維護公有云環境對於企業和雲計算供應商來說是一項共同的責任。雲計算使用者應使用網際網路安全中心（CIS）基準，以確保其帳戶級別的雲安全。

CIS為雲平臺提供了基於共識且與雲計算供應商無關的配置標準。這些被稱為CIS基準的最佳實踐是為了幫助企業在帳戶級別保護公有云環境。

安全領導者和雲計算工程團隊可以透過兩種方式將CIS基準用於雲安全：首先，參考最佳實踐安全控制和配置的獨立標準可以幫助定義安全雲計算部署的內部要求。在定義和批准所有業務部門和IT運營團隊在其自己的雲帳戶和訂閱中應遵守的策略和標準時，這一點至關重要。其次，這些基準可以幫助企業為雲計算控制平臺和資產合規性制定持續的監控和報告策略。

實施CIS基準如何提高安全性

公有云客戶可以從實施雲安全的CIS基準測試中體驗到短期和長期的好處。短期回報包括安全態勢的改善和常見雲計算資產類別（如虛擬機器和其他工作負載）中漏洞數量的減少。實施這一框架還可以縮小與資料洩露的和可能配置錯誤的雲控制平臺服務相關的直接攻擊面。

長期回報包括改善企業雲計算環境中的總體安全狀況，以及增強對配置的監視和報告。這樣可以開發更準確的度量標準並報告漏洞，從而提高安全性和運營效率。

許多人質疑CIS雲安全框架是應該被視為高階最終目標還是應被視為安全起點。在許多方面，其答案都是兩者兼有。CIS基準建立有兩個級別的專案：第一級專案旨在提供即時的安全利益。它們相對實用，易於實施，並且很少以任何方式抑制或破壞雲服務或資產功能。第一級基準專案應該是所有企業的起點，並且被廣泛認為是基準最佳實踐，幾乎任何企業都可以快速而輕鬆地啟用。

但是，第二級專案提供了更強大的安全功能和更深入的縱深防禦態勢。這一級別的CIS雲安全控制可能會導致某些服務或資產在某些情況下表現不佳甚至中斷。對於安全有著更嚴格要求的企業可以將第二級CIS基準專案視為短期目標，但大多數企業會將其作為長期戰略的一部分。

CIS公有云基礎的範圍

當前可以為以下公有云環境下載CIS基準測試：

•阿里雲

•AWS

•谷歌雲平臺

•Google Workspace

•IBM雲

•Microsoft Azure

•Oracle雲計算基礎設施

儘管一個給定平臺的CIS基準可能與其他平臺的基準有所不同，但仍存在明顯的共性。公有云的所有CIS基準都有類似的控制建議類別，從虛擬機器工作負載安全到儲存和資料安全設定，再到特權訪問控制。

CIS雲安全的控制建議

普遍和可行的建議如下：

•建立符合行業最佳實踐和強化標準的安全雲工作負載，儲存和監視這些新影象。

•透過AWS CloudTrail或Google Cloud的操作套件（以前稱為Stackdriver）之類的工具啟用雲計算控制平臺日誌記錄，以提供對在雲服務帳戶內進行的所有API呼叫的可見性。此外，應配置和啟用雲原生監視和警報。

•對任何雲管理介面（包括Web門戶或命令列）啟用強身份驗證。為不同的雲計算操作角色實施最低特權身份策略。

•為雲端儲存服務啟用加密和其他資料保護措施。

•安全的雲原生網路訪問控制，以最大程度地減少訪問，並啟用網路流資料以監視網路行為。

CIS雲安全框架如何改進

大型雲服務環境正在以越來越快的速度發展。儘管CIS基準涵蓋了雲安全控制和配置的核心基礎，但更頻繁地更新基於共識的指導原則將有助於透過提供更新的指導來更好地為企業服務。

此外，將基準與行業攻擊模型和框架（例如針對雲計算的Mitre ATT&CK）結合起來，將有助於教育利益相關者在現實世界的雲攻擊場景中採用哪些控制元件可以保護他們。