安全廠商Threat Stack公司產品管理副總裁Chris Ford表示,人們不能再將安全視為一種可以“圍繞一切的圍欄”。他說,“在基礎設施這個高度變化的新世界中,人們需要了解基礎設施的所有不同區域,在這些區域中檢測風險,并開始采取安全措施。這一切都取決于人們觀察行為的能力。”
CloudKnox公司首席執行官Balaji Parimi表示,當涉及到當今的云安全實踐時,很多企業處于“被動模式”。他們主要是通過使用能夠提供異常活動可見性的工具來保護云環境,然后對異?;顒幼龀鲰憫?。
Parimi說,“雖然這些‘反應式’工具有一些優點,但企業必須優先考慮先發制人的措施,以防止災難性的情況發生。”他建議,企業評估有助于防止或至少最小化與配置不當的身份相關的風險的工具。
監視過度配置或錯誤配置的身份是企業改進云安全監控的方法之一。在這里,專家們分享了他們在云計算中如何實施云安全監控的最佳實踐。
1.了解自己的責任
企業應與供應商進行溝通,以澄清安全責任的誤解。Ford說, “很多企業希望與云計算提供商溝通,并準確理解共享責任模式所涵蓋的內容。”他指出,很多企業可能對基礎設施的某些領域視而不見。
除了詢問涵蓋哪些安全領域之外,他還建議詢問哪些工具可以提供有助于識別更復雜的攻擊行為的洞察力。
Parimi提供了一個用戶詢問云計算服務提供商的問題列表:“你們負責哪些安全性,以及我們負責的是什么?你們的產品和服務符合哪些安全和隱私標準?你們是否保留了已簽名的審計跟蹤,其中包含哪些身份通過其UI和API執行哪些操作以及何時執行?你們對日志提供什么訪問權限?”
2.了解供應商的能力
Sncurosis公司分析師兼首席執行官Rich Mogull在一次網絡研討會上表示,“云計算管理平臺可以讓企業完全控制一切。這就像一次登錄就可以訪問數據中心的所有內容一樣,對于那些知道如何利用它的人來說,這是一個巨大的安全優勢。”
收集云計算數據的方法有兩種:云計算提供商支持管理平臺活動完整日志記錄的直接方式,以及服務器和應用程序日志。Mogull指出,有些人試圖通過云訪問安全代理(CASB)進行路由,這對于軟件即服務(SaaS)而言并非適用于基礎設施即服務(IaaS),其理想的方法是直接從提供者處收集。
“這是企業追蹤一切的唯一規范來源。”他解釋說。但是,云計算提供商具有不同程度的支持,因此熟悉提供商的日志記錄功能的范圍非常重要。
“亞馬遜公司如今是最強大的云計算供應商。”Mogull說。 CloudTrail涵蓋幾乎所有API調用,Config隨時間處理配置狀態監控,CloudWatch涵蓋基本核心日志記錄,GuardDuty查看用戶永遠無法訪問的有關Amazon資產的數據。Microsoft Azure提供了各種日志服務,但它的大部分日志記錄都是由Azure安全中心提供的,Mogull稱其比CloudTrail更難從中獲取數據。
3. 發展速度對于安全監控提出挑戰
Mogull在網絡研討會上表示,云計算帶來的變化率與傳統數據中心的變化率大不相同,其發展速度對監控安全威脅提出了挑戰。例如,許多傳統工具沒有跟上發展步伐,因為它們不支持API,或者它們無法隨時管理數據。他指出,云計算技術的波動性意味著靜態庫存工具的用處不大。
一些企業認為他們可以采用現有的安全堆棧并將其移至云端,但他不建議這樣做。例如,這樣做會提示如何處理無服務器架構或處理未管理容器服務器平臺上的容器的問題。
Threat Stack公司的Ford表示,超過一半的用戶似乎愿意用安全換取速度和靈活性。企業將面臨最大限度降低風險而不妨礙快速行動的挑戰。他說,“我認為這是我們必須直接面對的挑戰之一。”
4.可見性是關鍵
在安全監控方面,大多數企業完全依賴于他們從云計算提供商那里獲得的信息,Ford稱這種方法可能會在可見性方面留下空白,特別是在工作負載方面。
他解釋說:“用戶應該有能力觀察云計算基礎設施每一層的行為。”這其中包括主機可見性、容器可見性、對控制平臺的可見性以及對應用程序層的可見性,以查看跨站點腳本、SQL注入和其他威脅。
云計算客戶在限制重要數據的關鍵服務訪問方面變得越來越明智,但攻擊者的知識和技術也在不斷發展。攻擊者不必直接訪問數據,而是尋找可用于訪問服務層并在網絡上建立持久性的密鑰。在那里,他們可以進行在整個基礎設施中橫向移動,他們可以找到擁有訪問數據存儲所需的身份識別與訪問管理(IAM)憑據的人員。
Cloudknox的Parimi說,大多數企業很難保持良好的安全態勢,因為他們缺乏對混合云環境的基本可見性。許多工具并不是為支持動態云計算環境而開發的。例如,嘗試在混合云中應用最小權限原則的企業使用依賴于基于角色的訪問控制(RBAC)的解決方案。
“這種做法的問題在于傳統的基于角色的訪問控制(RBAC)只能在靜態環境中工作。”Parimi說,“這意味著當今典型的特權身份有權在廣泛的關鍵基礎設施上執行許多高風險行為,盡管他們只使用并需要一小部分特權來執行他們的日常工作,這將帶來風險。”
5.可見性可能成為一個挑戰
Securosis公司的Mogull表示,管理層提供的可見性很好,但可能變得難以控制。他補充說,“我們需要考慮一下,將如何通過提高可見度來發現噪聲中的信號,并將這種可見性轉化為真正可行的洞察力?”
他說,“在某個時刻,企業需要確定要查找的信息類型以及希望如何收集這些數據。這有多種選擇,而找出關注的數據和原因至關重要。例如,希望監控網絡流量嗎?防病毒與這有關系嗎?云計算配置是內置的?還是需要其他工具?”
Mogull建議將云監控視為是一種望遠鏡,而不是顯微鏡。他說,“用戶不要認為可以捕獲環境中每個部分的數據。龐大的數據量可能變得無法管理。”
Threat Stack公司Ford說,“重要的是要了解得不到什么。”他警告說,不要讓可見度帶來一種虛假的安全感。這可能讓組織很難知道對于給定的數據集采取哪些操作,而且在處理云安全數據時,場景是必不可少的。對于從多個供應商或提供容器的供應商處獲得服務的組織來說將會增加復雜性。
6.將警報置于場景中
Ford表示,僅僅依靠來自安全工具的警報是不夠的。他說,“用戶需要提供警報的深層次場景,這樣才能理解產生警報時發生的事情。”
Ford解釋說,例如,某個組織收到亞馬遜網絡服務公司的GuardDuty關于有問題連接的警報。除非可以確定哪個用戶啟動了創建連接的進程,否則很難有足夠的場景來使這些警報進行操作。他建議通過安全編排平臺或SIEM與其他工具的組合,盡可能多地訪問遙測數據,以收集所需的數據量。
如果組織正在研究網絡流,那么用戶和應用程序行為的知識可以幫助其確定什么是正常與異常行為。另一個例子是,Ford指出可以查看權限提升的配置。如果組織注意到權限升級與未經授權的文件修改相結合,那么對其配置的查看更加緊迫。
7.過濾數據,減少成本
Securosis公司的Mogull建議組織在通過互聯網傳輸日志之前過濾日志。他說,云計算提供商按數據的字節收費,其目標是減少成本,而不是將收集的所有數據都推送到SIEM中。
他解釋說,管理平臺日志的數據少于實例和其他云資源,但是它們的成本仍然會增加。他建議組織將其擁有的賬戶與記錄的內容相關聯。這取決于提供商,但通常組織可以將結算和項目ID與日志ID進行比較。他說,只有項目管理員才能訪問項目日志。
服務器和應用程序日志可能會帶來更棘手的問題,這在很大程度上取決于項目需求。服務器和應用程序日志通常包含更大的數據量,這會使成本管理變得困難。
8.使用基于身份的方法
CloudKnox公司的Parimi建議企業從身份角度評估他們的安全狀況。作為此過程的一部分,他們應該著眼于了解有多少人員可以接觸他們的關鍵基礎設施,這些身份是他們真正需要的特權,在特定時間段內采取行動。
“最重要的是,企業必須認識到他們的關鍵工作負載在當今的現代化基礎設施中是多么脆弱。”他解釋說。采用一行腳本或簡單地采用某人的身份都會造成“災難性的破壞”,并且對可能導致這種損害的人和因素的整體理解應該是網絡安全策略的核心。
所有企業都應該假設其混合云的最大風險是具有過多特權的可信身份,并且降低風險的唯一方法是實施最小特權原則。Parimi補充說,“企業不要過度或錯誤地提供高風險特權的人員身份。”
京公網安備 11010502049343號