保护云始于云架构。构建云计算安全体系结构的关键部分是规划云网络的可见性部分,即性能管理策略。可见性可以洞察潜在的缺陷,流量阻塞或定位网络中的可疑活动。
云安全属于共享云责任模型,这意味着云服务商和用户都有责任保护云。最佳实践是企业仔细审查云服务提供商(CSP)服务水平协议(SLA),以了解企业执行安全措施的责任。对于所有云服务模型,专家建议将这些项目用于安全的云架构:
对各个服务提供商的多个帐户应用单点登录,以便IT管理人员更轻松地监控云。
使用虚拟防火墙而不是第一代防火墙
整合数据丢失预防工具
企业还应通过实施安全信息和事件管理(SIEM),拒绝服务(DDoS)攻击保护和防病毒软件来进一步保护云
基于云服务模型的云计算安全架构如何变化
虽然所有云架构模型都需要性能管理工具和策略,但安全架构会根据云模型的类型而变化 - 软件即服务(SaaS),基础架构即服务(IaaS)或平台 - -a-service model(PaaS)。区分不同的服务模型非常重要,正如云安全联盟所说:“IaaS是所有云服务的基础,PaaS建立在IaaS之上,而SaaS则建立在PaaS之上。”
IaaS云计算安全架构
此基础架构为云网络提供存储和网络组件。它在很大程度上依赖于应用程序编程接口(API),以允许企业管理和与云交互。但是,云API往往是不安全的,因为它们是开放的,并且可以在网络上轻松访问。
CSP处理基础架构和抽象层的安全性。企业的安全义务包括堆栈的其余部分,包括应用程序。
在IaaS环境中部署网络数据包代理(NPB)可以查看云网络中的安全问题。NPB的直接流量和数据到适当的网络性能管理(NPM)和安全工具。除了部署NPB以收集有线数据外,企业还应记录电报以查看网络中端点发生的问题。
IaaS云计算服务模型需要以下额外的安全功能:
虚拟Web应用程序防火墙放置在网站前面以防止恶意软件。
基于虚拟网络的防火墙位于云网络的边缘,可以保护周边。
虚拟路由器
入侵检测系统和入侵防御系统(IDS / IPS)
网络细分
SaaS云计算安全架构
SaaS集中托管可通过浏览器访问的软件和数据。企业通常与CSP协商法律合同中的担保所有权条款。
云访问安全代理(CASB)在发现SaaS云服务模型中的安全问题时发挥着核心作用,因为它记录,审核,提供访问控制,并且通常包括加密功能。
SaaS云环境的其他安全功能包括:
记录
IP限制
API网关
PaaS云计算安全架构
CSA将PaaS定义为“在没有购买和管理底层硬件和软件以及配置托管功能的成本和复杂性的情况下部署应用程序”。
CSP保护了大部分PaaS云服务模型。但是,应用程序的安全性取决于企业。保护PaaS云的基本组件包括:
记录
IP限制
API网关
CASB
网友评论