多年以來,由于對安全威脅的擔憂,許多組織和IT高管一直對采用公共云服務持懷疑態度,甚至避免使用這些服務。
隨著云計算服務市場的成熟以及行業領先的云計算提供商構建高度安全的云計算基礎設施,這些擔憂在很大程度上得到緩解。但這并不意味著面臨的威脅已經消失,云計算客戶還是需要自己保護數據的安全。
云計算配置錯誤是網絡攻擊者首先尋求攻擊的漏洞,例如用戶沒有刪除舊帳戶,可能會引發一些問題。
云安全聯盟(CSA)對標準、認證以及幫助確保安全的云計算環境的最佳實踐進行了定義。并指出:“全球云計算采用率的上升帶來了新的云安全威脅,黑客可以在其中研究組織的弱點并獲得未經授權的訪問以竊取機密信息。我們需要更智能、更敏捷的控件來應對此類威脅,而這正是云計算服務提供商采取的傳統安全措施失敗的地方。”
該組織根據云安全聯盟(CSA)頂級威脅工作組對其成員的調查,確定了云計算面臨的最大威脅。其中包括數據泄露;缺乏云安全架構和策略;身份、憑證、訪問和密鑰管理不足;帳戶劫持;內部威脅;不安全的接口和應用程序編程接口(API);以及云計算使用情況的可見性有限。
現在依賴多云或混合云環境來支持其業務流程的組織需要保持警惕,以確保其數據和應用程序安全——就像這些資源位于內部部署數據中心一樣。
研究機構Gartner公司對云計算安全做出了許多預測,這些預測應該引起組織的首席信息安全官(CISO)和其他安全主管的關注。
一是到2025年,90%無法控制公共云使用的組織可能會無意共享敏感數據。另一個原因是,到2024年,大多數組織將繼續努力適當地衡量云計算的風險。第三,到2025年,99%的云計算安全故障是客戶犯下的錯誤,而不是云計算提供商的錯誤。
以下是在云計算環境中增強安全性最佳實踐的一些建議:
1.部署身份和訪問管理工具
Gartner公司云安全高級總監兼分析師Steve Riley說,管理誰有權訪問云中的哪些數據和服務應該是云計算網絡安全計劃的基礎。
Riley說,“在公共云中,在單個資源和數據對象級別的邏輯訪問控制變得至關重要。身份也許是虛擬邊界的最重要形式,可以有效地減少潛在漏洞的攻擊面。”
Riley說,任何擁有互聯網連接的人員都可以訪問云管理控制臺和駐留于云平臺的應用程序。因此,任何用于維持對組織的云計算部分控制的策略的基礎都是有效的身份和訪問管理(IAM)策略。
他說:“當組織設計一個既能實現業務又能保護業務的身份和訪問管理(IAM)策略時,需要記住,最小特權原則仍然是有用的。這個過程可以快速輕松地請求和授予其他特權,而對個人工作流程的干擾最小。當權限分配過于狹窄時,系統安全失效,錯誤往往不會造成安全問題。當任務范圍太廣時(通常是因為權利的蔓延),其情況正好相反:錯誤往往會造成真正的安全問題。
現在大多數公共云服務都提供基于角色的管理、內置的多因素身份驗證(MFA)和廣泛的日志記錄功能。有些可以與特權訪問管理工具集成。大多數服務還提供某種形式的有效權限評估程序,這有助于消除猜測是否可以確定用戶或服務帳戶的權限范圍是否過大。”
Riley表示,帳戶權限過寬和對象訪問控制列表過寬是最常見和最危險的云安全問題。
2.防止安全配置錯誤
研究機構IDC公司負責安全和信任的項目副總裁Frank Dickson表示,云計算環境面臨的最大威脅是錯誤配置。
Dickson指出,開放的AWS S3存儲桶一直是備受關注的漏洞來源,但一些組織選擇將公共云存儲資源保持開放狀態。
Dickson說,“盡管在默認情況下不會打開S3存儲桶;他們是封閉的,客戶必須決定是否開放S3存儲桶,并可能使其暴露在外。俗話說,預防勝過治療。在適當的云計算配置上進行少量投資相當于采用更多的云安全工具。”
云安全聯盟(CSA)表示,云配置錯誤是攻擊者首先要檢查的內容,而很小的安全疏忽(例如無法刪除舊帳戶)可能會在幾秒鐘內引起問題。可能配置云計算的常見錯誤之一是缺乏訪問限制。并且缺乏數據保護,尤其是對于以純文本形式上傳到云平臺中的個人信息。
配置錯誤的另一個原因是無法審核和驗證云計算資源。該組織報告說,缺乏對資源和配置的定期審核可能會導致一個安全漏洞,隨時可能被惡意攻擊者利用。
企業還可以忽略日志記錄和監視,而及時檢查數據和訪問日志對于識別和標記與安全相關的事件至關重要。
最后,組織可以為用戶提供“過度授權”訪問權限。云安全聯盟(CSA)指出,用戶訪問應僅限于個人允許使用的應用程序和數據。
3.降低云計算管理的復雜性
為單個云計算服務提供足夠的安全性對于組織來說可能是一個巨大的挑戰。將更多的云計算服務和更多的云計算提供商加入到這個組合中,保護數據的挑戰將變得更大。
對于越來越多的組織而言,組織向云平臺的遷移最終意味著擁有多云或混合云環境。這可能會導致高度復雜的基礎設施,其中包含各種公共云服務提供商和各種類型的云計算服務,并且可能帶來許多安全風險。
Dickson說,在云計算為主的環境中解決網絡安全的早期步驟之一應該是降低復雜性。他說,IDC公司估計有80%的公司擁有不止一個基礎設施即服務(IaaS)提供商提供的云平臺。
許多組織還希望使用來自不同提供商的多種軟件即服務(SaaS)和平臺即服務(PaaS)產品,因為希望減少運營支出,并在向用戶提供服務時獲得更大的敏捷性。
很多組織擁有多個云平臺,而每個云平臺都有自己的特點,可能很難保護。Dickson說,“如果可能,組織需要盡量減少云計算提供商的數量,更少的云計算提供商通常意味著更少的安全提供商。而云計算提供商的整合將進一步降低復雜性。”
4. 更加關注檢測和響應
Riley說,由于放棄了對云平臺的某些控制,組織應該期望對云計算活動進行更多的監視,以證明治理程序已經到位并正在被遵守。
Riley說:“大多數云計算提供商(CSP)提供了必要的工具來檢測資源、工作負載和應用程序,以收集原始日志數據,但是可能會限制日志數據的存儲位置。將這些數據轉換為有用的信息面臨著挑戰,并且可能需要云計算提供商(CSP)提供的或第三方的產品或服務,尤其是如果需要將日志數據從一個地理區域轉移到另一個地理區域時。”
Riley表示,Gartner公司的一些客戶更喜歡依靠現有的安全信息和事件管理(SIEM)工具,并且許多云計算服務都支持更流行的服務。其他客戶報告說,一些安全信息和事件管理(SIEM)工具笨拙且嘈雜,他們更喜歡采用云原生服務。
Riley說:“但是,在投資另一種產品之前,組織應該首先研究云計算服務的內置日志記錄、報告和分析功能。”
SaaS應用程序傾向于提供聚合、關聯和分析行為的各種報告的集合。Riley說:“對于僅使用一個或幾個SaaS應用程序的組織來說,這些可能就足夠了。對于訂閱了許多SaaS應用程序的組織而言,云訪問安全代理(CASB)或SaaS管理平臺(SMP)可能是評估SaaS安全狀況以及標準化控制和治理的更好選擇。”
Riley說:“IaaS和PaaS提供商提供一些工具,并期望其客戶將輸出收集到可以理解數據的服務中。越來越多的IaaS和PaaS云計算提供商提供原生事件分析和調查功能。”
此外,云安全狀態管理(CSPM)工具提供了高效的機制,可用于評估工作負載的配置以及檢測和補救不合規的設置。
5.部署數據加密
數據加密是一種更強大的安全工具,如果數據落入錯誤的人員手中,組織可以使用它來保護數據。
Dickson說:“在默認情況下,數據將會離開組織的工作場所,因此數據的保護在云平臺中變得非常重要,必須對運動中的數據和靜止數據進行加密。”
Riley表示,加密措施提供了額外的邏輯隔離層。他說:“對于許多安全團隊來說,圍繞是否默認加密所有內容的問題存在爭論。對于IaaS和PaaS中的大容量存儲,合理的方法可能就是加密。它簡化了配置過程,避免了敏感數據被無意公開的情況,并且對于僅刪除密鑰就破壞數據的做法很有用。”
Riley說:“加密還可以作為訪問控制策略的雙重檢查措施。組織需要讀取加密的對象,其帳戶必須出現在兩個訪問控制列表中:對象本身的帳戶和加密對象的密鑰帳戶。授予訪問權限時必須達成一致的機制是一種有效的縱深防御形式。”
Riley指出,對于SaaS和PaaS中的應用層數據,這一決定更為復雜。他說:“在PaaS / SaaS應用程序的場景之外加密數據會降低應用程序的功能。組織必須權衡功能和隔離之間的利弊。加密不能替代信任。對加密數據進行任何有用的處理都需要先對其進行解密,然后將其讀入內存,從而使其容易遭受基于內存的攻擊。”
6.將培訓和教育作為優先事項
最后,與任何其他網絡安全計劃一樣,對用戶進行安全風險教育至關重要。對于許多組織和員工來說,遷移到云平臺仍然是一個相對較新的概念,因此需要優先考慮培訓和程序編寫指南。
云安全聯盟(CSA)全球研究副總裁John Yeoh表示:“組織需要對其員工進行有關云安全的教育。有許多教育性文件和課程可供組織員工學習有關云中的安全基礎知識。”
云安全聯盟(CSA)提供了一個名為《云計算關鍵領域安全指南》的基礎文檔,以及一個名為《云安全知識證書》的培訓課程。
Yeoh說:“對于那些使用特定云計算服務和工具的組織來說,擁有這些工具的知識很重要。云計算提供商不斷在其服務中添加和更改功能。正確使用這些功能并了解標準配置對于安全使用這些服務至關重要。建立具有基本云計算知識的安全文化是通過減少人為錯誤因素,并提高對云計算最佳實踐的認識來改善組織安全狀況的重要一步。”
Yeoh表示,云安全聯盟(CSA)的云計算控制矩陣使組織可以查看和比較云計算服務提供商如何達到或超過基線安全要求。
Yeoh說:“擁有業界正在實施的通用云安全控制框架,可以為云計算服務提供商及其服務創造信任和保證。確定對于組織對該服務的使用至關重要的安全性要求,并確保通過框架中提供的控件滿足這些要求。這種做法可以加快采購流程,并改善組織的安全狀況。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號