基于云的应用程序开发：数据安全和 IT 合规性挑战

云技术发展迅速，为几乎所有已知的服务和产品提供了基于云的替代方案。根据Markets and Markets的一份报告，云计算市场预计将从 2021 年的 4453 亿美元增长到 2026 年的惊人的 9473 亿美元。但是，基于云的服务的增长和多样性让软件供应商和可能想要访问您的数据的恶意行为者都兴奋不已。

为了确保敏感数据的安全存储，开发人员需要加强对本地和云环境的保护。他们还必须证明符合 GDPR、NIST 标准、PCI DSS、ISO/IEC 27001 以及其他法规、标准和法律。那么如何确保云中的数据安全呢？是否有可能追踪并消除基于云的软件中的所有漏洞？

在本文中，我们将重点介绍五种关键的云数据安全威胁以及保护云中数据的法律要求，以帮助您应对这些威胁。本文对希望构建安全的基于云的应用程序的开发团队和领导者很有用。

谁负责保护云中的数据？

供应商和用户共同负责云中的数据安全。每个人都知道这一点，但每个人的理解不同。

例如，根据Snyk 的一项调查，只有 10% 的安全专业人员认为开发人员负责其云原生应用程序中的数据安全。同时，超过 36% 的开发者认为保护云数据是他们的责任。

许多组织认为，一旦将数据上传到云服务，他们就无需担心数据安全性和 IT 要求的合规性。事实上，许多云供应商实施了严格的网络安全程序来帮助他们的客户保护敏感数据。由他们的客户决定是否执行这些程序、正确配置访问权限以及证明 IT 合规性。

谁负责云数据安全？

云供应商和应用程序开发人员的责任范围通常在服务级别协议 (SLA) 中确定。云服务的典型 SLA 定义：

· 云供应商同意提供的工作量和质量

· 所需的服务性能参数

· 供应商使用的安全功能和机制

· 安全事件和服务中断的补救计划

· 违反协议的处罚

虽然云服务提供商 (CSP) 和开发人员都有强大的机会来增强基于云的解决方案中的数据保护，但每一方都必须应对云中的众多网络安全挑战。在下一节中，我们将了解您在开发基于云的安全应用程序过程中可能面临的主要挑战以及避免或解决这些挑战的方法。

基于云的应用程序中的安全挑战以及解决这些问题的方法

云环境的使用为云应用程序开发团队带来了独特的安全挑战。Cybersecurity Insiders的2021 年云安全报告概述了五个最大的云安全威胁：

5 大云安全威胁

让我们仔细研究一下这些问题以及缓解这些问题的方法，以创建安全的基于云的软件。

1、云平台配置错误、设置错误

Microsoft Azure 和 Amazon Web Services (AWS) 等领先的云平台为开发人员提供了大量预配置的安全功能。由开发人员定义他们的产品所需的安全级别。有时，不幸的是，这会导致对云环境造成威胁安全的错误配置。

网络安全错误配置被认为是最大的安全威胁之一，因为使用常规监控工具几乎不可能检测到它们。除了人为错误之外，错误配置的发生主要是由于云环境的复杂性和不断变化。

常见的错误配置示例如下：

· 云环境元素的无限制出站访问

· 开放对非 HTTP/HTTPS 端口的访问

· 安全规则配置错误

大多数云安全配置错误是在手动安全审查期间或安全事件的结果中发现的。幸运的是，有一些方法可以防止发生云安全配置错误。特别是，您可以：

· 尽可能多地自动化配置管理活动

· 配置安全规则时使用结对编程

· 定期审核云安全设置

· 监控异常访问请求的网络活动

减少云中安全错误配置的 4 种方法

2. 敏感数据泄露

任何云服务提供商和用户的主要关注点之一是保护他们的数据免受未经授权的访问和盗窃。将敏感数据存储在云中为恶意行为者创造了更多的入口点，而保护它们则取决于两者。

在本文中，我们将遵循Google对数据泄露的定义：

数据泄露的定义是当授权人员从其所属的安全系统中提取数据，并将其与未经授权的第三方共享或将其转移到不安全的系统中。授权人员包括员工、系统管理员和受信任的用户。数据泄露可能是由于恶意或受损行为者的行为或意外发生的。

谷歌云文档

数据泄露背后的关键原因是不受限制的数据共享功能、虚拟机的手动重新配置和恶意的内部活动。

以下是保护基于云的应用程序免受数据泄露的方法：

· 为最终用户创建教育材料和网络安全提示。这将有助于防止意外的数据泄露。

· 执行严格的数据保护政策和审计合规性。这些策略应包括共享数据访问权限的最小特权原则以及不同类别敏感数据的不同级别共享能力。

· 加密传输中和静止的数据。例如，通常的做法是使用 SSL/TLS 加密来保护网络流量。

3. 未经授权的访问

窃取合法用户的帐户或身份是进入云环境的最便捷方式之一。确保云应用数据的高水平身份管理和精细访问管理至关重要。

保护云数据存储免受非法访问通常涉及使用以下类型的工具：

5 种限制未经授权访问云中数据的工具

如果您的应用程序具有多租户模式，您还需要确保数据隔离，以防止您的租户访问彼此的数据。

使用Microsoft Azure或AWS等大型供应商的云服务的主要优势在于，它们提供强大的访问管理服务，可以帮助您确保所需的安全级别。

4. 不安全的 API

API 允许部分云软件和第三方产品相互无缝交互。如果保护不力，API 可能成为黑客攻击和数据泄露的网关。例如，攻击者可以暴力破解 API 用来与其他软件元素通信并破坏他们的工作或窃取敏感数据的弱密码。

以下提示将帮助您保护云解决方案中使用的API ：

保护 API 的 6 种方法

5. 外部数据共享

云服务使与世界各地的供应商、员工和客户共享数据变得非常容易。一些企业甚至开发多云环境，使用不同厂商的云服务，更方便地共享各类数据和资源。

未经管理和管理不善的数据共享可能会导致数据泄露和对组织敏感数据的失控。这就是为什么您需要实施保护机制来帮助您的客户以安全的方式共享他们的数据。

您可以通过遵循以下规则来确保安全的数据共享：

保护外部数据共享的 4 种方法

通过我们上面讨论的网络安全工具和实践，您将能够保护基于云的应用程序使用的敏感数据。但是，它们可能不足以符合适用的网络安全要求。让我们看看如何使用安全标准创建基于云的应用程序。

确保云中的合规性

在构建具有安全合规性的基于云的软件时，您需要关注许多 IT 安全要求、行业标准、当地法律和法规。下面，我们列出了需要特别注意的几个步骤。

确保云解决方案的网络安全合规性的 3 个步骤

1. 定义您的合规要求列表。您需要遵守的要求列表取决于您提供的服务、您的目标行业以及您的企业和客户的地理位置。ISO/IEC 27001是最广泛认可的信息安全国际标准之一。云计算安全还有四个特定标准：ISO/IEC 27002、ISO/IEC 27017、ISO/IEC 27018和ISO/IEC 27036-4。

IT 安全法规的其他常见示例是美国国家标准与技术研究院的特别出版物。《通用数据保护条例》规定了保护欧盟居民数据的规则。根据您所在的地区和行业，您可能还需要遵守HIPAA（适用于美国医疗保健组织及其合作者）和PCI DSS（用于存储、处理或传输信用卡数据的组织）。

2.选择合规的云服务。如果您不是从头开始构建整个系统，则需要选择正确的 CSP。在选择供应商时，重要的是要考虑现在哪些合规性要求对您至关重要，以及您将来可能需要遵循哪些合规性要求。否则，由于合规性问题，您在切换到其他供应商时可能会浪费额外的时间和金钱。

3. 进行内部 IT 合规性审计。基于云的基础架构非常灵活，使开发人员能够比本地解决方案更快地调整云应用程序。定期的内部合规审计可以帮助您验证所需的安全机制是否有效，并且即使在更新后您的应用程序仍然受到保护。但请记住，IT 合规性和数据安全性并不总是相同的。最好分别运行合规性和安全审计。

结论

在构建基于云的产品时，您需要考虑可能危及产品数据安全性和 IT 合规性的云特征。即使您与提供额外安全服务并遵守您必须遵守的法律、法规和标准的大型云提供商合作，您仍然需要密切关注许多因素。

通过缓解云中最常见的安全威胁，您可以提高云解决方案的安全性并增强客户的信心。