人们需要了解在云中安全部署应用程序和管理数据的最佳实践。

　　保护云中的数据和应用程序需要采用严格的策略管理人员、流程和技术。由于云计算出色的可靠性、可扩展性以及可以显著降低成本，迁移到云平台的企业数量急剧增加。

　　云安全的最佳实践

　　与一切都在传统数据中心运行的时代相比，云计算改变了应用程序和数据的访问和消费方式。云服务模型需要足够的安全措施和框架来提供适当的防护。这些最佳实践的核心思想是，云计算用户应该彻底熟悉他们购买的服务，并使用云服务提供商提供的安全资源。

　　(1)云安全作为共享责任模型

　　云中的安全性是使用共享责任模型实现的。简单地说，确保客户数据和虚拟化平台本身安全永远是云服务提供商的工作和责任。

　　云计算用户必须了解所涉及的风险，并主动设计和实现充分的安全控制。一些例子包括了解何时需要加密虚拟化存储、设置虚拟网络和防火墙以及在共享和专用主机之间进行选择。

　　云环境中的安全是云服务提供商和云用户的共同责任，在某些领域有一些重叠。当前许多云安全问题都源于客户对谁负责什么问题的困惑。可以明确，是云计算用户承担了云安全更重要的部分，而不是云服务提供商。

　　(2)提高员工技能

　　全球云计算市场目前以15.14%的年复合增长率增长，预计到2027年云计算市场规模将达到9234.6亿美元。在未来几年，云计算应用将变得无处不在，包括但不限于原生云软件应用程序开发、跨云或混合平台的解决方案架构等等。对员工来说，以长远的眼光为自己的职业发展做规划是至关重要的。

　　在企业工作了一段时间的员工比新员工更有优势，因为他们已经熟悉企业的文化、价值观和流程。因为大多数现有的IT技能都可以很容易地重用，所以重新培训比招聘更高效、更划算，而且它可以帮助满足对以云计算为中心的IT劳动力的直接需求。

　　每个企业都必须确定它将使用云计算的哪些方面，比如运营、软件开发、网络支持和基础设施需求，然后为其现有员工设计培训计划以满足这些要求。

　　(3)实现身份和访问管理

　　身份管理和访问控制的安全措施包括：

　　应用多因素身份验证系统

　　当有条件访问策略并且身份验证由目录服务(如LDAP或活动目录)控制时，使用多因素身份验证系统(MFA)。

　　访问控制方法

　　在使用云服务时，企业必须以适当的访问级别管理对云计算资源的访问。基于角色的访问控制是一种方法，可用于控制谁有权访问云平台的哪些部分，以及他们可以对被授予访问权限的资源做什么。

　　可疑活动监控

　　必须迅速查明、隔离和消除可疑活动。身份监视系统必须具备立即发出警报的能力，以便采取适当的措施。

　　(4)加密传输中的和静止的数据

　　没有迫切需要开发一种新的方法来保护云端的数据。云计算数据保护与传统数据中心的数据保护非常相似。在云平台中，可以实现数据保护策略，如身份和身份验证、加密、访问控制、安全删除、数据屏蔽和完整性检查。

　　云服务提供商必须保证所有已经部署云资源的物理安全。在信息传输或静止时，加密对于保护信息至关重要。云服务提供商能够实现各种各样的加密方法，如全磁盘加密、格式保留加密、应用层加密、文件加密和数据库加密。

　　企业可以通过在将数据传输到云平台之前对其进行加密或使用加密连接来保护传输中的数据内容。企业在存储数据时要保护数据，首先要做的就是对其进行加密。

　　(5)实现入侵防御和入侵检测

　　入侵检测系统可以根据其起源点进一步分为基于主机和基于网络的类别。入侵检测系统生成的警报使其值得使用。

　　入侵检测系统可以生成真实的和虚假的警告。这些入侵检测系统每天产生大量的信号。学术界和工业界的一些研究团队已经引入了大量的入侵数据集来评估新的攻击和入侵检测技术。这些数据集主要有三种类型：公共、私有和网络模拟。

　　使用各种资源创建公有和私有入侵数据集。这些数据集是在工具的帮助下生成的，这些工具可以追踪受害者、各种攻击、捕获和预处理流量，并密切关注流量模式。

　　结论

　　大多数企业为确保其内部部署应用程序和数据存储的安全所做的努力，都达不到云服务所能达到的效果。企业需要知道在使用特定云服务提供商的产品时期望他们采取什么安全措施，以及如何实现这些措施。潜在的云用户担心信任云服务提供商来处理特定的安全任务所带来的安全影响。过去发生的网络攻击事件表明，安全事件通常是由于用户没有正确使用可用的安全措施造成的。

　　责任编辑：张华