属于我们的Security & Cybersecurity系列
阅读完整指南云安全态势管理:AWS、Azure 和 GCP 最佳实践
配置错误是云安全漏洞的主要原因。不是复杂的零日攻击或高级持续性威胁——简单的错误配置,例如公共 S3 存储桶、过于宽松的 IAM 策略和未加密的数据库。 Gartner 估计,到 2027 年,99% 的云安全故障将是客户的错误,源于可预防的配置错误。
挑战在于规模。典型的企业 AWS 账户包含数千个资源、数百个 IAM 策略和数十个网络配置。每一个都是潜在的错误配置,等待成为漏洞。再加上跨 AWS、Azure 和 GCP 的多云部署,手动安全管理就变得不可能了。云安全态势管理 (CSPM) 可自动对这些配置进行持续评估和修复。
要点
- 共享责任模型意味着云提供商保护基础设施,但您负责配置、访问控制和数据保护
- IAM 错误配置是最危险的云安全风险:单一过于宽松的策略可能会暴露您的整个环境
- 必须为每个数据存储和通信通道显式启用和验证静态和传输中的加密
- CSPM 工具提供跨多云环境的持续合规性监控,将手动审核工作减少 80%
共同责任模型
每个云安全讨论都从共享责任模型开始。了解云提供商的责任在哪里结束以及您的责任从哪里开始对于避免导致违规的假设差距至关重要。
按服务模型划分的责任分配
| 安全域 | IaaS(EC2、虚拟机) | PaaS(RDS、应用服务) | SaaS(S3、Cosmos DB) |
|---|---|---|---|
| 物理安全 | 供应商 | 供应商 | 供应商 |
| 网络基础设施 | 供应商 | 供应商 | 供应商 |
| 管理程序/主机操作系统 | 供应商 | 供应商 | 供应商 |
| 来宾操作系统修补 | 客户 | 供应商 | 供应商 |
| 应用安全 | 客户 | 客户 | 供应商 |
| 数据加密 | 客户 | 客户 | 客户 |
| IAM 配置 | 客户 | 客户 | 客户 |
| 网络配置 | 客户 | 客户 | 客户 |
| 记录和监控 | 客户 | 客户 | 客户 |
| 合规性验证 | 客户 | 客户 | 客户 |
模式很明确:无论采用何种服务模型,客户始终负责 IAM、数据保护、网络配置和监控。这些是 CSPM 提供最大价值的领域。
IAM 策略和访问控制
IAM 错误配置始终是最危险的云安全风险。过于宽松的 IAM 策略可能会授予攻击者对云环境中所有资源的访问权限。 Cloud IAM 也是正确管理最复杂的领域,每个提供商都使用不同的策略语言和继承模型。
跨云提供商的 IAM 最佳实践
| 实践 | 亚马逊AWS | 天蓝色 | GCP |
|---|---|---|---|
| 最小权限 | IAM 访问分析器、策略范围 | 特权身份管理 (PIM) | IAM 推荐器、策略疑难解答 |
| 无 root/全局管理员使用 | 使用 MFA 保护 root 帐户,切勿用于日常任务 | 仅适用于 Break-glass 全局管理员 | 保护组织管理,使用项目级角色 |
| 服务帐户 | EC2 的 IAM 角色(实例配置文件) | Azure 资源的托管身份 | 具有密钥轮换的服务帐户 |
| 外交部执法 | IAM 策略要求 MFA、根硬件密钥 | 条件访问 MFA 政策 | 两步验证实施 |
| 访问评论 | IAM 访问分析器未使用的访问 | 访问 Entra ID 中的评论 | 策略分析器、审核日志 |
| 政策边界 | 权限边界,SCP | 管理组、Azure Policy | 组织策略、IAM 拒绝策略 |
关键的 IAM 反模式
通配符权限。 授予 "Action": "*" 或 "Resource": "*" 的策略在云中相当于让前门敞开。每项政策都应指定具体的行动和资源。
长期访问密钥。 IAM 用户 (AWS) 的静态访问密钥或服务帐户密钥 (GCP) 是高价值目标。通过角色假设 (AWS STS)、托管身份 (Azure) 或工作负载身份联合 (GCP) 使用临时凭证。
无条件的跨账户信任。 允许来自另一个账户的任何委托人承担角色的信任策略会创建横向移动路径。始终包含条件(外部 ID、源 IP、MFA 要求)。
未使用的权限。 随着时间的推移,IAM 策略会累积为一次性任务授予且从未撤销的权限。使用 IAM 访问分析器 (AWS)、访问审核 (Azure) 或 IAM 推荐器 (GCP) 每月运行一次访问审核。
静态和传输中的加密
即使其他控制措施失败,加密也可以保护数据免遭未经授权的访问。在云环境中,必须为每个数据存储和通信通道显式配置和验证加密。
静态加密
| 服务类别 | 亚马逊AWS | 天蓝色 | GCP |
|---|---|---|---|
| 对象存储 | S3 SSE-S3(默认)、SSE-KMS、SSE-C | 存储服务加密(默认)、CMK | 云存储默认加密,CMEK |
| 块存储 | EBS 加密(每卷,默认可能) | 托管磁盘加密(默认) | 永久磁盘加密(默认) |
| 数据库 | RDS 加密(创建时启用)、DynamoDB(默认) | SQL 数据库 TDE(默认)、Cosmos DB(默认) | Cloud SQL 加密(默认)、Firestore(默认) |
| 密钥管理 | KMS(AWS 管理或 CMK) | 密钥库 | 云KMS |
| 秘密 | 秘密管理器,SSM 参数存储 | 密钥库的秘密 | 秘密经理 |
最佳实践:
- 为帐户/订阅/项目级别的所有存储服务启用默认加密
- 对敏感数据使用客户管理的密钥 (CMK),以保持对密钥生命周期和轮换的控制
- 根据数据敏感性,按照 90-365 天的时间表自动进行密钥轮换
- 将密钥访问与数据访问分开 --- 可以读取数据的用户不应能够管理加密密钥
- 对密钥启用删除保护,并需要多方授权才能销毁密钥
传输中的加密
- 对于所有面向外部的端点,最低 TLS 1.2。出于性能和安全性考虑,首选 TLS 1.3。
- 在负载均衡器、CDN 和应用程序级别强制执行 HTTPS。将 HTTP 重定向到 HTTPS。
- 使用 TLS 或双向 TLS (mTLS) 在应用程序层之间进行内部加密。不要假设内部网络流量是安全的。
- 数据库连接必须使用 TLS。为所有数据库服务启用
require_ssl(PostgreSQL)、require_secure_transport(MySQL) 或等效项。 - 通过 AWS Certificate Manager、Azure Key Vault 或 Google 管理的证书进行证书管理。自动续订以防止过期中断。
VPC 和网络安全
当(而不是如果)资源受到损害时,云中的网络配置会创建包含爆炸半径的隔离边界。
网络架构最佳实践
VPC/VNet 设计。 为生产、暂存和开发环境创建单独的 VPC。切勿在具有不同安全要求的环境之间共享 VPC。
子网隔离。 仅将公有子网用于必须可通过 Internet 访问的资源(负载均衡器、NAT 网关)。将应用程序服务器、数据库和内部服务放置在无法直接访问 Internet 的私有子网中。
安全组/NSG。 将最小权限原则应用于网络规则:
- 仅允许所需的端口和协议
- 将源 IP 限制在已知范围内(不是 0.0.0.0/0)
- 使用安全组引用(源 = 另一个安全组)而不是 IP 范围进行内部通信
- 每季度审查并删除未使用的规则
业务平台的网络分段。 对于运行 ERP 和电子商务平台 的组织:
| 等级 | 资源 | 网络接入 |
|---|---|---|
| 公共 | 负载均衡器、CDN | 来自互联网的入站 443 |
| 应用 | Web 服务器、API 服务器 | 仅从负载均衡器入站 |
| 数据 | 数据库、缓存、搜索 | 仅从应用层入站 |
| 管理 | 堡垒、CI/CD、监控 | 通过 VPN/IAP 仅限管理 IP |
| 整合 | 市场连接器、网络钩子 | 仅出站到特定 API 端点 |
云提供商网络安全功能
| 特色 | 亚马逊AWS | 天蓝色 | GCP |
|---|---|---|---|
| 虚拟网络 | 专有网络 | 互联网络 | 专有网络 |
| 网络防火墙 | 网络防火墙、WAF | Azure 防火墙、WAF | 云铠甲、云防火墙 |
| DDoS 防护 | Shield Standard(免费)、Shield Advanced | DDoS 保护基本(免费)、标准 | 云甲 |
| 私人连接 | PrivateLink、VPC 端点 | 私人链接、服务端点 | 私人服务连接 |
| DNS 安全 | 路线 53 DNSSEC | DNSSEC | Azure DNS云 DNS DNSSEC |
| 流量记录 | VPC 流日志 | NSG 流日志 | VPC 流日志 |
日志记录、监控和检测
你无法保护你看不到的东西。云日志记录和监控提供检测威胁、调查事件和维护合规性所需的可见性。
基本云日志记录
| 日志类型 | 亚马逊AWS | 天蓝色 | GCP | 为什么这很重要? |
|---|---|---|---|---|
| API审核 | 云踪 | 活动日志 | 云审计日志 | 每次 API 调用(谁做了什么、何时) |
| 网络流量 | VPC 流日志 | NSG 流日志 | VPC 流日志 | 网络流量模式、异常 |
| 访问日志 | S3/ALB/CloudFront 访问日志 | 存储分析、应用程序网关 | 云存储访问日志 | 资源访问模式 |
| DNS 查询 | Route 53 查询日志记录 | DNS 分析 | 云 DNS 日志记录 | C2 检测、数据泄露 |
| 配置更改 | AWS 配置 | Azure 策略、更改跟踪 | 云资产库存 | 漂移检测,合规性 |
| 威胁检测 | 守卫值班 | Microsoft Defender 云版 | 安全指挥中心 | 自动威胁识别 |
日志记录最佳实践
在每个区域启用 CloudTrail/活动日志/审核日志。 攻击者故意在您未监控的区域进行操作。多区域日志记录消除了盲点。
集中日志。 将所有日志发送到中央 SIEM 或日志管理平台(Splunk、Elastic、Datadog 或 AWS Security Lake、Azure Sentinel 或 Google Chronicle 等云原生选项)。跨源关联对于检测多阶段攻击至关重要。
保护日志完整性。 将日志存储在不可变的单独帐户中。启用日志文件验证(CloudTrail 摘要文件)。如果攻击者可以删除日志,他们就可以掩盖自己的踪迹。
设置保留期限。 操作日志至少保留 90 天。安全和审核日志至少 1 年。监管要求(PCI DSS、SOX)可能需要更长的保留时间。
关键事件警报。 定义高风险活动警报:
- 根/全局管理员登录
- IAM 政策变更
- 安全组修改开放访问
- 不寻常地区的资源创造
- 加密密钥删除或修改
- 未经授权的 API 调用(拒绝访问模式)
CSPM 工具和实施
CSPM 工具可根据安全最佳实践、合规性框架和自定义策略自动对云配置进行持续评估。
CSPM 工具比较
| 工具 | 多云 | 优势 | 定价模型 |
|---|---|---|---|
| AWS 安全中心 | 仅限 AWS | 本机集成、CIS/NIST 基准 | 按支票付款 |
| Microsoft Defender 云版 | AWS、Azure、GCP | 强大的 Azure 集成、CSPM + CWPP | 按资源分层 |
| Google 安全指挥中心 | GCP(仅限AWS/Azure) | 原生GCP,内置威胁检测 | 标准(免费)+ 高级 |
| Prisma Cloud(帕洛阿尔托) | AWS、Azure、GCP、OCI | 综合,CSPM + CWPP + CNAPP | 每月每个资源 |
| 维兹 | AWS、Azure、GCP、OCI | 无代理、基于图形的风险分析 | 每个工作负载 |
| 逆戟鲸安全 | AWS、Azure、GCP、阿里巴巴 | 无代理、SideScanning 技术 | 每项资产 |
| 蕾丝花边 | AWS、Azure、GCP | 行为异常检测 | 每个工作负载 |
| Checkov(开源) | 全部(IaC 扫描) | 免费的基础设施即代码扫描 | 免费 |
实施 CSPM
阶段 1:可见性。 将 CSPM 连接到所有云帐户和订阅。进行初步评估以确定基线姿势。第一次扫描预计会出现数百到数千个结果。
**第二阶段:确定优先级。**并非所有发现都是相同的。优先级基于:
- 可利用性(错误配置是否面向互联网?)
- 数据敏感性(资源是否包含敏感数据?)
- 爆炸半径(攻击者可以从该资源到达什么?)
- 合规性影响(这一发现是否会影响监管合规性?)
第 3 阶段:补救。 首先解决关键和严重的问题。使用 CSPM 自动修复进行安全修复(启用加密、关闭公共访问)。手动修复复杂的更改(IAM 策略重组、网络重新设计)。
阶段 4:预防。 使用基础设施即代码扫描(Checkov、tfsec)将 CSPM 集成到 CI/CD 管道中,以防止错误配置影响生产。为基础设施代码实施安全 SDLC 实践。
阶段 5:持续合规性。 将 CSPM 规则映射到合规性框架(CIS 基准、NIST 800-53、PCI DSS、SOC 2)。生成自动合规报告。随着时间的推移跟踪姿势得分。
多云安全注意事项
跨多个云提供商运行工作负载的组织面临着额外的复杂性:
统一身份。 通过单个 IdP 跨所有云提供商联合身份。使用来自 Authentik 或 Okta 等集中式身份提供商的 SAML/OIDC 联合到 AWS、Azure 和 GCP。这提供了一致的访问管理 和单点撤销。
一致的策略。 定义一次安全策略并在所有云中强制执行。使用支持多云策略定义的策略即代码工具(OPA/Rego、Sentinel、Cloud Custodian)。
集中日志记录。 将日志从所有云提供商发送到单个 SIEM 以进行跨云关联。在云提供商之间进行的攻击对于单云监控来说是不可见的。
网络互连安全。 云到云连接(AWS-Azure VPN、GCP-AWS 互连)必须进行加密和监控。这些连接在提供商之间创建了潜在的横向移动路径。
一致的标记。 在所有云中实施统一的资源标记策略,以进行成本分配、所有权跟踪和安全策略应用。
常见问题
最常见的云安全配置错误是什么?
过于宽松的 IAM 政策。这包括通配符权限(允许对所有资源执行所有操作)、具有广泛权限的未使用访问密钥以及无需适当条件即可承担的角色。 IAM 错误配置特别危险,因为它们影响整个账户,而不仅仅是单个资源。使用 IAM 访问分析器 (AWS)、访问审核 (Azure) 或 IAM 推荐器 (GCP) 来识别和修复权限过高的身份。
如果我使用单一云提供商,我是否需要 CSPM 工具?
是的,即使是单云环境也能从 CSPM 中受益。云提供商提供原生安全工具(Security Hub、Defender for Cloud、Security Command Center),以最低的成本提供 CSPM 功能。这些工具可以识别错误配置,根据 CIS 标准进行基准测试,并提供补救指导。问题不在于您是否需要 CSPM,而在于您是否需要第三方 CSPM(对于多云、更深入的分析或超出本机工具提供的合规性报告很有价值)。
如何保护基础设施即代码 (IaC) 模板的安全?
在部署之前使用 Checkov、tfsec 或 Bridgecrew 等工具扫描 IaC 模板(Terraform、CloudFormation、Bicep、Pulumi)。将扫描集成到拉取请求检查中,以便在错误配置到达生产环境之前将其捕获。为您组织的安全标准定义自定义策略。维护经过批准、经过安全审查的 IaC 模块库,团队可以重复使用这些模块,而不是从头开始编写。
CSPM 和 CWPP 有什么区别?
CSPM(云安全态势管理)重点关注配置正确性:您的云资源配置安全吗? CWPP(云工作负载保护平台)专注于运行时保护:您正在运行的工作负载是否免受威胁? CSPM 可防止错误配置造成漏洞。 CWPP 检测并响应针对工作负载的主动威胁。现代云安全平台(Prisma Cloud、Wiz、Orca)将这两种功能组合到一个平台中,有时称为 CNAPP(云原生应用程序保护平台)。
我们如何处理第三方托管服务 的云安全?
当托管服务提供商 (MSP) 管理您的云环境时,请在合同中明确界定职责。要求 MSP 维持涵盖其云管理实践的 SOC 2 Type II 认证。保留云帐户的所有权(切勿让 MSP 拥有根/全局管理员)。使用您自己团队的访问权限实施 CSPM 以进行独立验证。将安全 SLA(修补节奏、事件响应时间)纳入服务协议中。
下一步是什么
云安全态势管理不是一个有结束日期的项目——它是一个随着云环境的发展而不断发展的持续实践。首先了解您使用的每项服务的共享责任模型,然后实施基本控制:最低权限 IAM、无处不在的加密、网络分段和综合日志记录。将 CSPM 工具置于顶部,以实现持续评估和合规性自动化。
ECOSIRE 为在 AWS、Azure 和 GCP 上运行的业务平台构建云基础设施并保护其安全。我们的 Odoo ERP 部署 使用强化的云配置和 CSPM 监控,我们的 OpenClaw AI 基础设施 跨云工作负载实现零信任网络架构。 联系我们的团队 进行云安全态势评估。
由 ECOSIRE 发布 --- 通过 Odoo ERP、Shopify 电子商务 和 OpenClaw AI 等人工智能驱动的解决方案帮助企业扩展规模。
作者
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
相关文章
适用于 Web 应用程序的 AWS EC2 部署指南
完整的 AWS EC2 部署指南:实例选择、安全组、Node.js 部署、Nginx 反向代理、SSL、自动扩展、CloudWatch 监控和成本优化。
ERP 云托管:AWS、Azure、Google Cloud
对 2026 年 ERP 托管的 AWS、Azure 和 Google Cloud 进行详细比较。涵盖性能、成本、区域可用性、托管服务和特定于 ERP 的建议。
企业多云战略:AWS、Azure 和 GCP
2026 年企业多云战略的综合指南 - AWS、Azure 和 Google Cloud 的优势、挑战、工作负载分配、成本管理和治理。
更多来自Security & Cybersecurity
API 安全 2026:身份验证和授权最佳实践(与 OWASP 一致)
符合 OWASP 的 2026 API 安全指南:OAuth 2.1、PASETO/JWT、密钥、RBAC/ABAC/OPA、速率限制、机密管理、审核日志记录和十大错误。
电子商务网络安全:2026 年保护您的业务
2026 年完整电子商务网络安全指南。PCI DSS 4.0、WAF 设置、机器人防护、支付欺诈预防、安全标头和事件响应。
2026-2027 年网络安全趋势:零信任、人工智能威胁和防御
2026-2027 年网络安全趋势的权威指南——人工智能驱动的攻击、零信任实施、供应链安全和构建弹性安全计划。
AI代理安全最佳实践:保护自治系统
确保 AI 代理安全的综合指南,涵盖即时注入防御、权限边界、数据保护、审计日志记录和操作安全。
中小企业云安全最佳实践:无需安全团队即可保护您的云
通过 IAM、数据保护、监控和合规性的实用最佳实践来保护您的云基础设施,中小企业无需专门的安全团队即可实施这些实践。
按地区划分的网络安全监管要求:全球企业合规地图
了解美国、欧盟、英国、亚太地区和中东的网络安全法规。涵盖 NIS2、DORA、SEC 规则、关键基础设施要求和合规时间表。