云遷移的安全風(fēng)險

隨著企業(yè)將越來越多的關(guān)鍵任務(wù)系統(tǒng)遷移到云上，云遷移的安全風(fēng)險越來越受到關(guān)注。云安全現(xiàn)在已經(jīng)被很好地理解了，并且有完善的工具和方法來保護(hù)云工作負(fù)載。然而，這些安全方法在從內(nèi)部部署到云環(huán)境的交叉過程中可能會崩潰，導(dǎo)致災(zāi)難性的入侵或數(shù)據(jù)暴露。

什么是云遷移?

云遷移涉及到將應(yīng)用程序、數(shù)據(jù)和其他數(shù)字資產(chǎn)從本地數(shù)據(jù)中心遷移到云中。這些應(yīng)用程序可能是自定義構(gòu)建的應(yīng)用程序，也可能是組織從第三方供應(yīng)商獲得許可的應(yīng)用程序。有幾種云遷移的方法，包括:

按原樣移動應(yīng)用程序——這被稱為“提升和轉(zhuǎn)移”;

對應(yīng)用程序進(jìn)行小的更改以使其能夠遷移到云;

重建或重構(gòu)應(yīng)用程序以使其更適合云環(huán)境;

從遺留應(yīng)用程序切換到支持云或由云供應(yīng)商提供的新應(yīng)用程序;

為云構(gòu)建新的應(yīng)用程序被稱為“云原生開發(fā)”。

云遷移的主要好處是什么?

大多數(shù)云遷移的總體目標(biāo)是獲得云的好處——在高效的IT環(huán)境中托管應(yīng)用程序和數(shù)據(jù)，從而提高成本、性能和安全性等參數(shù)。

遷移到云的主要動機(jī)包括彈性可伸縮性、優(yōu)化成本或從資本支出模型切換到運(yùn)營費(fèi)用模型，以及對僅在云環(huán)境中可用的新技術(shù)、服務(wù)或功能的需求。

也許更重要的是，云計算將企業(yè)IT團(tuán)隊從管理正常運(yùn)行時間的負(fù)擔(dān)中解放出來，并提高了組織部署新服務(wù)和發(fā)展以支持不斷變化的業(yè)務(wù)需求的能力。

云遷移項目的關(guān)鍵考慮因素

遷移項目中的一個主要問題是要遷移哪些應(yīng)用程序。如果一個應(yīng)用符合以下一個或多個條件，就考慮將它移動到云上:

與本地資源通信時，應(yīng)用程序不需要低延遲。

將應(yīng)用程序保留在本地沒有特定的安全性或合規(guī)性要求。

應(yīng)用程序會隨著時間的推移承受波動的負(fù)載，云的彈性可以很好的解決。

第一次遷移時考慮非關(guān)鍵業(yè)務(wù)類型的應(yīng)用程序，在有充足的經(jīng)驗后遷移關(guān)鍵性業(yè)務(wù)應(yīng)用程序。

考慮哪種部署和定價模型最適合您的工作負(fù)載：

在公共云中部署應(yīng)用程序提供了無限的可擴(kuò)展性和即用即付模式。

構(gòu)建私有云的前期費(fèi)用很高，但可提供更高的可擴(kuò)展性、增強(qiáng)的安全性并降低運(yùn)營成本。

存在可以支持用例并可能提供有競爭力的價格或其他差異化優(yōu)勢的利基云提供商。許多公司采用多云方法，根據(jù)其技術(shù)解決方案的成本和適用性，將不同的工作負(fù)載部署到不同的云提供商。

云遷移的安全風(fēng)險

云遷移需要仔細(xì)規(guī)劃，因為它容易受到多種攻擊。在遷移過程中，傳輸敏感數(shù)據(jù)，使其容易受到攻擊。此外，在遷移項目的各個階段，攻擊者可以訪問不安全的開發(fā)、測試或生產(chǎn)環(huán)境。

威脅：

API漏洞：應(yīng)用程序編程接口 (API) 充當(dāng)環(huán)境之間的通信通道。API 必須在云遷移過程的所有階段都受到保護(hù)。

盲點(diǎn)：遷移到云端意味著放棄對運(yùn)營某些方面的控制。在遷移之前，請檢查您的云提供商提供的安全性，以及如何使用第三方安全解決方案對其進(jìn)行補(bǔ)充。

合規(guī)性要求：確保您的目標(biāo)云環(huán)境支持所需的合規(guī)性標(biāo)準(zhǔn)。這包括云提供商的合規(guī)認(rèn)證以及組織為確保云工作負(fù)載、數(shù)據(jù)和訪問安全而執(zhí)行的程序。所有這些都可以并且將作為合規(guī)要求的一部分進(jìn)行審計。

不受控制的增長：云遷移不是一次性的過程。將應(yīng)用程序遷移到云后，組織可能會添加更多資源、使用新的云服務(wù)并添加更多應(yīng)用程序。一旦它們已經(jīng)在云中運(yùn)行，就開始使用其他 SaaS 應(yīng)用程序是很常見的。這些新的服務(wù)和應(yīng)用程序必須得到適當(dāng)?shù)谋Ｗo(hù)，這帶來了重大的運(yùn)營挑戰(zhàn)。

數(shù)據(jù)丟失：云遷移涉及數(shù)據(jù)傳輸。必須確保備份數(shù)據(jù)以防遷移過程中出現(xiàn)錯誤。所有數(shù)據(jù)傳輸都通過加密通道進(jìn)行，并仔細(xì)管理加密密鑰。

緩解云遷移安全風(fēng)險的 5 種方法

建立一套安全標(biāo)準(zhǔn)和準(zhǔn)則：與合規(guī)、IT 和開發(fā)團(tuán)隊合作制定基本的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)至少應(yīng)涵蓋訪問控制、IaC模板、云工作負(fù)載漏洞管理和安全DevOps程序。

為身份和訪問管理 (IAM) 分配專職人員：身份管理在云中至關(guān)重要且高度動態(tài)。指派專職人員確保 IAM 得到妥善管理和長期維護(hù)。

實施多因素身份驗證：在云遷移的所有階段，都需要進(jìn)行多因素身份驗證，包括在開發(fā)環(huán)境中。這降低了未經(jīng)授權(quán)訪問管理員帳戶和關(guān)鍵資產(chǎn)的風(fēng)險。

啟用云范圍的日志記錄：所有主要的云服務(wù)提供商都提供集中的日志記錄服務(wù)(例如，Amazon CloudTrail)。在整個遷移過程中利用此功能并將日志發(fā)送到中央收集器進(jìn)行分析。使用這些日志在遷移期間創(chuàng)建系統(tǒng)行為基線，以便更輕松地檢測和調(diào)查安全事件。

使用云安全狀態(tài)管理 (CSPM) ：CSPM解決方案監(jiān)控云系統(tǒng)的錯誤配置，在某些情況下，可以立即修復(fù)它們。這對于在遷移的不同階段跟蹤許多云資產(chǎn)并確保關(guān)鍵數(shù)據(jù)和資產(chǎn)具有適當(dāng)?shù)陌踩O(shè)置非常重要。

來源：

https://resources.infosecinstitute.com/topic/security-risks-of-cloud-migration/