鑒于針對云的攻擊事件數(shù)量日益增多，所有使用云算服務的組織都應當對他們已實施的安全控制措施的狀態(tài)進行評估。

適用于客戶配置和控制的可用控制措施的類型是取決于所使用的云服務模式的。對于軟件即服務（SaaS）而言，唯一可能的配置是在云應用程序的環(huán)境中。該配置可以包括日志記錄和訪問控制（例如密碼策略和多因素身份驗證，MFA等），以及應用程序內(nèi)的角色和權限分配。對于平臺即服務（PaaS）部署來說，管理控制是通過服務控制臺來實現(xiàn)的，它主要關注訪問控制和用戶的角色與權限。大多數(shù)的PaaS環(huán)境還提供了對大量應用程序編程接口（API）的訪問，這些都是需要對潛在的安全問題進行仔細評估的。

漏洞掃描與滲透測試

漏洞掃描和滲透測試是所有PaaS和基礎設施即服務（IaaS）云服務都必須執(zhí)行的。無論他們是在云中托管應用程序還是運行服務器和存儲基礎設施，用戶都必須對暴露在互聯(lián)網(wǎng)中的系統(tǒng)的安全狀態(tài)進行評估。大多數(shù)云供應商都同意執(zhí)行這樣的掃描和測試，但是這要求他們事先與客戶和/或測試人員進行充分溝通和協(xié)調(diào)，以確保其它的租戶（用戶）不會遭遇中斷事件或受到性能方面的影響。

對于在PaaS和IaaS環(huán)境中測試API和應用程序的集成來說，與云供應商協(xié)作的企業(yè)應重點關注處于傳輸狀態(tài)下的數(shù)據(jù)，以及通過繞過身份認證或注入式攻擊等方式對應用程序和數(shù)據(jù)的潛在非法訪問。

配置管理

云安全措施中最重要的要素就是配置管理，其中包括了補丁管理。

在SaaS環(huán)境中，配置管理是完全由云供應商負責處理的。如有可能，客戶可通過鑒證業(yè)務準則公告（SSAE）第16號、服務組織控制（SOC）報告或ISO認證以及云安全聯(lián)盟的安全、信任和保證注冊證明向供應商提出一些補丁管理和配置管理實踐的要求。

在PaaS環(huán)境中，平臺的開發(fā)與維護都是由供應商來負責的。應用程序配置與開發(fā)的庫和工具可能是由企業(yè)用戶管理的，因此安全配置標準仍然還是屬于內(nèi)部定義范疇。然后，這些標準都應在PaaS環(huán)境中被應用和監(jiān)控。

對于IaaS環(huán)境，云供應商們應當證明他們內(nèi)部實踐的可行性，但是他們的客戶還管理著他們自己的虛擬機（VM）。鑒于云環(huán)境中的開放程度，這些內(nèi)容都應被盡可能安全的保護起來。由互聯(lián)網(wǎng)安全中心從安全配置入手，微軟公司以及其它的操作系統(tǒng)與應用程序供應商們是一個可靠的途徑，但是企業(yè)用戶不應滿足于內(nèi)部運行的安全配置，因為云本質(zhì)上是更具開放性的。關閉所有不必要的服務、刪除所有不需要的應用程序和代碼、限制用戶和組的訪問權限至最低需要限度并且始終保證為系統(tǒng)打補丁的實時性。

對于用戶正在運行一個私有云實施的IaaS環(huán)境，這就要求各種網(wǎng)絡控制措施也是可配置的。例如，一個亞馬遜網(wǎng)絡服務（AWS）中的虛擬私有云可以通過IPsec支持一個專用的VPN連接。確保IPsec相關參數(shù)是正確配置的，同時所有其它的網(wǎng)絡設施（例如防火墻和入侵檢測與預防系統(tǒng)）的設置都是被正確設置和處于被保護中的。

云供應商的安全控制

云供應商融入安全配置過程的切入點在哪里？云供應商負責所有基礎設施的運行，其中包括了虛擬化技術、網(wǎng)絡以及存儲等各個方面。它還負責其相關代碼，包括了管理界面和API，所以對它的開發(fā)實踐和系統(tǒng)開發(fā)生命周期的評價也是非常必要的。只有IaaS客戶會對整個系統(tǒng)規(guī)格擁有真正的控制權；如果虛擬機是基于一個供應商提供的模板而部署的，那么在實際使用前也應對這些虛擬機進行仔細研究并確保其安全性。

一家組織如何確定在強化自身應對云攻擊的準備工作中應投入多少的時間、精力和資金，其答案取決于企業(yè)在云中所托管系統(tǒng)和數(shù)據(jù)的敏感性。

無論其敏感性具體是如何的，所有的企業(yè)都應在評估云供應商的安全功能和控制措施上投入必要的時間，從而確定他們是否滿意。云安全聯(lián)盟的共識評估問卷（CAIQ）就是一個向云計算供應商提問的很好出發(fā)點。企業(yè)應確保他們的審計和安全團隊能夠定期地查審反饋，以及諸如SOC 2這樣的審計與驗證報告。對于那些部署在云中的系統(tǒng)和應用程序，打補丁、配置管理以及應用程序安全性（包括開發(fā)和評估）都是需要投資的重要領域。用戶訪問控制和角色與權限分配也是至關重要的。

在云環(huán)境中發(fā)生攻擊或事故之前，組織就應盡可能多地了解由供應商維護的安全控制以及那些由用戶使用的安全控制是非常關鍵的，因為這將有助于決策層作出更全面和更明智的風險決策。

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設、網(wǎng)站托管等網(wǎng)絡基礎服務，另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網(wǎng)絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900