在基础设施即服务环境中,网络安全组取代了防火墙的位置,就客户而言,对网络进行分割。网络安全组在OSI模型的网络的会话和传输层工作,就像传统防火墙一样。
云服务提供商肯定会实施和维护防火墙作为其网络安全计划的一部分,但他们不能将这些防火墙直接暴露给客户。如果他们这样做了,隔离就会受到损害,因为用户可能会编写防火墙规则,影响属于其他用户的系统或破坏整个环境的安全。相反,云服务提供商为用户提供了创建网络安全组(Network security groups) 的能力。这些组类似于防火墙规则,它们允许用户控制从互联网传到自己的虚拟化系统的流量,甚至是在虚拟化环境中运行的系统之间的流量。维护网络安全组是客户的责任,但这些安全组通常是免费提供的。当我们通过共同责任模式工作时,应该确保我们建立和维护对云服务器实例的合理的访问。
构建安全的云应用需要整合许多不同的安全、基础设施、平台和应用服务。这种整合工作是任何云安全工程师面临的主要挑战。在现实中,构建安全云解决方案的工作与网络安全专业人员多年来在企业内部环境中所做的工作明显相似。我们必须遵循这些环境中使用的一些相同的标准做法,并将其应用于云中。有时这涉及到使用相同的控制措施,而其他时候则需要将传统的控制措施映射到云端的具体对应措施。让我们来看看几个例子:
我们还需要通过映射安全控制来构建云中的安全解决方案。在任何网络安全工作中,我们应该遵循的核心原则是纵深防御(defense in depth)。这个原则告诉我们,我们应该建立一套重叠的安全控制,以实现相同的目标。这样一来,如果一个控制措施失败了,其他的控制措施就会随时准备填补这个空白。
三、云提供商的安全控制(Cloud provider security controls)当我们在云中实施安全控制时,必须做出决定,是否愿意采用云原生(Cloud-Native)安全控制、第三方解决方案,或两者的结合。由我们的云供应商提供的安全控制措施的优点是专门为该云供应商的环境设计的。它们可能会很容易使用,并与我们的云平台紧密结合。然而,这种紧密集成也是它们的缺点。第三方安全控制仍然经常通过他们的API与云供应商整合,但他们提供了跨多个云平台工作的好处。如果我们在一个多云环境中,可能更喜欢第三方控制,而不是供应商的特定控制。然而,我们应该知道,第三方控制往往比云供应商提供的控制更昂贵。
资源策略(Resource policy) 是一项重要的控制措施,我们应该利用每个云提供商的本来能力来实施。这些策略对可以直接访问我们的云环境的用户可能采取的行动进行限制。例如,资源策略可以限制用户可以终止云实例,控制每个账户的支出水平,或限制用户使用云提供商产品中的特定服务。资源政策可以帮助我们防止错误,减少内部恶意攻击的风险,并实施财务控制。
中转网关(Transit geteway) 对于在混合云环境中运行的组织来说是一个重要的控制手段,因为他们有一些业务在云中,而另一些业务在驻地数据中心。中转网关在云中运行的VPC和本地网络的VLANS之间建立安全连接。我们可以把它们看作是提供强加密连接的云路由器。
秘密管理(Secret Management)工具,如云硬件安全模块(Cloud hardware security modules),允许我们以允许我们和我们的应用程序访问加密密钥和其他敏感凭据的方式存储加密密钥和其他敏感凭据,但使它们免受窥探,无论窥探者是在我们的组织中还是在云提供商处。秘密管理解决方案可能相当昂贵,但它们是保护帐户安全的有效方法。
整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601
