管線中提早實施安全性措施,可使安全性小組和開發小組合作將安全性嵌入到程式碼本身,讓雲端原生應用程式從一開始就有安全性並保持安全。
關注 Microsoft 安全性