2021 年云安全：基本工具和最佳实践业务指南

云计算服务已成为大多数企业的重要工具。最近，随着基于云的服务（如 Zoom、Microsoft 365 和 Google 工作空间等）成为远程工作的团队首选的协作和工作效率工具，这种趋势正在加速。

虽然云很快成为一种基本工具，允许企业和员工继续在家运营，但拥抱云也会带来额外的网络安全风险，而现在这一点越来越明显。

以前，大多数连接到公司网络的人会从工作地点这样做，从而从办公楼的四面墙内访问他们的帐户、文件和公司服务器，受到企业级防火墙和其他安全工具的保护。云应用程序的扩展使用意味着突然间情况并非如此，用户能够从任何地方访问公司应用程序、文档和服务。这带来了对新安全工具的需求。

虽然对远程工作人员持积极态度，因为这使他们能够继续保持某种正常状态，但远程工作也为网络罪犯提供了机会，他们迅速利用远程工作的转变，试图侵入配置不良的云安全组织的网络。

企业 VPN 和基于云的应用程序套件已成为黑客攻击的主要目标。如果安全性不高，所有这些都可以为网络罪犯提供访问公司网络的简单方法。所有攻击者需要做的是获取用户名和密码- 通过网络钓鱼电子邮件窃取它们或使用暴力攻击来破坏简单的密码 - 他们进来了。

由于入侵者使用的是已经远程工作的人的合法登录凭据，因此很难检测到未经授权的访问，特别是考虑到转向远程工作导致一些人工作时间与可能被视为核心工作时间的时间不同。

对云应用的攻击可能会对受害者造成极大的伤害，因为网络罪犯可能会在网络上持续数周或数月。有时他们窃取大量的敏感公司信息：有时，他们可能会使用云服务作为初始切入点，为勒索软件攻击奠定基础，这可能导致他们窃取数据和部署勒索软件。因此，对于使用云应用程序的企业来说，拥有正确的工具和实践以确保用户能够安全地使用云服务（无论他们来自何处）非常重要，同时能够高效使用云服务。

在用户帐户上使用多因素身份验证控制

一个明显的预防措施是首先对用户登录云服务方式实施严格的安全控制。无论是虚拟专用网络 （VPN），远程桌面协议 （RDP） 服务还是办公室应用程序套件，员工使用这些服务都需要的不仅仅是用户名和密码。

"云最重要的一点就是身份。身份几乎成为你绝对一切的代理。突然之间，普华永道网络安全总监克里斯蒂安？阿恩特（ChristianArndt）表示："突然之间，身份及其作用，以及你如何分配拥有所有权力的人。

无论是基于软件的、要求用户在智能手机上点击警报，还是基于硬件的提醒，要求用户在其计算机上使用安全的 USB 密钥，多因素身份验证（MFA） 都为防止未经授权访问帐户的尝试提供了有效的防线。根据微软的数据，MFA 可以防止 99.9%的欺诈性登录尝试。

它不仅阻止未经授权的用户自动进入帐户，该服务发出的通知还询问用户是否尝试登录，可以充当某人试图访问帐户的警报。这可以用来警告公司，他们可能成为恶意黑客的目标。

使用加密

轻松存储或传输数据的能力是使用云应用程序的主要好处之一，但对于希望确保数据安全的组织来说，其过程不应仅涉及将数据上传到云并忘记它。企业可以采取额外的步骤来保护上传到云服务的任何数据-加密。

就像在普通 PC 和服务器上存储数据一样，加密数据会使其无法读取，将其隐藏给未经授权或恶意的用户。某些云提供商会自动提供此服务，对进出云以及云内部的数据进行端到端保护，防止其纵或被盗。

尽快应用安全修补程序

与其他应用程序一样，云应用程序可以在供应商开发和应用修复程序以使其产品更好地工作时接收软件更新。这些更新还可以包含安全漏洞的修补程序，因为应用程序由云提供商托管，因此不会使其不受安全漏洞和网络攻击的影响。

供应商已发布 VPN 和 RDP 应用程序的关键安全修补程序，以便修复使组织面临网络攻击风险的安全漏洞。如果这些应用速度不够快，网络犯罪分子可能会滥用这些服务作为网络的切入点，这些网络可以被利用来进行进一步的网络攻击。

使用工具了解网络上的内容

公司使用越来越多的云服务——跟踪每个云应用或云服务器都是一项艰苦的工作。但是，由于云安全使用不当，公司数据暴露在很多很多的情况下。云服务可以处于打开状态并暴露在组织甚至不知道的情况下。暴露的公有云存储资源可能被攻击者发现，这可能使整个组织处于危险之中。

面临这些风险，使用高防服务器​就是一个很好的选择，这些可以帮助组织识别和纠正云中错误配置和合规性方面的潜在安全问题，提供减少黑客可以检查的攻击表面的方法，并帮助保护云基础结构的安全，防止潜在的攻击和数据泄露。

Forrester 副总裁兼研究总监 Merritt Maxim 表示："云安全态势管理是一种评估不断变化的环境中配置漂移的技术，如果情况与基线不同步，它会提醒您，这可能表明系统中存在某种内容，这意味着可以利用更多资源用于妥协目的。

网络安全公司 CheckPoint 软件的云安全主管 TJ Gonen 表示："您没有足够的人来管理环境中每天变化的 100 种不同工具，因此我想说，尝试在解决大问题的平台上进行整合并应用自动化。

确保管理员和用户帐户的分离

云服务可能很复杂，IT 团队的某些成员将享有高度特权地访问该服务以帮助管理云。高级管理员帐户的折衷可能使攻击者能够对网络进行广泛的控制，并能够执行管理员特权允许的任何操作，这可能对使用云服务的公司造成极大的损害。

因此，管理员帐户必须通过多因素身份验证等工具进行安全保护，并且管理员级别的特权仅提供给需要他们完成工作的员工。根据 NCSC，管理员级设备不应能够直接浏览 Web 或阅读电子邮件，因为这些设备可能会使帐户面临被入侵的风险。

确保不需要管理权限的普通用户没有这些特权也很重要，因为如果帐户发生妥协，攻击者可以快速利用此访问来控制云服务。

使用备份作为应急计划

但是，尽管云服务可以而且已经为世界各地的组织提供了好处，但重要的是不要完全依赖云来获得安全。虽然双重身份验证和自动警报等工具可以帮助保护网络的安全，但任何网络都不可能被破坏——如果没有应用额外的安全措施，情况尤其如此。

因此，良好的云安全策略还应涉及存储数据备份并离线存储，因此，如果发生导致云服务不可用的事件，公司需要处理某些问题。

使用简单易于员工使用的云应用程序

组织还可以采取其他措施来确保云的安全性，这首先为员工提供了正确的工具。云应用套件可以使每个人更容易协作，但它们还需要易于访问和直观地使用，否则组织可能会面临员工不想使用它们的风险。

企业可以建立最安全的企业云套件，但如果使用起来太难，员工可能会转而使用公有云工具。

此问题可能导致公司数据存储在个人帐户中，从而造成更大的被盗风险，尤其是在用户没有双重身份验证或其他控制来保护其个人帐户的情况下。

从个人帐户中窃取的信息可能导致组织整体发生广泛的数据泄露或更广泛的妥协。

因此，要使企业确保拥有安全的云安全战略，不仅应使用多因素身份验证、加密和离线备份等工具尽可能保护数据，企业还必须确保所有这些工具都简单易用，以鼓励员工正确使用这些工具，并遵循云安全的最佳实践。