企業(yè)在公共雲安全中需責任共擔

許多(duō)公有(yǒu)雲提供商都(dōu)擁有(yǒu)緻∑✔¶力于在軟件(jiàn)服務、平台服務或基礎設施服務層提供安全性♥​ ♣的(de)團隊，在過去(qù)幾年(nián)中，許多(duōφ¥↑¥)公有(yǒu)雲提供商也(yě)投入大(dà)量資源來(lái)←★↔确保他(tā)們的(de)産品比以前更加安全。然而，即便如(rú)此✔↕ ，公有(yǒu)雲仍然可(kě)能(néng)會(huì)對(d₽≥δ≤uì)在嚴格隐私、安全和(hé)合規條例下(xià)運營的(de)組®♣織帶來(lái)風(fēng)險。因此，企業( ♥δ★yè)的(de)IT專業(yè)人(rén)員(yuá♣βn)也(yě)必須發揮自(zì)己的(de)作(zuò)用(φ  yòng)，承擔起确保企業(yè)業(yè)務安全的γ♠(de)責任，這(zhè)也(yě)是(shì)雲計(jì)算(s♦÷uàn)提供商責任終止與企業(yè)責任開(kāi)始‍φ之間(jiān)的(de)延伸。

企業(yè)的(de)IT團隊在加強其雲計(j&→ì)算(suàn)環境的(de)安全性時(shí•↔¶→)應考慮以下(xià)事(shì)項：

SaaS：正确設置權限

SaaS提供商負責确保其應用(yòng)程序的(de★♣↔)安全，但(dàn)要(yào)由企業( $₽ yè)IT專業(yè)人(rén)員(yuán)正确設置內(nèi)容權限。這×λ(zhè)些(xiē)權限取決于用(yòng)φλ÷戶，應根據需要(yào)定期檢查和(hé)σ★β★調整。許多(duō)SaaS提供商允許管理(lǐ)員(>∞yuán)控制(zhì)用(yòng)戶共享權∑ €π限，以便他(tā)們可(kě)以在方便性和α•±(hé)安全性方面實現(xiàn)所需的(de)平衡。

管理(lǐ)員(yuán)應該通(tōng)過配置SaΩ&€λaS工(gōng)具來(lái)強制(zhì)執行(xíng)&ldquo¶€σ↕;最小(xiǎo)權限原則”，以便隻向需要(yào)它∞♦ 們的(de)用(yòng)戶授予讀(dú)寫權限。例如(rú)，對(d↔¶δuì)網絡文(wén)檔安全性設置不(bù)甚了±©®(le)解的(de)工(gōng)作(zuò)人(rén)員(yuán)最終可♦™(kě)能(néng)會(huì)對(duì)外(wài)洩露一±$(yī)些(xiē)內(nèi)容。客戶α∑的(de)大(dà)量信息洩露的(de)事(shì)件(jià"₩n)如(rú)今已屢見(jiàn)不(bù)鮮，過度寬松的(de)讀(d✔≤↔ ú)訪問(wèn)權限可(kě)能(nén☆≤g)會(huì)讓錯(cuò)誤的(de)人(rén)訪問(wèn)敏→≥£感信息。開(kāi)放(fàng)寫入權限可(kě)能(nén↕✘g)會(huì)給惡意用(yòng)戶創建“虛假內(nèi)容  ”的(de)機(jī)會(huì)，導緻合法用(yòn¥≈g)戶可(kě)能(néng)不(bù)信任原本真實有(yǒu)效的(de) '£內(nèi)容。IT管理(lǐ)員(yuán₩↑∞)必須謹慎而細緻地(dì)進行(xíng)用(yòng)戶權限γ♦γ設置，防止濫用(yòng)讀(dú)取（洩漏）和​♣(hé)寫入（數(shù)據損壞或可(kě)能(néng)導緻不(↕™€bù)信任的(de)數(shù)據損壞或污點）權限。

PaaS：評估容器(qì)安全性

由于Linux容器(qì)的(de)便捷性和(↑↓hé)更高(gāo)的(de)速度和(hé)靈活$γ性，Linux容器(qì)已變得(de)越來γ×₩₹(lái)越流行(xíng)，但(dàn)安全性γ<仍然是(shì)許多(duō)提供商面臨的(de)問(wèn)題。¶✘IT管理(lǐ)員(yuán)應掃描并修複容器(qì)映™₩​↓像，以确保他(tā)們沒有(yǒu)已知(zhī)的(de)安全漏洞。在理(l₽✔ǐ)想情況下(xià)，他(tā)們可(kě)♠§ε♥以與開(kāi)發團隊一(yī)起使用(yòng)D™♦evOps技(jì)術(shù)來(lái)實現(xiàn)開(kāi)÷↓✔∏發人(rén)員(yuán)持續集成和(hé)部署管道(♣©↓dào)中的(de)安全檢查和(hé)修複的(de)自(zì)動化​π(huà)。這(zhè)将防止開(kāi)發人(rén)員(yuσ<↓án)在應用(yòng)程序更新并應用(yòng)時(shí)，都(d€Ω ±ōu)會(huì)被人(rén)工(gōng)實施的(d£δe)安全流程所阻礙。

組織應該要(yào)求供應商對(duì)其容器(qì)映¶>像的(de)安全狀态保持透明(míng)。“≠≤↕容器(qì)健康指數(shù)”可($$ kě)以提供幫助。這(zhè)些(xiē)存儲庫提供Linu↔€™×x容器(qì)映像安全性的(de)每日(rì)和(hé)按需÷ 評級，使管理(lǐ)人(rén)員(yuán)能(néng)夠判斷哪些(xiē→₩ק)容器(qì)可(kě)以安全使用(yòng)，哪些 ₩(xiē)容器(qì)包含已知(zhī)的(de© £)漏洞。

IaaS：保護平台

IaaS提供商負責提供其硬件(jiàn)，并為(wו∏èi)客戶的(de)雲計(jì)算(suβαλàn)虛拟機(jī)創建高(gāo)效和(hé)安全的(de)虛拟空($ kōng)間(jiān)。但(dàn)代理(l☆©εǐ)托管人(rén)員(yuán)必須确保其客戶操作(zuò)系統已完全打好'≥(hǎo)補丁，并符合安全基準。

管理(lǐ)人(rén)員(yuán)應該使用(yòng)相(☆♦xiàng)同的(de)管理(lǐ)平台和(hé)工(gōng)具來(lái)×♥&掃描和(hé)修複自(zì)己的(de)雲計(jì)算(★<suàn)虛拟機(jī)上(shàng)的↓♥↔(de)物(wù)理(lǐ)和(hé)虛拟化(huà)基礎設施系統。∏π✘采用(yòng)通(tōng)用(yòng)的(♠¶de)平台可(kě)以不(bù)再要(yào ♠ )求熟練使用(yòng)不(bù)同管理(lǐ)軟件(jiàn)或管理(→÷©lǐ)工(gōng)具。而采用(yòng)統一(yī)的(de)'€λ 工(gōng)具可(kě)以提供對(duì)物(wù)理(lǐ)系統、虛拟化 ←Ωβ(huà)基礎設施或雲中各機(jī)構安全的±¥•‌(de)整體(tǐ)觀點。

IT管理(lǐ)人(rén)員(yuán)可(k★<÷$ě)以采取其他(tā)重要(yào)的(de)安全措施÷♦®÷。他(tā)們應關閉并可(kě)能(néng)隔離(lí∑€★↓)不(bù)再使用(yòng)的(de)∏♥ φ虛拟機(jī)，從(cóng)而防止攻擊者進入未打補₽≠丁的(de)雲計(jì)算(suàn)虛拟機(jī✔↑‍)，然後在雲計(jì)算(suàn)基礎設施中橫向移動以獲得(de)更有(£γyǒu)利可(kě)圖的(de)目标。安全增強型Linux可(kě)<₽₽以實施訪問(wèn)控制(zhì)和(hé)安全策略，身™§₽π(shēn)份管理(lǐ)可(kě)讓IT專業(yè)人(r≤↕§én)員(yuán)整合，審核對(duì)其系統具有(yǒu ≠)管理(lǐ)訪問(wèn)權限的(de)•★✘∞人(rén)員(yuán)。他(tā)們應該執行(xíng)多(duō)因素≠•身(shēn)份驗證，以确保安全有(yǒu)效。

最後，IaaS環境必須盡可(kě)能(néng)實現(xiàn)自←•(zì)動化(huà)，以減少(shǎo)£•人(rén)為(wèi)錯(cuò)誤的(de)可(kě)能α (néng)性，從(cóng)而提高(gāo)安全性。管理(lǐ)人(ré♣↓&n)員(yuán)可(kě)以使用(yòng)εα&儀表闆和(hé)遠(yuǎn)程命令工(gōng)具輕松監視(shì)自(>±™zì)動化(huà)基礎設施，并快(kuài)速解決安全問(≈Ω↓♣wèn)題。

隻要(yào)IT管理(lǐ)人(rén)員&¥(yuán)盡到(dào)自(zì)己的(de)責任來(lái)§♦保護他(tā)們的(de)運行(xíng)環境，企業(yè)采用(y₹≠òng)公共雲平台運營業(yè)務将帶來(lái)♠★巨大(dà)的(de)收益。