如何构建弹性策略以解决云安全问题

【安防在线 www.anfang.cn】

当企业尝试管理云平台上的资源时，需要非常认真地对待安全问题。

对于使用云服务的企业来说，有许多重要的考虑因素。许多企业如今已经将业务迁移到云端，面临的最重要的问题之一是云安全。

根据针对个人和企业的全球风险报告，网络攻击已被列为2020年五大顶级的风险之一。到2021年，这一趋势预计不会放缓，因为仅物联网领域的网络攻击数量预计将在未来五年内翻一番。该报告还直截了当地指出，更极端的是，美国的网络攻击检测率只有0.05%。对于在云计算网络上受到网络攻击的资源，这些数字可能更多。

这一消息可能令人震惊，但它也应该提醒网络弹性对企业的重要性，即使在如此多的资源存储在云平台上的时代也是如此。在网络安全领域具有弹性的企业在预防、检测和响应网络攻击方面显然要比其他企业好得多。

如果答案如此简单，为什么其统计数据令人担忧？可悲的是，在产品开发的早期阶段，云计算的网络安全往往被忽视。这是企业根本无法承受的一个错误，因为正在为任何影响其业务的安全问题或攻击敞开大门。毫无疑问，正确的决定是从一开始就考虑安全性，并且越快越好。

迁移到云平台和常见的安全问题

云计算技术在所有行业中都获得了广泛的关注和普及。实际上，云计算可以为企业提供更多服务，从不必采购内部部署硬件到拥有众多可扩展性选项的能力。然而，云计算通常被视为所有问题的解决方案，很多企业急于采取行动而忽视了他们的安全需求和可能出现的问题。

关于云原生开发或将旧软件迁移到云平台的重要事情是拥有合适的技能和合适的团队，以便能够在那里进行操作。但在此之前，企业实际上必须了解云计算是否适合他们的业务结构和业务模式，以及实施后有什么优势。下一步是为企业的项目制定云评估计划，并让其团队准备好实施和支持云平台，即使将其委托给云计算提供商，也应该有人管理所有事情。

将业务迁移到云平台的另一个挑战是监管和法律合规性，这在很大程度上取决于企业所在的行业，也应该向其云计算提供商提出安全要求，企业应牢记这一点。

企业可能面临的另一个常见安全问题是欺诈活动、数据泄露和长期创新面临的障碍。采用云计算和防止这些问题的正确方法是构建企业的网络安全和网络弹性策略，并使它们协同工作。如果不注意安全性，在云平台开展业务对于企业来说是浪费时间和成本。

网络安全与网络弹性有何不同

网络安全是指企业保护其系统、网络和数据免受网络犯罪侵害的能力。虽然网络弹性是企业提供服务、运营的能力，尽管可能发生网络攻击事件，以及他们在系统或数据受到破坏时保持工作的能力。它涵盖了黑客和恶意攻击以及人为错误因素。网络弹性涵盖网络安全，以及风险缓解、业务连续性和业务弹性。

这两个方面都很重要，应该成为企业战略愿景的一部分。虽然网络安全有助于最大程度地降低网络攻击的风险，但一旦网络攻击成功实施，网络弹性就可以将影响降至最低。

为云计算构建网络弹性计划的建议

当企业开始为其云计算资源制定网络弹性计划时，重要的是要记住，这是一个过程而不是目的。这不是企业一次可以完成的事情，把它从其待办事项列表中删除。随着时间的推移，网络安全弹性是缓慢实现的，即便如此也应该继续努力。

网络弹性会随着时间的推移而提高，这是事实。在进行此项工作时，应该记住，虽然云计算技术很重要，但需要合适的人员来运行工具并提取信息。企业应该努力实现计划中三个最重要组成部分的平衡――人员、流程和技术。

以下是基于云计算的企业如何提高网络安全弹性的一些建议：

让网络安全成为思维方式的一部分。要真正接受网络安全弹性，必须使其成为思维方式的一部分。只有这样，才能指望它成为产品设计和开发的一部分。企业还应该通过教育员工来传播这种思维方式。在这个过程中，将能够看到缺少的内容并进行修复。

将渗透测试作为常规安全检查流程的一部分。在医疗保健、游戏、金融和其他行业，云计算资源的渗透测试是标准IT流程的一部分。然而，许多跨行业的企业倾向于将其视为一次性的事情。实际上，它只会让企业对其产品外观有一个最新的了解。重要的是要经常这样做，使其成为申请评估过程的一部分。系统性渗透测试有助于确定其网络弹性计划中的一些差距。

了解黑客的思维方式。意思是从一开始就考虑企业的产品可能会如何被滥用，以及需要如何保护客户和员工免受云平台上数据泄露的影响。企业的团队中应该有人来设定所需的安全要求，并教育开发团队设计和构建安全的产品。

在优化云计算网络以提高安全性时，需要牢记的其他重要事项是：

C分析当前的网络安全实践；

C定义成熟度；

C定期对不同部门进行安全意识培训。

企业确保尽早关注安全性。进入产品开发周期越晚，修复任何架构问题就越困难，因此成本就越高。

与企业在开始处理软件需求时所支付的费用相比，在生产中修复问题的成本要高得多。

结论

如今，没有人可以避免被黑客入侵。企业在云上的资源不一定更安全。除非采取正确的预防措施。但是，成功的企业与不那么成功的企业的区别在于――一旦网络攻击事件发生将如何采取行动。确保网络安全是企业的首要任务，企业需要从攻击模拟中不断学习。需要记住的是，网络弹性是一种提前思考，为应对网络攻击做好准备，并为发生最坏的情况做好准备。如果缺乏实现这一目标的内部知识，需要聘请推动流程的安全专业人员。要记住的是，企业对客户负责，这才是最重要的。