如今，很多企業(yè)正在考慮如何采用云計算并保證IT環(huán)境安全的問題，人們確實需要在云中實現(xiàn)強健的安全狀態(tài)。但不可否認(rèn)的是，在安全方面，云計算與內(nèi)部部署有很大不同。

企業(yè)需要仔細(xì)考慮以下五個最佳實踐可以幫助其實現(xiàn)所需的云計算安全性：

1.規(guī)劃自己的策略

在企業(yè)制定云遷移戰(zhàn)略的最初階段，在確定與云安全有關(guān)的事物時，需要進(jìn)行廣泛思考。除IT團隊之外，還包括法律、采購、人力資源、項目管理辦公室、合規(guī)性、產(chǎn)品開發(fā)和合作伙伴等部門。擁有經(jīng)驗豐富的合作伙伴和熟練的支持人員對于任何成功的遷移策略都至關(guān)重要。在此建議盡早讓他們參與進(jìn)來。

2.共同責(zé)任模式

當(dāng)企業(yè)將業(yè)務(wù)遷移到云端時，安全性將轉(zhuǎn)移到其與云計算提供商之間的共同責(zé)任。所有主要云計算提供商都有文檔說明如何分擔(dān)責(zé)任，企業(yè)需要仔細(xì)閱讀該文檔，并確定每個模型對遷移策略的影響，并且受影響的團隊將在每個模型中運行。

3.數(shù)據(jù)保護(hù)

企業(yè)需要擁有明確定義且可執(zhí)行的數(shù)據(jù)生命周期策略，確保數(shù)據(jù)在傳輸和靜止的狀態(tài)中受到保護(hù)，是任何云遷移的最重要方面之一。企業(yè)需要了解要遷移的敏感數(shù)據(jù)，并利用這些工具和流程來保護(hù)它，包括云訪問安全代理（CASB）。

根據(jù)Gartner公司的說法，“云訪問安全代理（CASB）是一個內(nèi)部部署或基于云計算的安全策略執(zhí)行點，位于云計算用戶和云計算服務(wù)提供商之間，以便在訪問基于云計算的資源時組合和插入企業(yè)安全策略。云訪問安全代理（CASB）是強大的工具，因為它們?yōu)槠髽I(yè)提供了所有云計算資源的集中視圖。”

許多首次部署云訪問安全代理（CASB）的IT團隊意識到他們以前沒有意識到有許多正在使用的云計算資源，其中一些可能會使敏感數(shù)據(jù)面臨風(fēng)險。通過使用云訪問安全代理（CASB）和其他工具，企業(yè)可以重新獲得數(shù)據(jù)所在位置的可見性，并應(yīng)用適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)數(shù)據(jù)。

4.身份和訪問管理

對于特權(quán)用戶訪問，可以始終使用多因素身份驗證（MFA）。如果沒有多因素身份驗證（MFA），密碼很容易失竊。惡意攻擊者在電子郵件附件和攻擊中嵌入惡意軟件是常見的?？紤]內(nèi)置多因素身份驗證的單點登錄（SSO）解決方案。

例如，有權(quán)訪問敏感云計算資源的員工可能會點擊惡意電子郵件附件，而不知道隱藏的按鍵記錄軟件也包含在下載軟件中。安裝惡意軟件后，按鍵記錄軟件將用于竊取密碼。如果沒有第二種形式的身份驗證，惡意行為者將擁有訪問云計算環(huán)境所需的一切。

通過為不常見的登錄嘗試添加第二種形式的身份驗證（例如，從不同的位置或在不同的時間對特定用戶來說是正常的），企業(yè)可以使惡意黑客更難成功執(zhí)行攻擊。

5.云原生工具

云遷移期間，工具合理化經(jīng)常被忽視。不要假設(shè)在內(nèi)部環(huán)境中工作良好的工具在云中也同樣有效，反之亦然。

企業(yè)花時間了解云計算提供商服務(wù)提供的許多云原生安全產(chǎn)品，以及它們?nèi)绾伟l(fā)揮其安全工具策略可以帶來巨大的回報。例如，主要云計算提供商在其平臺中內(nèi)置了復(fù)雜的日志記錄和監(jiān)控功能。這些可以幫助企業(yè)準(zhǔn)確了解誰在云環(huán)境中做了什么，而這是安全事件響應(yīng)和解決方案的關(guān)鍵組成部分。

雖然使用第三方產(chǎn)品來增強云原生安全工具以實現(xiàn)全面保護(hù)是明智之舉，但不要忽視可以直接從云計算提供商那里獲得的工具。