云安全管理：重视访问、控制及转换范围

企业可以直接收控具体的云模型，采取一种直接的方式进行安全控制，但是当缺失这个层级的控制时，端到真个层模式保护需要减少歹意和偶然的要挟。不论哪一种可能产生的侵入载体，分层保护理论上可以停止攻击或，最少能够对企业的安全团队做失事件正告。随着云不断延伸到企业网络边界，这些都成为迫切的需求。

　　对一个要实现云中端到真个可靠的企业而言，虽然其必须首先重视访问范围、控制范围和针对云环境的安全控制方式能且必须适用那些转换范围。

　　定义内涵控制范围

　　利用端到真个安全控制的能力首先依赖于企业能够理解访问范围，这意味着理解连接企业资产的装备类型，和他们所利用的连接类型。

　　举例来看，大多数企业为其员工购买笔记本电脑，但是这样的装备的移动性意味着他们其实不总是面对着相同的要挟情况。当员工将其笔记本电脑带回家，并且经过消费者级别的网络或恶运服务进行连接，他们在企业网络云环境中运行的用例将会产生改变。这类用例在员工出差时再一次产生变更，由于他们会用酒店和机场和会议中心的WiFi热门连接企业网络。

　　随着BYOD运动不断发展，企业也期望员工经过智能手机和平板电脑远程进行连接，最少可以查看公司电子邮件，虽然经过类似Salesforce.com这样的基于云的利用的风险，通常意味着员工在移动装备上进行更加复杂的任务，触及很多类型的数据。这也代表了另外一种用例，一样地这类装备也会被认为不受管理。经过移动劳动力，企业应当安全运作，并期望每个用户最少有4种不同的用例：办公室、家庭、旅行和个人移动装备。

　　随着与员工在不同的网络和云之间移动，其访问范围明显会产生变化。企业的控制范围也产生了变化，意味着企业必须调剂安全控制，从而能够处理这些不同的控制范围。

　　比如，基于用户的角色访问具体的数据类型可能在其经过外部网络时遭到限制。IT人员通常可以24/7/365访问企业放了，但是临时员工相比之下则只有在授权的情形下才可以访问企业服务。

　　风险偏向也可能会作用访问层级，比如员工需要服从某种具体的现有法律法规内容。一些企业决定最好是为访问HIPAA保护的信息提供沙盒虚拟桌面。在这样的领域典型的配置包括消除用户行政权，利用预定义内涵的利用，并严格经过企业的防火墙和内容保护技术访问互联网。

　　虽然一旦用户转移到不可信网络上，终究企业在可信网络上的行之有效的控制不再适用。比如，如果企业的防火墙不能管理这个连接，极可能反病毒服务器升级定义内涵文件也不可访问，就需要技术进行修补。

　　云安全控制

　　新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上，安全控制在用户在可信网络上时需要阔别，而在其处于不可信网络上时要紧贴用户。因此，这种情况下，当用户在非可信云环境中操作时，企业应当斟酌大量的近距离安全控制，以便禁止歹意攻击，包括全磁盘加密、硬朗密码强迫履行、本地反病毒和本地防火墙。

　　企业进行云安全控制需要落实到位，并不是一直如此直接，但是由于控制范围产生改变，企业必须为类似的转移做准备。控制在企业云上减少要挟的最好例子就是内容过滤技术，本质上限制了用户可能访问的网站类型，因此减少了受Web服务器牵连的客户端攻击的数量。但是，如果用户转到非可信云中，比如酒店或乃至是家庭网络，他们可能在上网时有一个更好的自由度，绕过企业在云端设立的内容过滤技术，增加了客户端攻击的风险。

　　不受重视的用例就是一个值得信任的客户，如果这个客户连接到企业云上，会对之前的可信环境带入一种完全不同的要挟因素。没有适合的阔别控制，企业可能没法检测到可信客户充满歹意的行动，潜伏地致使问题，减少客户的信心。

　　每种场景都需要控制

　　不管企业是不是提供云服务或从云提供商处购买服务，需要理解端到真个云安全控制，这类控制要求减少各种可能的要挟。安全团队必须意想到云安全控制必须在用户的访问范围产生改变时做出改变。这也意味着技术必须在可信和非可信云之间适合的位置设置规则，方便经过不同的装备和网络访问。没有这样的控制，复杂且专业的攻击者难以避免地会找到攻击企业云基础架构的方法。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。