Defining a Cloud Security Strategy

組織越來越多地採用雲端環境來託管其資料和應用程式。隨著雲端採用的成長，雲端資安策略成為企業網路安全計畫的重要組成部分。

雲端資安策略定義了組織管理雲端環境潛在網路安全風險的計畫。該策略應識別組織在雲端中面臨的風險，並根據組織的安全目標實施策略、工具和策略來解決這些風險。

雲端資安策略的重要性

近年來，雲端的採用率急遽成長。遠端工作和軟體即服務 (SaaS) 應用程式的擴展意味著幾乎所有公司都在雲端擁有一些資料。此外，許多公司已在基礎設施即服務（基礎架構式服務）和平台即服務（PaaS）模型下將資料儲存和應用程式託管轉移到雲端。

即使組織採用「直接遷移」方法來採用雲端（最大限度地減少本地應用程式和基於雲端的應用程式之間的變化），雲端環境也會帶來新的安全風險和挑戰。在雲端環境中，公司對其基礎設施的控制有限，並負責正確配置一系列供應商提供的設定和安全控制。大多數組織採用的混合和多雲端部署由於廣泛的特定於平台的設定而加劇了這些問題。

雲端資安策略很重要，因為它為組織定義了一個框架來應對雲端基礎設施帶來的安全挑戰。透過識別潛在的雲端資安風險並制定解決這些風險的策略，組織可以確保其雲端環境滿足其企業網路安全目標。

有效雲端資安策略的要素

有效的雲端資安策略是解決組織所有雲端資安風險和要求的策略。以下是任何雲端資安策略中應包含的一些關鍵要素。

身分與存取管理 (IAM)

IAM是雲端資料和應用程式安全的關鍵，也是雲端資安的常見故障。通常，使用者在雲端環境中被授予過多的存取權限和管理層級的權限。如果這些帳戶被攻擊者入侵或其所有者濫用，那麼它們可能會對公司造成重大損害。

雲端 IAM 策略應定義具有最低權限存取權限的使用者帳戶，將權限限制為角色所需的最低限度。這些帳戶還應使用多重身份驗證(MFA) 進行保護，以降低攻擊者存取它們的可能性。

基礎架構保護

一些雲端部署模型（例如基礎設施式服務）允許組織在雲端環境中部署自己的虛擬機器 (VM)。這些虛擬機器及其託管的應用程式可能包含可利用的脆弱性。

基礎設施保護是指虛擬機器、網路、儲存的安全。雲端資安策略的這一方面應包含的安全控制包括防火牆和入侵偵測系統（IDS）。

資料防護

雲端環境提供低成本、可擴展的資料存儲，使其成為許多組織有吸引力的選擇。然而，多年來，糟糕的雲端資料安全性也導致了許多破壞性且代價高昂的雲端資料外洩事件。

雲端資料保護策略應包括保護雲端資料免遭未經授權的存取和潛在遺失的控制措施。加密、存取控制和資料外洩防護(DLP) 有助於防止資料洩露，而備份則提供了在資料遺失時恢復的能力。

自動化

隨著雲端環境變得越來越大、越來越分散，保護它們成為一項艱鉅的挑戰。安全團隊負責執行一系列重複性任務，這些任務消耗時間和資源，但對於雲端環境的安全至關重要。

將自動化建置到雲端資安策略中對於確保其可擴展性和永續性至關重要。自動化腳本；安全編排、自動化和回應(SOAR) 系統；而人工智慧的使用都有助於減輕安全團隊的負擔，並增強雲端環境的安全性。

威脅偵測與回應

雲端環境是網路攻擊的常見目標。這些平台位於傳統網路邊界及其防禦之外，使網路威脅行為者更容易瞄準和利用它們。

威脅偵測和回應是雲端資安策略的關鍵組成部分。雲端環境與本地環境有很大不同，組織需要擁有適當的工具和流程，以確保他們能夠識別並及時修復嘗試的網路攻擊。

建構雲端資安策略的主要挑戰

公司在設計和實施雲端資安策略時通常面臨各種挑戰。一些最常見的障礙包括以下內容：

責任共擔：雲端環境遵循責任共擔模型，其中安全責任由雲端提供者和客戶劃分。如果缺乏對該模型和組織安全責任的了解，可能會導致其雲端基礎設施容易受到攻擊。
複雜環境：大多數雲端使用者擁有跨多個供應商生態系統的多雲端部署。這增加了實現一致雲端資安的複雜性，因為每個平台都有自己的特定於供應商的配置和安全控制。
可見度有限：雲端環境提供的可見度低於本地基礎設施，尤其是在將公司資料移至未經批准的雲端環境時。因此，安全團隊可能缺乏有效監控和保護其雲端基礎設施所需的可見度。
安全配置錯誤：雲端環境通常附帶一系列特定於供應商的配置，必須正確設定這些配置才能確保環境安全。配置錯誤可能會使這些雲端部署容易受到攻擊，並且是雲端資料外洩的常見原因。
監管合規性：許多組織都受到資料保護法的約束，這些法律限制了客戶個人資料的收集、處理和儲存方式。雲端環境可能跨越管轄範圍並提供有限的可見性和控制力，這可能會使雲端合規工作變得複雜。
快速雲演進：雲端環境鼓勵開發營運計畫下的快速開發。然而，這可能會帶來安全挑戰，因為現有的安全控制可能很快就會過時，並且無法正確保護雲端資產。

如何制定雲端資安策略

雲端資安策略的設計應旨在克服常見的雲端資安挑戰並增強企業雲端環境的安全性。創建雲端資安策略的一些關鍵步驟包括：

獲得雲端可見性：有限的雲端可見性是雲端中駭客攻擊的常見挑戰和推動因素。雲端資安策略應從設計和實施方法和解決方案開始，使公司能夠了解其需要保護的資產。
識別並修復關鍵風險：雲端環境可能存在各種安全風險，其中一些風險比其他風險更危險。在獲得所需的雲端可見性後，下一步是識別和分類潛在風險，使組織能夠將其精力和資源集中在首先解決最關鍵的風險上。
擁抱持續改善：雲端環境不斷變化，因此企業雲端資安計畫需要能夠適應跟上。實施雲端資安最佳實踐並擁抱持續改進的文化有助於確保雲端資安能夠跟上雲端的發展。
將安全性左移：當新的應用程式或配置引入雲端環境時，就會產生許多雲端資安風險。實施左移和 DevSecOps 思維方式有助於在潛在的安全問題到達生產雲端環境之前檢測並修復它們。

雲端資安與 Check Point

雲端資安策略概述了組織實現其雲端資安目標並克服常見雲端風險的計畫。然而，實施該計劃需要旨在提供雲端環境中關鍵功能的安全解決方案。

Check Point provides organizations with all of the capabilities that they need to secure their cloud environments. For example, check out the 2023 Gartner® Market Guide for CNAPP to learn more about the benefits of cloud-native application protection platforms (CNAPP) and how to evaluate them. Then, sign up for a free demo to learn more about the full range of capabilities that Check Point offers.