盡管采用率更高且收益顯著,許多組織仍然擔心將其資產托管在公共云上。
最近的一些調查報告強調了人們的擔憂。來自Cybersecurity Insiders和ISC2的2019年云安全報告發現,93%的組織對公共云安全有著中度到極度的關注。Bitglass公司最近發布的云安全報告中,90%以上的受訪者對公共云安全表示關注。
這兩份報告以及另一份由Cyber??security Insiders撰寫并由Check Point贊助的報告都詳細說明了組織如此關注的原因。
這些報告中列出了受訪者認為對公共云采用的最大威脅的類似清單。主要問題包括數據丟失和泄漏、未經授權的訪問以及云平臺的錯誤配置。其他包括外部數據共享、缺乏可視性、惡意內部人員、惡意軟件/勒索軟件、數據隱私、合規性和數據主權。
Enterprise Strategy Group公司高級首席分析師Jon Oltsik表示,這些調查結果并不令人驚訝。
他說,“而且有些安全事件一直在發生,這可能會增加出錯的可能性。例如,如果企業在容器中托管應用程序,則必須了解容器周圍的漏洞和攻擊向量。如果使用的是無服務器模型,則可能會發生同樣的情況。這一切都會改變企業放置安全控件的位置,以及需要監控的內容。”
Oltsik表示,他將描述最大的公共云安全威脅,這些威脅阻礙采用方式略有不同,將其范圍縮小到粗心的用戶,易受攻擊的配置,以及跨越殺傷鏈進入云端以獲取訪問權限的攻擊。
他說,無論是由于缺乏知識還是根本不關心,總會有一些粗心的用戶。除了教育用戶之外,OLTSik始終強調以能夠識別惡意、可疑或粗心行為的方式監控用戶的重要性。做到這一點的最佳方法包括限制用戶可以通過最小權限、基于角色的訪問控制和強身份驗證來做什么。他建議使用用戶行為分析和行為監控工具,以及實踐良好的身份和訪問管理(IAM)。
“人們還可以使用SIEM(安全信息和事件管理)來編寫一些關聯規則,這樣就知道如果有人連續執行第一步、第二步和第三步,那就是錯誤。”他補充道。
至于解決易受攻擊的配置,Oltsik建議實施掃描和分析工具。他說,“例如,確保S3存儲桶不會對任何人進行身份驗證,這是幾年前的默認配置,并且讓很多人陷入困境。”
關于公共云安全的最后一個問題,網絡攻擊可以跨越“殺傷鏈”進入云平臺,并獲取對敏感數據的訪問,這是一個很大的問題。正如Oltsik解釋的那樣,黑客或者使用云計算作為本地訪問數據的方式,或者通過網絡釣魚、社交媒體或其他攻擊來破壞用戶,使用該載體訪問云中的數據。他說,“這是一個復雜的問題,但有很多方法可以解決。”
他解釋說,“企業必須了解用戶和開發人員在做什么,以及什么是正常行為,才能發現異常現象,并了解它們如何影響下游的應用程序和數據。換句話說,人們需要理解殺傷鏈:在一個地方發生的事情會將如何影響在另一個地方發生的事情。”
他補充說,理解和監控殺傷鏈的最佳方法之一是使用Mitre Att&ck框架,這是攻擊者在對組織進行破壞時使用的戰術和技術的知識庫。
遺留安全工具的問題
這三份調查報告都強調了這樣一個事實,即為內部部署環境設計的安全工具并非本身可遷移到云計算環境中。正如Check Point公司的調查報告所說,“傳統安全工具不是針對云計算的動態、分布式虛擬環境而設計的。66%的受訪者表示,傳統安全解決方案或者根本不起作用,或者在云計算環境中提供有限的功能。”
Oltsik說,“這是真的,但有很多方法可以解決,”例如,對內部部署安全工具進行重大投資的組織可能不希望廢棄這些工具,并購買新工具。相反,他們可以在云中部署代理,在傳統安全控制和云安全控制之間創建混合工具。
但這是權宜之計。ESG公司的研究發現,只要這些工具與傳統工具集成,企業就更喜歡為云計算而專門構建的工具。
Oltsik說,“很多企業不想復制政策、收集數據和執法規則,但云平臺是一個不同的環境,監控和控制它的方式是不同的,所以只要適合企業的整體安全策略,就需要向云平臺開放不同的模型。”
但從長遠來看(一般在三年內),企業將推動整合。
Oltsik說,“如今,投資于多云中的內部數據中心和應用程序并不少見。這將是一個異構的世界,這意味著企業需要能夠始終適應所有這些環境的安全工具。企業希望能夠訪問工作負載和數據,而無需根據數據的位置和工作負載的位置編寫規則。”
ESG公司發現,企業傾向于從獨立的云安全工具開始,并在未來幾年內將它們集成到他們的環境中。他說,“這就是為什么看到思科、PaloAlto、Checkpoint等供應商收購云計算工具,并將它們集成到自己架構中的原因。”
京公網安備 11010502049343號