據有關報告顯示，公共云、私有云和混合云的風險差異很大。在向云數據和服務邁進的過程中，許多公司都在重新思考他們的網絡安全方法。他們需要云安全策略嗎?云安全策略有什么不同?而最近的一些調查揭示了安全戰略是如何變化的，更重要的一點是，它們應該如何改變。本文將講述有關執行成功的云安全策略所需的工具、信息和組織結構的建議。

在云中放置更多IT基礎架構在某些方面更安全一些。例如，您可以合理的確定系統正在運行補丁的最新版本。云服務提供商也在構建新的功能，例如使用機器語言進行異常檢測。但是同時，它也帶來了新的風險，其中一些是誤解如何管理云安全的結果。

重要的是要了解公司的云IT戰略——無論是混合型、私有托管型還是公共型，都影響其網絡安全戰略和戰術的執行。

什么是云安全風險?

來自云安全提供商Alert Logic的數據顯示了與本地數據中心相比，每種形式的云環境的風險性質和數量。在18個月的時間里，該公司分析了來自3,800多家客戶的147 PB的數據，以對安全事件進行量化和分類。在此期間，它發現了超過220萬個真正的安全事件。主要發現包括：

· 混合云環境中平均每個客戶的安全事件數是977個，其次是托管私有云684個，本地數據中心612個和公共云405個。

· 到目前為止，最常見的安全事件類型是Web應用程序攻擊(75%)，其次是暴力攻擊(16%)，偵察(5%)和服務器端勒索軟件(2%)。

· Web應用程序攻擊最常見的載體是SQL(47.74%)，Joomla(26.11%)，Apache Struts(10.11%)和Magento(6.98%)。

· Wordpress是最常見的暴力攻擊目標，占41%，其次是MS SQL，占19%。

由此可見，無論是公共云、私有云還是混合云環境，Web應用程序威脅都占據主導地位，它們之間的不同之處在于其風險程度。Alert Logic的聯合創始人Misha Govshteyn說。

作為防御者，我們有較高的并且有效的保護公共云的能力，因為我們看到了更好的信噪比并且減少了更少的噪音攻擊。而當我們在公共云環境中意識到安全事件時，我們知道必須要引起注意了。

數據顯示，某些平臺比其他平臺更容易受到攻擊。盡管你付出了最大努力，但還是會增加你的攻擊面。他指出盡管人們普遍認為，LAMP堆棧比基于Microsoft的應用程序堆棧更容易受到攻擊，他還將PHP應用程序視為熱點。

Govshteyn說：在內容管理系統中，特別是Wordpress、Joomla和Django，作為Web應用程序的平臺，其存在的漏洞遠遠超過人們的想象。只有當您了解開發團隊傾向于使用的Web框架和平臺時，才有可能保證這些系統的安全。但大多數安全人員幾乎不關注這些細節，并常常存在僥幸心理而做出決定。

為了最大限度地降低云威脅的影響，Alert Logic有三個主要建議：

· 依靠應用程序白名單和阻止訪問未知程序。這包括對組織中使用的每個應用程序進行風險與價值評估。

· 了解您自己的補丁程序并優先處理修補程序的部署。

· 根據當前用戶職責來限制管理和訪問權限。保持應用程序和操作系統的權限是最新的。

6種云威脅

今年4月份，云安全平臺提供商ShieldX概述了它認為可能在2018年發生的六類云安全威脅。大多數組織都很難降低這些威脅的風險，因為他們的防御與其性質之間存在差距。ShieldX首席技術官兼高級副總裁Manuel Nedbal說：

物理數據中心外形與虛擬外圍之間存在不匹配的現象。傳統的安全控件是為了保護物理形狀因素而建立的，這為安全威脅打開了大門。

1.跨云攻擊

通過跨云攻擊，黑客可以通過公共云訪問內部部署系統和私有云系統。由惡意行為者接管的公共云中的工作負載可能導致將攻擊擴散到私有云。

如果防御措施到位，風險就可以降至最低，但通過遷移到公共云，組織往往忽略了延伸到新環境的事實。然而，與內部防御相比，公共云不提供相同的安全控件，并且很難移動傳統安全性。Nedbal說，對云的攻擊量還正在不斷增加。一旦有公開的工作負載，它就會受到攻擊，公共云中的防御也比傳統的內部部署控件更弱。此外，如果一個組織對其內部部署和云系統有不同的控件集，那么它可以留下黑客利用的空間。

2.跨數據中心攻擊

一旦黑客擊中數據中心位置，他們的下一步就是橫向擴散。原因是數據中心中的交付點(PoD)之間的連接被認為是可信區域。如果攻擊者攻擊一個PoD，那么它就可以傳播到其他連接的數據中心。

在一篇博客文章中，Nedbal建議通過一個多層防御系統發送所有流量，該系統具有與外圍相似的一組安全控件。

3.跨租戶攻擊

在多租戶環境中，黑客可以利用云租戶之間的網絡流量。租戶可能會認為提供商已將其資產保護在云端，但實際上他們負責實施大部分防御措施。同樣，通過具有適當控件的多層防御系統發送流量將降低此云威脅的風險，但它需要能夠在需要的地方和時間以適當的比例放置這些控件。

4.跨工作負載攻擊

云和虛擬化的工作負載可以輕松的與其他人連接。無論是在虛擬桌面、虛擬Web服務器還是數據庫上，攻擊者都可以訪問其他工作負載。Nedbal說：“如果您將所有工作負載封鎖，那么它們就是安全的，但無法執行它們設計的功能。”在博客文章中，他建議將具有類似安全要求的工作負載放在一個具有適當控制區域中，除了基本的分段之外，還可以監視流量。

5.編排攻擊

Cloud Orchestration支持許多關鍵任務，包括配置、服務器部署、存儲和網絡管理、身份和權限管理以及工作負載創建。黑客通常會執行編排攻擊來竊取帳戶登錄信息或私人加密密鑰。有了這些，攻擊者可以執行編排任務以基本上獲得控件和訪問。Nedbal說：“一旦進入，攻擊者可以為自己的目的創建額外的工作負載，如加密挖掘或刪除工作負載。”他們可以竊取的特權越多，所帶來的傷害就越大。

Nedbal說，防范編排攻擊的方法是通過監控管理員行為。編排威脅需要一種新型的安全監控，而不是傳統網絡安全系統的一部分，它可以尋找異常行為的異常賬戶模式。

6.無服務器攻擊

無服務器應用程序允許組織快速啟動云的功能，而無需構建或擴展基礎架構。通過所謂的服務功能(FaaS)，它們為黑客提供了新的機會，同時也為網絡維護者帶來了新的挑戰。新功能可能可以訪問敏感資產，如數據庫。如果該功能的權限設置不正確，攻擊者可能夠通過該功能執行許多任務，包括訪問數據或創建新帳戶。與編排攻擊一樣，檢測無服務器攻擊的最佳方法是監控帳戶行為，但必須與網絡流量檢查相結合才能生效。

如何保護云

根據市場研究公司VansonBourne的調查，并由網絡監控解決方案提供商Gigamon的贊助，73%的受訪者預計他們的大部分應用程序工作負載都在公共云或私有云中。然而，35%的受訪者希望以與他們的內部部署操作“完全相同的方式”處理網絡安全。其余的人雖然不愿意改變，但他們也別無選擇，只能改變他們的云安全策略。

當然，并不是每家公司都想要將敏感或關鍵數據遷移到云端。但是，大多數公司正在遷移關鍵性和專有的公司信息(56%)或營銷資產(53%)。47%的受訪者希望在云中擁有個人身份信息，這可能是受到新的隱私法規(如歐盟的GDPR)的影響。

根據Govshteyn的說法，公司應該關注云安全戰略的三個主要領域：

1.工具。您在云環境中部署的安全工具，必須能夠保護Web應用程序和云工作負載。Govshteyn說：

為終端保護制定的安全技術，主要集中在一組在云中不常見的攻擊媒介，并且不具備應對OWASP Top 10威脅的能力，這些威脅占所有云攻擊的75%。” 他指出，終端威脅針對Web瀏覽器和客戶端軟件，而基礎架構威脅則針對服務器和應用程序框架。

2.結構。圍繞云提供的安全和管理優勢定義您的架構，而不是您在傳統數據中心中使用的相同架構。Govshteyn說：

我們現在有數據顯示，純公共環境允許企業降低事故率，但只有使用云功能設計更安全的基礎設施才能實現這一目標。

他建議您在自己的虛擬私有云中隔離每個應用程序或微服務，這樣可以減少入侵范圍。例如雅虎，利用Web應用程序作為初始入口，因此在人們看來最不重要的應用程序通常成為您最大的問題。此外，不要修補云部署中的漏洞。相反，部署運行最新代碼的新云基礎架構，并停用舊基礎架構。Govshteyn說：

只有自動化部署才能實現這一目標，但在傳統數據中心，您將無法獲得對基礎架構的控件。

3.連接點。問題在于確定云部署與運行舊代碼的傳統數據中心互連的點。

并非關于公司現有安全策略的所有內容都必須針對云進行更改。Gigamon產品營銷高級經理Tom Clavel說：

使用相同的安全策略，例如，對威脅檢測的深入內容檢查(對于云作為內部部署其實是一個很好的想法)。追求這一目標的公司通常會尋求其安全架構之間的一致性，以限制其安全狀況的差距。但問題在于他們如何獲得網絡流量來進行這種檢查。

云的可見性問題

VansonBourne受訪者提出了一個問題，云可能會在安全領域內造成盲點。總體而言，有一半人表示云可以“隱藏”信息，使他們能夠識別威脅。使用云，他們也丟失了一些加密內容(48%)、不安全應用程序或流量(47%)或SSL / TLS證書有效性(35%)的信息。

據49%的調查受訪者稱，混合云環境可能會進一步阻礙可見性，因為它可能會阻止安全團隊查看數據的實際存儲位置。78%的受訪者表示，在Siloed的數據中，其中一些由安全運營部門和一些網絡運營部門控制，這會使搜索數據更模糊。

這些數據不僅僅對安全團隊對可見性是有限的。百分之七十七的VansonBourne受訪者表示，網絡盲點是他們保護組織的障礙。為了獲得更好的可見性，Clavel建議您首先確定如何組織和實施安全狀態。他說：

不管是在云中，還是從內部擴展到云?在這兩種情況下，確保應用程序網絡流量的普遍可見性是的安全策略的核心。你能看得越多，你就能越安全。

為了滿足可見性需求，確定一種獲取和優化安全工具的網絡流量的方法，無論是入侵檢測系統(IDS)、安全信息和事件管理(SIEM)、取證、數據丟失防護( DLP)、高級威脅檢測(ATD)、或同時對所有這些，添加SecOps程序，可以自動化檢測到威脅的可見性和安全性。

這些盲點可見性可能會產生GDPR合規性問題。66%的受訪者表示，缺乏可見性將使GDPR合規性變得困難。只有59%的受訪者認為他們的組織將在2018年5月前為GDPR做好準備。

安全策略無法跟上云應用的步伐

根據2018年Oracle和畢馬威云計算威脅報告，87%的公司現在采用云優先戰略，90%的公司表示他們在云中擁有的數據中有一半是敏感的。來自同一報告的數據顯示，雖然這些公司已采取積極的方式采用云，但安全實踐和政策似乎并沒有趕上。

Oracle / KPMG報告中的數據來自450個網絡安全和來自世界各地的專業人士的調查。受訪者雖然擔心云安全，但大多數人都沒能采取一些明顯的措施來降低云中敏感數據的風險。

· 82%的人認為他們的員工不遵守云安全程序，但86%的員工表示無法收集和分析大部分安全事件數據。

· 只有38%的受訪者表示，檢測和響應云安全事件是他們面臨的首要網絡安全挑戰。

· 只有41%的人擁有專業的云安全架構。

有跡象表明公司將在不久的將來會更加重視云安全。84%的受訪者希望提高他們的安全自動化水平，89%的受訪者希望在未來一年增加他們的網絡安全預算。

誰來負責云安全?

鑒于利害攸關的問題，62%的受訪者表示希望他們的安全運營中心(SOC)能夠控制網絡流量和數據，以確保在云環境中提供足夠的保護。其中一半人愿意了解網絡流量和數據。

由于管理云環境的組的結構，獲得控制甚至完全可見性可能對許多組織來說是一個挑戰。雖然安全運營負責69%的受訪者組織的云安全，但云計算運營或網絡運營也參與其中。這導致誰在云安全方面處于領先地位，以及團隊應如何協作方面出現問題。事實上，48%的受訪者表示，團隊之間缺乏協作是識別和報告違規行為的最大障礙。

Clavel說：

通常，公司在網絡、安全和云之間分配責任，每個人都有不同的預算、獨特的所有權、甚至是管理這些領域的獨特工具。獲得對云的可視性來確保其安全，則需要打破這三個組織之間的溝通墻。內部部署的相同安全工具也能夠保護云，因此需要云和安全團隊進行溝通。

那么到底誰應該關注組織的云安全性?它需要是具有正確技能和承諾能力的人或團隊。我們需要找到這類人或團隊，并讓他們在未來三到五年內建立組織的安全策略。

在過去幾年中，這往往是IT運營團隊或企業安全團隊，但始終會有一個架構師級別的個人貢獻者或專門的云安全團隊作為這項工作的核心。這種新型的安全專業人員可以編寫代碼，花費80%以上的時間自動化他們的工作，并將開發團隊視為他們的同行而不是對手。

雖然一些公司的董事會對安全問題非常感興趣，但他們卻沒什么能幫助的。Govshteyn說：

實際上，當今云安全問題的關鍵決策，大部分來自能夠跟上公共云快速變化的技術人員。

超過一半的受訪者認為，保護云的任務更加復雜的是，他們的組織尚未實施云戰略或框架。雖然幾乎所有的組織都計劃在未來這樣做，但目前尚不清楚究竟是誰主導了這一倡議。