22、云安全运营：保障云环境的安全与稳定

云安全运营：保障云环境的安全与稳定

1. 身份与访问管理

1.1 身份与访问管理工具的使用

许多云服务提供商（CSP）为其环境提供特定的身份与访问管理工具，同时也存在第三方身份即服务（IDaaS）提供商。这些工具能够跨云和本地应用程序管理逻辑访问控制，还能轻松管理管理员账户的相关控制，如增强日志记录或更严格的密码要求。常见的 IDaaS 工具包括 Okta、Microsoft Azure AD、Ping 和 Auth0 等公司的产品。

1.2 单点登录（SSO）

谷歌工作空间（Google Workspace）和微软 365 产品线（以前称为 Office 365）等主要 CSP 提供的生产力软件支持单点登录。用户可以使用公司账户登录其他服务，这减轻了用户记忆密码的负担，也简化了用户访问管理。许多 IDaaS 解决方案也具备作为 SSO 提供商的功能。

2. 操作系统基线合规性监控与修复

2.1 监控的必要性

强化的操作系统实现了组织风险容忍度所需的许多安全控制，并可能实施满足组织合规义务的安全配置。然而，这些系统需要持续监控，以确保它们保持强化状态。

2.2 监控方法

• 使用配置管理数据库（CMDB）和配置管理审计 ：组织的 CMDB 应捕获所有纳入配置管理的配置项（CI）。该数据库可用于手动审计和自动扫描，以识别偏离已知安全状态的系统。例如，审计员可以从 Windows 服务器样本中提取注册表文件，并将条目与配置基线值进行比较。任何偏离基线的系统都应重新配置，除非有文档记录的例外情况。自动