Cloud 客户安全技术

对于消费者而言，CSA 官方资料列出了三种基本安全技术：

安全架构

云基础设施的架构 （总体目标和高层结构的大画面）和设计（实施细节）以安全为重要指导原则。这包括隔离资源和网络、执行最低权限访问，以及确保安全存储、通信和服务配置。

安全部署和配置

通过利用广泛接受的安全基准，如互联网安全中心（CIS）基准，客户可确保所有云基础设施组件的部署和配置安全。这包括虚拟机、容器、存储和安全 Network+。有多种 CIS 基准适用于各种技术，包括主要的 CSP。还有其他一些架构可以使用，包括主要云供应商发布的 Well-Architected Frameworks。领先行业团体的标准（如 CIS 基准）和特定供应商的出版物（如 Well-Architected 出版物）就是我所说的 "站在巨人的肩膀上"。既然可以遵循推荐的方法，为什么还要单打独斗呢？遵循这些基准和标准，当出现问题时，您（和您的领导层）就有了辩护的理由。

持续监控和护栏

这涉及 对企业的云基础设施（包括工作负载、网络和数据）进行持续、实时的跟踪和评估，以便在出现潜在安全问题时及时发现并做出响应。主要的 CSP 供应商将提供一整套工具，以方便在其提供的服务中实施持续监控。

护栏是一套基于策略的自动控制，旨在执行安全最佳实践并防止云环境中的错误配置。在第 4 章中，我介绍了组织管理。在拥有多个账户/订阅的情况下，这些策略可以在主账户中建立，并在下级账户中执行。例如，预防性护栏可以 阻止用户创建面向公众的存储桶，而检测性护栏则可以 在现有存储桶被公开时提醒安全团队。反应型护栏会 自动恢复存储桶权限，阻止公众访问。