服务热线:400-710-8008

首页>>公司新闻 >> 行业动态>>如何实施零信任的云安全
详细内容

如何实施零信任的云安全

    在数字化转型的背景下,企业时兴轻资产运营模式,许多传统企业也纷纷考虑将资产上云。

    安全上云

    考虑到技术、成本和人才的不足,将资产上云是一个很好的选择。云供应商提供现成的基础架构、先进的安全工具和专业的安全团队。但是,这不代表将应用程序和服务器直接移到云环境中就能保证它们的安全性。

    上云必须有一个标准化的流程,并且配合使用云卓越中心(CCoE)或云业务办公室(CBO),能够有一个更完整的视角来评估企业的安全形态。

    共同责任

    上云是将安全工作分摊给了云供应商,对于承担责任这块尽管宣传的都是共同承担,但如何承担、各自承担哪个部分都是需要提前了解清楚的。

    我们必须掌握控制权,和云供应商共同完成责任矩阵(RACI)。首先需要明确自己的需求和弱点,深入了解服务模型的各个层次,在与云供应商交流讨论时建立信任,最终完成各项细节。

    当然,不管责任矩阵如何,数据所有者都有责任保护系统和信息。

    信任即服务

    信任是租户与云提供商建立合作的基础,从技术角度看,这也承担着安全风险和违约风险。信任即服务(TaaS)是一个较新的服务模式,指第三方云服务信任评估。

    传统的安全理念是“城堡、护城河和吊桥”,将内容放在城堡(数据中心)中,外围布置一些设备,通过吊桥进行访问控制。

    迁移到云,外围的安全仍然重要,可以说有两层,一层是利用云来保护租户,二层是保护云本身。而访问控制这块,主要是基于身份。

    “确保身份与访问的安全性是很重要的基石,这决定了访问客体的合法性和有效性。”租户需要通过不同的方式,去验证当前的访问者,包括用户和应用的合法性,即“零信任”机制。

    租户对其云提供商是否信任的主要影响因素包括:数据存放位置、数据隔离(与其他云租户的隔离)、可用性、特权访问、备份与还原、合规性、长期生存能力等。

    TaaS示例:谷歌云

    在“零信任”的发展过程中,国内外厂商都有自己的见解和方案,其中较成功的有谷歌的BeyondCorp体系。它实现了两个核心概念,包括:

    服务和数据的交付 确保具有正确身份和正确目的的人员每次都能访问所需的数据;

    优先级 产品的使用或者更新首先考虑安全因素,安全性已融入整个环境中。

    另外,谷歌通过强大的可见性和数据控制来实现透明性。在评估云提供商时,了解其与访问和服务状态有关的透明度至关重要。