目前，業(yè)界很多組織正在考慮將IT資源向公有云服務(wù)中遷移，如亞馬遜、微軟、谷歌和其他公有云服務(wù)提供商，云計(jì)算能夠帶來更高的資本效率、業(yè)務(wù)敏捷性和企業(yè)可擴(kuò)展性等前景使得這一舉措獲得企業(yè)的青睞。

　　此外，將應(yīng)用程序和數(shù)據(jù)遷移到云端也提供了多項(xiàng)安全優(yōu)勢。例如，用戶在傳統(tǒng)環(huán)境中遇到的長期存在的信息安全問題，包括可見性、身份／訪問管理和策略實(shí)施等，將更好地由公有云環(huán)境面向服務(wù)架構(gòu)（SOA）及原生云工具提供。此外，虛擬私有云（VPC）內(nèi)置的可見性、身份和策略執(zhí)行基礎(chǔ)為威脅檢測和解決提供了理想的解決方案。

　　雖然應(yīng)用程序和數(shù)據(jù)遷移確實(shí)在向公有云中部署，但遷移到云端也帶來了信息安全的挑戰(zhàn)，需要更加謹(jǐn)慎地采取這種方式。

　　與傳統(tǒng)環(huán)境類似，早期的威脅檢測是保護(hù)用戶信息資產(chǎn)的有效手段，這不會隨著公有云的發(fā)展而變化，但是用戶現(xiàn)在正在嘗試在物理和虛擬領(lǐng)域檢測威脅。這就是為什么很多組織正在部署端點(diǎn)建模解決方案來擴(kuò)充其現(xiàn)有的安全性堆棧，并加強(qiáng)公有云本身駐留IT資源提供的安全性。

　　端點(diǎn)建模的優(yōu)勢

　　端點(diǎn)建模能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)上的每個(gè)設(shè)備，包括云環(huán)境中的設(shè)備。它創(chuàng)建了該設(shè)備基于軟件的常規(guī)行為模型，隨著時(shí)間的推移不斷監(jiān)測設(shè)備行為，尋找與模型的任何偏差。并且當(dāng)出現(xiàn)異常或不同的行為時(shí)，它會生成一個(gè)實(shí)時(shí)的可操作的警報(bào)，發(fā)送給用戶的安全分析人員，以便用戶所在的組織作出回應(yīng)。

　　因此，端點(diǎn)建模代表了一種靈活、可擴(kuò)展和經(jīng)濟(jì)有效的手段來提高云端的安全性，為了更好地了解利益，我們將使用AWS保護(hù)公有云環(huán)境的示例。我們還將進(jìn)一步了解AWS工具如何更好地了解所有AWS資源的配置狀態(tài)，這對于提高云端的安全性至關(guān)重要。

　　了解所有AWS資源的配置狀態(tài)非常重要，因?yàn)槿绻脩糁浪蟹?wù)、設(shè)備、用戶和策略對象的配置狀態(tài)，用戶可以了解這些狀態(tài)是否與最佳做法和期望一直，或者抵消已知的網(wǎng)絡(luò)問題和安全漏洞。

　　了解用戶的駐留在云端的資源在做什么至關(guān)重要，因?yàn)椤百Y源允許做什么”和“資源已經(jīng)展示的行為”有很大的區(qū)別，大多數(shù)安全問題可以追溯到資源通過其配置支持的行為，但這被證明是有害的。

　　可見性是端點(diǎn)建模的關(guān)鍵指標(biāo)

　　端點(diǎn)建模為AWS環(huán)境添加了正確的可見性的級別，可以深入了解每個(gè)AWS資源所演示的具體行為。

　　簡而言之，端點(diǎn)建模是一種獨(dú)特的安全自動化形式，可以檢測到您的人員、流程或技術(shù)未知的問題。

　　公有云環(huán)境可以在傳統(tǒng)計(jì)算環(huán)境中實(shí)現(xiàn)更高的安全性，部分原因是它們從一開始就解決了可見性、身份管理和策略實(shí)施等長期存在的問題。但它們也帶來了維護(hù)IT資源安全的挑戰(zhàn)，擴(kuò)大了可能構(gòu)成威脅的“未知”的名單。當(dāng)端點(diǎn)建模解決方案應(yīng)用于云環(huán)境時(shí)，可以快速找到已知和未知的問題，并提高安全性。