你需要了解的云安全

　　系统安全，无论是在云端还是在内部，一直是系统集成商面临的一个关键问题。

　　我们传统上主要通过限制物理访问来管理安全，将物理网络访问限制在有授权的设备上，或者对系统进行物理隔离，将其与公共互联网或其他不安全网络隔离开来。但是，当你需要将部分或全部操作和基础设施转移到公共云上时，其安全性就只能依靠软件工具来实现了。

　　分层访问

　　分层访问对于任何网络设施都是典型的安全应用方法，管理员或工程师可能有权控制环境中的一切，而最终用户只能访问和查看完成其工作所需的部分工具和资产。

　　在公共云中，对虚拟编辑、虚拟视频切换或存储池等工具的访问通常通过身份验证管理完成，配置文件定义了用户类别，每个用户都有一个单独的密码。然而，密码是企业最大的漏洞。无论不良行为者是从网络钓鱼、剥离电子邮件还是使用密钥记录器获取密码，都需要很长时间才能被发现，因为他们使用的是合法的密码。

　　双重身份验证

　　因此需要添加第二层安全性，它被称为双重身份验证。无论你访问的是本地网络、云中网络还是两者的混合网络，都需要一个唯一的一次性授权代码，该代码只能通过文本、电话或物理令牌发给用户。任何通过云访问其银行账户的人都熟悉此安全工具。

　　虚拟专用网络（VPN）

　　在高流量网络环境（如实时生产基础设施）中，需要通过虚拟专用网络（VPN）添加第三层安全性。VPN是指在公用网络中建立专用的数据通信网络的技术。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可以伪装你的在线身份,这让第三方更难追踪你的在线活动并窃取数据。不过即使这样，也仍有可能被不良行为者侵入。例如，你有一台笔记本电脑，允许你在家中设置照明控制台。但是，如果这台笔记本电脑恰好位于包含公司整个会计系统的VPN上，那么就存在被黑客入侵的风险。

　　分层访问、双重身份验证和VPN的安全层还为你提供了创建单点登录（SSO）的选项，这一切都是为了避免用户反复键入密码以访问正确的IP地址、互联网流量路由，使他人更难侵入系统。

　　零信任概念

　　另一个正在云网络中迅速实施的策略是零信任概念，它较少关注你的密码，更多关注生物特征或你用于访问云的设备，这与智能手机上的Face ID不同。随着时间的推移，其他形式的零信任（如安装在web浏览器上并需要登录特定资产的信任证书）将在企业应用程序中变得更加普遍。

　　移动电话实际上是一个使用信任证书的好地方，因为它们是基于硬件的，并且具有多种通信方式。无论你在笔记本电脑还是手机上使用它们，应用程序在访问内容时都比浏览器安全得多，因为它们天生就具有内置的零信任设计。

　　中小型公司面临的挑战

　　最容易受到安全漏洞攻击的公司组织通常不是那些通过IaaS模型（如AWS、Google、Microsoft、Facebook或阿里巴巴）提供云、网络和互联网服务的超级规模厂商。他们有庞大而复杂的安全团队每天都在应对这些挑战，可以轻松实现零信任和一次性密码，甚至可以使用人工智能快速检测漏洞。

　　相反，更大的挑战来自于那些中小型企业或组织，他们没有技能或资源来实现这一级别的安全。系统集成商的工作就是评估所有可用的安全技术，并推荐解决客户当前和未来需求的解决方案。对于中等规模的组织来说，使用信任证书和VPN是安全的基础，这将使他们免受偶然黑客的攻击,但这只是总体安全战略的开始。

　　通过分层访问，可以将用户限制在完成其工作所需的系统部分，从而实现对设备的安全控制。SSO简化了用户的流程。双因素身份验证提供了额外的安全性。它被创建为一个零信任环境，能够绑定到客户端的现有安全环境中，因此用户不必经过双重身份验证。这些多层安全工具结合在一起，产生了一个VPCR，它是一致的、可移植的，并且可以在许多不同类型的组织的环境中实现，而无需为每个客户端从头开始重新设计系统。

　　云为工作带来了难以置信的灵活性和易用性，同时也带来了安全风险。学习了解一些关于云的安全工具、解决方案、最佳实践是很有必要的，这将让你及所在的公司组织将风险降低，帮助你权衡选择更适合的云设施方案及供应商。