作为云服务解决方案，Alert Logic集成了先进的全天候监控安全工具来抵御威胁和解决合规性，同时还是AWS先进技术合作伙伴和安全供应商。本文来自于Alert Logic的首席安全专员Stephen Coty，他在文中分享了云安全最佳实践。以下为Stephen Coty分享的译文：

　　许多年前，我怀揣巨大的梦想和很少的资金创建了一个安全和发展公司。然而，在我开始建设必要的基础设施和开发平台的时候，我很快意识到了成本问题。当然，这发生在21世纪初期，当时并没有云计算基础设施，所以要想有基础设施，就必须自己建立，紧接着还有人力资源、运营、财务、销售、和营销，所以最后我搭建了公司需要的基础设施以及维护基础设施的团队。

　　作为一个初创企业，在搭建云计算的时候需要有基本任务列表。当今的云带有各种自助设施和服务，使得很多任务变得更容易。但即便如此，安全往往是事后才考虑到的。然而，重要的是要记住云计算是商业网络的拓展，不论是否知道它的存在。安全漏洞不仅危及用户的内部网络，也会把客户的数据置于危险之中。

　　公共云的安全威胁

　　虽然公共云带来巨大的经济利益，但也像任何其他基础设施一样有共享威胁。多年来，攻击频率和多种恶意软件的使用都是呈上升趋势。随着云事件相关漏洞扫描、web应用程序、以及暴力攻击的增加，用户关键需要理解影响云的威胁类型，这样就可以建立一个合适的深度安全策略来保护环境免受恶意攻击。

　　公共安全模型

　　在公共云中，保证安全的关键在于理解用户和服务供应商之间共享的安全模型，如公有云服务供应商亚马逊AWS。没有这一点，可以假设当用户负责特定安全功能时，服务供应商正在保护用户。

　　例如，服务供应商负责全部的基础服务，如计算能力、存储、数据库和网络服务。在网络层，服务供应商负责网络分段、周边服务、一些DDOS和欺骗。

　　但是，你;;最终用户是要负责网络威胁检测，报告和任何事件响应。在主机层面，用户负责访问管理、补丁管理、配置硬化、安全监视、以及日志分析。应用程序组件百分之百是用户的责任。下图展示了用户和服务供应商之间的职责分类：

　　了解用户和云供应商各自的角色不仅能帮助用户做出最好的关于云基础设施的决定，还将确保一旦实施网络安全策略将高效且低成本从云威胁中保护你的数据。

　　云安全最佳实践

　　1、保护代码

　　保护代码百分百是用户的责任。首先，确保安全是软件开发周期(SDLC)的一部分。为此，列出清单如下：

　　• 验证代码是否持续更新以及任何插件是否有最新补丁;

　　• 将延时添加到代码来防止成为僵尸网络的受害者;

　　• 使用加密;

　　• 测试所有的库和第三方依赖项;

　　• 关注正在使用的产品的漏洞消息;

　　• 最后，做出任何更改后不断扫描代码。

　　2.创建访问管理政策

　　首先，确定所有的资产有哪些。一旦确定列表，明确角色和职责所需访问的资产。如果可能集中认证，并使用一种优先级模式来实现身份验证。AWS为身份验证管理提供了许多选项。

　　3. 采用补丁管理方法

　　再次，考虑开发一个重要程序清单：

　　• 搞清楚所有的资产清单;

　　• 尽可能确定标准化计划;

　　• 研究可能会有影响的漏洞，分类基于脆弱性和可能性的风险;

　　• 如果可能的话，在补丁发布之进行测试;

　　• 建立一个定期修补计划，包括需要手动更新的第三方产品。

　　4.日志管理

　　日志现在有益于远超合规性;已经成为一个强大的安全工具。用户可以使用日志数据来监控恶意行为和事故调查。使日志成为一个有效的安全工具的技巧是需要全天候监控异常行为。

　　AWS CloudTrail在这方面有一个开创性提议。使用CloudTrail，用户的安全供应商可以从亚马逊的管理环境中监控云实例访问。每个人都倾向于从网上关注和监控保护他们的环境，他们很少想从后端监控活动。这就是CloudTrail的创新并为客户提供一个与AWS API交互管理的透明度水平。

　　5.建立安全工具包

　　用户需要把云当作企业网络。实施涵盖了所有职责的深度防护策略。执行IP表、web应用防火墙、杀毒软件、入侵检测、加密和日志管理。探索安全选项，并确保对业务有正确的解决方案。

　　6.保持消息灵通

　　用户必须对自己环境中可能有的漏洞保持了解，这里列出一些世界顶尖的研究网站。这将帮助用户获得漏洞、开发、和传播性攻击最新的消息：

　　• http://www.securityfocus.com

　　• http://www.exploit-db.com

　　• http://seclists.org/fulldisclosure/

　　• http://www.securitybloggersnetwork.com/

　　• http://www.sans.org/

　　• http://www.nist.gov/

　　7.了解服务供应商

　　最后，用户需要了解与其分担安全责任的安全供应商和安全产品。确保安全策略是有效的并能通过不断测试有效实施。

　　本文作者介绍：Stephen Coty，Alert Logic的首席安全专员和ISSA、Infragard和HTCIA的成员。