企业上云可以带来诸多好处，有助于企业优化生产效率、提高灵活性、降低运营成本以及实现全球化的业务覆盖等。但随着企业组织将更多的业务系统和数据转移到云端，它们也必须采取更加可靠的安全防护措施，以实现与本地化部署同样水平的安全性保障。日前，美国国家安全局（NSA）联合发布了多份网络安全实践指南报告，其中包含了基于云环境应用最佳实践的10条安全策略，旨在帮助企业组织改善云环境应用的安全态势。

01.严格遵从云安全责任共担模型

随着云计算应用的不断成熟，企业组织开始高度重视云安全的重要性，并开始实施特定的云安全措施来保护云应用安全。同时，云服务提供商（CSP）也更加关注云安全的落地实践，云安全责任共担模型（SRM）应运而生。该模型旨在明确CSP与租户之间的安全责任划分，让企业能够了解他们在云安全方面的角色，并实施适当的安全措施来保护云资产。

在实践应用时，SRM会因服务而异，也可能因CSP而异，所以对租户而言，关注SRM文档和最佳实践指南必不可少。直接联系CSP对于租户更好了解其服务模式很有必要。组织应该让CSP对自己的安全工作负责，同时也必须尽心尽责地履行自己的租户安全责任。

02. 实现云安全运营统一化、标准化

组织应该充分考虑混合云和多云环境应用时可能出现的复杂性。混合云和多云环境的使用已经非常普遍，往往会带来业务运营孤岛和技能缺口，这可能导致配置差异、不必要的数据流、不全面的IAM、监控能力不完整以及易被利用的安全缺口。企业应该使用网络、IAM和日志最佳实践来维护安全的云基础设施，并且应该借助与云服务商无关的第三方安全管理工具实现云安全运营的统一化和标准化，在一个集中的工具平台上维护和监控多云应用环境安全。

03.积极开展云应用自动化部署实践

基础设施即代码（IaC）实现了云资源部署自动化，而减少手动部署能够大大降低云应用中人为错误导致配置不当和幽灵资产的可能性。IaC还可以帮助组织快速地检测未经授权的云配置更改。

通过开展云应用自动部署的实践，可以进一步规范云上服务的安全应用。组织在部署IaC之前，应该创建一个威胁模型以剖析攻击途径，确定IaC模板是声明式还是命令式，然后完成静态应用程序安全测试，并考虑集成现有的CI/CD流程。在部署之后，组织还应动态测试已部署的资源，确保访问和版本控制已启用，避免手动更改，并持续记录和监控资源。

04 .在云环境中实施网络分段和加密

使用云计算资源的组织必须在其租户环境中实施分段和加密等安全控制机制，以防止和检测恶意攻击者的活动。应该利用零信任网络安全实践来保护组织数据，比如评估所有请求中的身份信息、微分段和端到端加密。对网络威胁的预防工作主要由微分段完成，根据组织团队、应用程序工作流和数据进出来划分资源。只有支持正常功能所必需的通信路径才能享用资源，这大大限制了恶意攻击者访问租户环境的机会。对进出云和云内部的所有数据进行端到端加密也是保护云端数据的关键。

05. 部署有效的云身份和访问管理方案

采取适当的云身份和访问管理（IAM）方案对于保护云资源至关重要。恶意攻击者会使用多种技术窃取账户，暴露凭据或弱身份验证实践，以初始访问租户的云系统环境。他们还可能利用宽松的访问控制策略进一步渗入到云环境中，访问和窃取敏感的数据资源。为了防止这种情况，云用户应该使用可靠的身份安全验证措施，比如防网络钓鱼的多因素身份验证（MFA）和妥善管理的临时凭据。访问控制策略应该认真配置，以确保为用户授予必要的最小化权限，以保护特别敏感的业务运营和资源。

06.实施强大的云密钥管理

CSP会提供进行密钥管理的多种方法，从完全依赖云供应商实现全面委托的服务器端加密，到仅在客户端加密的方法不一而足。在大多数情况下，企业会依赖CSP完成密钥管理、加密和解密的工作。然而组织在进行云上密钥管理问题时，应该充分了解每种方案的风险和优点，以及如何管理密钥的角色和职责至关重要。

07.全面保护云端数据安全

在恶意攻击者的眼里，云是一个存放了大量高价值数据的诱人攻击目标。因此，组织应该通过多种手段确保数据安全，比如选择合适的云存储、防止通过公共IP暴露数据、执行最小权限、使用对象版本控制、创建具有恢复计划的不可变备份、启用加密，并定期检查数据安全措施。

组织还应该全面了解CSP数据保留策略，然后选择适当的方案来存储敏感数据。此外，组织应该考虑启用“软删除”功能，以减小意外删除或恶意删除造成的影响。

08.保护CI/ CD环境安全

云上开发、安全和运营（DevSecOps）程序对云环境安全至关重要。持续集成和持续交付（CI/CD）管道是保障DevSecOps流程安全的关键，经常部署在云端。这类管道是恶意攻击者的重要目标，因为成功闯入CI/CD管道可能会影响基础设施和应用程序。组织应该遵循最佳实践来保护组织的CI/CD管道，比如可靠的IAM实践、及时更新工具、审计日志、实施安全扫描机制，并妥善处理秘密信息。

09.关注MSP的安全风险

虽然托管云服务提供商（MSP）可以为管理、维护及/或保护云环境提供实用的技术支持，但使用MSP服务的同时会加大组织的云计算应用攻击面。组织在选择MSP时应该优先考虑安全性，以便通过MSP缓解云租户面临的安全威胁。组织应该选择符合自身云安全标准和实践的服务商。此外，组织应该全面审核云环境中的MSP账户和运营行为，优先考虑特权账户及其活动。组织还应该将MSP服务集成到安全运营、系统恢复和事件响应流程中。

10.做好云上日志信息的管理

日志在云环境的威胁检测中扮演着重要角色。检测和响应安全事件需彻底了解系统的活动和行为。组织应该从所有相关的日志源收集和汇总日志，比如云服务、操作系统和应用程序。云环境通常提供方便的日志聚合机制，以便将日志数据汇集到集中式服务，便于更好的可视化和威胁狩猎。

对不同的云服务而言，默认的日志策略差异很大，因此安全专业人员配置这些策略显得很重要，以确保恶意攻击者在云租户环境中的举动受到监测。安全专业人员可以使用众多工具来分析日志，比如安全信息和事件管理（SIEM）系统、日志分析软件和异常检测服务，以查找攻陷指标和异常活动，包括不寻常的登录企图、网络流量模式和异常系统事件。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-nsa-share-best-practices-for-securing-cloud-services/

https://gbhackers.com/nsp-top-ten-cloud-security-practices/