與PaaS或SaaS環境相比,客戶采用IaaS面臨著更多的安全責任。例如,在SaaS中,以操作系統為中心的任務(如操作系統補丁)就超出了客戶的控制范圍。然而在IaaS模型中,其責任在于客戶,因為他們可以控制工作負載,而在該案例中是虛擬計算映像。
具有控制權力就會帶來責任。通過對基礎設施進行更多控制,IaaS客戶還將承擔確保其安全的負擔。由于IaaS在堆棧中的位置較低,因此很難獲得特定的安全指導,因為最佳實踐需要適應不同的用法。但也有一些IaaS安全最佳實踐可供選擇,可以在云計算提供商和使用場景中普遍應用。
以下是針對云計算客戶的IaaS安全檢查清單中的五個基本步驟:
1.了解云計算提供商的安全模型
在使用IaaS產品之前,組織的信息安全負責人需要確保他們了解云計算提供商的安全模型。這很重要,這主要有兩個原因:首先,云計算提供商對相似的概念使用不同的術語。例如,用戶可以使用AWS云平臺中的標簽來組織資產,但也可以在谷歌云平臺(GCP)中的項目中組織。但這會影響云安全策略更改的實施方式,因此了解術語可以幫助防止出現錯誤。
其次,從操作角度來看很重要。用戶需要了解哪些安全功能可用,以及這些功能的潛在價值或限制。考慮到這種情況,信息安全負責人需要確定對操作配置文件的任何必要更改,以確保有效地使用這些特性。
Amazon GuardDuty和Microsoft Defender for Identity(前身為Azure Advanced Threat Protection)等服務在概念上高度相似,但在操作方式和用戶操作人員從中獲得價值的方式上卻截然不同。可以構建一個控件圖,用于比較提供者之間的功能。這在多云環境中尤其重要。
無論云計算提供商如何,都可以使用這些清單應用在IaaS安全最佳實踐。
2.加密靜態數據
大多數云計算提供商(尤其是大型提供商)都可以對在其IaaS平臺中創建的虛擬機進行加密。這種加密功能通常是免費的,或者費用很低。用戶可以選擇管理自己的密鑰,也可以選擇由云計算提供商管理。
考慮到對財務和運營的影響較小,使用這一加密功能(如果默認情況下尚未啟用)是一個明智的決定。按照IaaS安全檢查表的第一個步驟,需要確保闡明靜態加密是否或如何影響其他云計算提供商提供的服務,例如備份和恢復功能。
3.持續更新補丁
IaaS客戶主要負責使工作負載保持最新狀態。在大多數情況下,這包括操作系統本身以及安裝到這些映像的任何軟件。正如需要對內部部署服務器進行修補和維護一樣,對云計算工作負載也要采取相同的措施。雖然這聽起來像是常識,但一致的更新補丁可能比看起來困難得多。在不同的組內或通過不同的操作流程管理云計算資源時,尤其如此。
4.監控和盤點
密切關注基于云計算或其他任何資產的常識。但是就像修補程序一樣,監視功能可以位于組織內的不同組中。此外,云計算提供商通過不同的界面提供各種監視機制。這些運營挑戰將需要進行大量規劃和遠見卓識,以確保一致且高效的云計算監控。因此,安全領導者應留出足夠的時間來制定監視策略。
此外,組織需要保持最新的圖像清單。IaaS控制臺將列出其中的內容,但不一定包含有關組織中誰在使用虛擬機(VM)以及針對什么使用虛擬機(VM)的詳細信息。通過關聯的注釋或標簽在清單系統和IaaS控制臺中維護清單信息很有幫助。這使安全團隊可以在IaaS控制臺中交叉引用信息,在多個云計算平臺中跟蹤工作負載并一目了然地確定工作負載。
5. 管理訪問權限
在IaaS中,要考慮多個身份和訪問管理(IAM)維度作為IaaS安全清單的一部分。首先,可以訪問操作系統及其上安裝的任何應用程序和中間件。其次,在操作系統級別上考慮特權訪問(其中包括root或管理訪問)。IaaS的這些身份和訪問管理(IAM)注意事項應該得到認真管理和控制。
需要注意的是,IaaS中還有其他唯一的訪問“層”。該層包括訪問IaaS控制臺和其他程序功能,這些功能提供有關或影響云計算資源運行的信息。這些功能(例如備份和恢復、密鑰管理和審核)在確保資源安全方面都可以發揮作用。因此,了解誰有權訪問提供商控制臺的這些區域以及出于什么目的至關重要。
組織可以使用即時訪問等功能只在需要時提供訪問。使用跳轉服務器來集中整合訪問權限,確保統一實施監控,并最大程度地減少工作負載攻擊面。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號