与网络安全公司的首席技术官相比，还有谁能更好地获得有关如何保护企业云的建议？

将业务迁移到云端的企业将会获得一些显著的好处，即冗余、成本节约、易于集成，但在云端托管应用程序带来的挑战和安全风险也很多。对于企业的首席技术官和首席信息安全官来说，缺乏可视性、内部或外部威胁因素可能会泄露数据，以及合规性令人担忧。但面临的问题并不只有这些。他们还发现，与真正将安全性和合规性集成到云端相比，加强其安全性通常是亡羊补牢的做法，而很多企业则对传统的内部部署安全控制进行了抨击，需要更加主动和全面的方法，以便在对云安全有效的至关重要的所有领域实现适当级别的控制实施、覆盖范围和成熟度。

本文将对企业如何更有效地保护云中信息进行分析。以下最佳实践和见解源于保护财富100强企业免受数据泄露的经验，并且应该成为企业寻求增强其在云中的信息安全态势的首要考虑因素。

部署和验证数据丢失预防功能

对于迁移到云端的公司来说，最重要的考虑因素之一是数据丢失预防（DLP）功能的部署和验证。对于任何软件即服务（SaaS）解决方案（包括Office 365、Amazon Web Services、Salesforce或Workday），实现有效数据丢失预防（DLP）的第一步是建立数据标签实践。由于数据丢失预防（DLP）解决方案依赖于正则表达式或基于模式的搜索来识别和保护数据丢失，因此无效的数据标记做法几乎不可能防范泄漏风险。人们建议企业以最大的敏感性处理未标记的文档，并通过创建严格的数据丢失预防（DLP）策略阻止它们离开企业。这可以通过自动隔离违反这些策略的文件来实现。

维护敏感数据安全的组织需要评估由云计算访问安全代理（CASB）解决方案提供的基于主机的敏感数据发现解决方案和／或基于网络的数据丢失预防（DLP）。云计算访问安全代理（CASB）提供了检查云计算环境中所有客户端到服务器流量的能力，以揭示隐藏在传输层安全性（TLS）加密通信中的威胁或恶意文件。云计算访问安全代理（CASB）还使系统管理员能够检测从云计算到恶意命令和控制（C2）服务器的未授权网络呼叫。云计算访问安全代理（CASB）工具提供的审计功能可以轻松地与内部企业分层防御集成。此集成提供整个企业威胁防护功能的单一控制平台视图。

大型跨国公司需要有效保护敏感数据免于泄漏，但可能缺乏对其各种云计算解决方案足迹的完整理解。这使得完全保护企业所需的数据丢失预防（DLP）覆盖几乎不可能实现。通过有效的身份和访问管理实践（如单点登录和粒度授权），企业可以通过有效的身份和访问管理实践（如单点登录和粒度授权）实现对其云足迹的更大可见性。这些控制有助于企业确保通过其各种云计算解决方案的敏感流量由云计算访问安全代理（CASB）检查。

最近的安全漏洞已经强调了与未能对访问包含敏感信息的文件实施细粒度授权相关的风险。企业有效地限制对授权组成员的访问至关重要。当实施安全策略时，系统管理员还需要考虑对组织内每个组执行CRUD（“创建、读取、更新和删除”）和下载功能。除此之外，还必须对临时员工实施有条件的访问，以确保访问仅限于组织批准的设备。

成熟的身份和访问管理控制

身份和访问管理（IAM）功能是在云中实现成熟的信息安全状态所不可或缺的。作为一个起点，企业应考虑单点登录（SSO）、访问请求和企业和员工自有设备的认证，以及特权访问管理。

有效身份和访问管理（IAM）计划的一个基本原则是通过集中化可以最有效地实现和维护安全性。单点登录（SSO）是一种在不同平台之间统一用户身份验证的机制，就是这一概念的一个示例，它提供了一个单一控制平台视图，可以了解谁在对企业服务器进行身份验证，同时促进更有效的员工入职和离职。此外，单点登录（SSO）通过实施多因素身份验证（MFA）为更严格的身份验证提供了基础。

同样，企业也应考虑从身份和访问管理（IAM）角度集中管理应用程序的举措（例如访问请求和认证以及定期用户访问评审）。根据经验，此类计划可以提高整体身份和访问管理（IAM）成熟度，并确保为应用程序和用户正确实施安全策略。

人们还将特权访问管理（PAM）视为身份和访问管理（IAM）状态的核心。特权访问管理（PAM）可帮助组织限制和监控云中特权账户（包括服务账户）的使用，以降低特权凭据被攻击者滥用的风险。人们已经看到了财富100强公司的特权凭证遭到入侵和滥用以在整个网络中种植远程shell的事件。可以通过实施更细粒度的身份和访问管理（IAM）策略来防止这些攻击。

通过强大的端到端加密保护静态数据和传输

在设计云安全策略时，企业需要确定如何使用强大的端到端加密来保护静态数据和传输中的数据。

保护云中静态数据的最关键方面是保护云计算服务提供商提供的密钥。许多企业未能安全地处理这些密钥。即使在规模最大的公司，仍然在将密钥的网址输入互联网浏览器时而无意中暴露公钥。这种常见的错误可能不仅会导致云平台的凭据和配置泄漏，还会导致云实例被攻击者完全接管。

对于传输中的数据，大多数公司已经意识到通过TLS等加密通道发送数据的好处。但是需要注意的是，在处理敏感信息（例如医疗保健或财务数据）时，添加另一层加密措施以防止攻击至关重要。例如，企业可能会考虑加密有效负载并固定TLS证书。