导语:云服务已经变得非常普及,但这并不意味着云安全的威胁已经消失。那么,企业在多云或混合云环境下该如何增强安全性呢,看这些研究机构给出什么样的安全策略。
本文译者:“开源村OSV”微信公众号
转载请注明出处
多年以来,由于对安全威胁的担忧,许多企业和IT高管一直对公共云持怀疑态度,甚至完全避免了使用这些服务。
随着云服务市场的成熟以及领先的云提供商构建高度安全的基础架构,这些担忧在很大程度上得到缓解。但这并不意味着云安全的威胁已经消失,也不意味着云客户应该假定他们不再负责确保其数据受到保护。
“云配置错误是攻击者首先要检查的...小小的疏忽,例如无法删除旧帐户,可能会在几秒钟内引起问题。”云安全联盟(CSA)指出:“全球云采用率的上升带来了新的云安全威胁,黑客可以在其中研究公司的弱点并获得未经授权的访问以窃取机密信息。”
CSA说:“我们需要更智能,更敏捷的控件来应对此类威胁,而这正是云服务提供商[CSP]的传统安全措施失败的地方。”该组织根据CSA最高威胁工作组对其成员的调查和问卷调查,确定了云计算的最高威胁,其中包括数据泄露;缺乏云安全架构和策略;身份,凭证,访问和密钥管理不足;账号劫持;内部威胁;不安全的接口和应用程序编程接口(API);并且云使用情况的可见性有限。
现在依赖多个或混合云环境来支持其业务流程的组织需要保持警惕,以确保其数据和应用程序安全—就像这些资源位于内部时一样。
知名国际研究公司Gartner对云安全做出了许多预测,这些预测应该引起CISO和其他安全主管的关注,包括:第一是到2025年,无法控制公共云使用的组织中有90%将不恰当地共享敏感数据;第二是到2024年,大多数组织将继续努力以适当地衡量云安全风险。第三是到2025年,有99%的云安全故障将是客户的错,而不是云提供商的错。
以下是针对企业客户如何在云环境中增强安全性的一些具体建议。
1.部署身份和访问管理工具
Gartner云安全高级总监兼分析师Steve Riley说,管理谁有权访问云中的哪些数据和服务应该是云网络安全计划的基础。
在公共云中,“在单个资源和数据对象级别的逻辑访问控制变得至关重要。” “身份也许是虚拟边界的最重要形式,可以有效地减少潜在漏洞的攻击面。”
Riley说,任何拥有互联网连接的人都可以访问云管理控制台和驻留于云的应用程序。结果,用于维持对组织云服务部分的任何基础策略的控制,都是有效的身份和访问管理(IAM)策略。
“当组织设计一个既能实现业务又能保护业务的IAM策略时,请记住,最小特权原则仍然是有用的基础。” “习惯性强,但是实施了一个过程,可以快速,轻松地请求和授予其他特权,而对个人工作流程的干扰最小。”
Riley说,当特权分配太窄时,系统就会“安全失效”,错误往往不会造成安全问题。但是“当任务分配过于广泛时(通常是由于权利的攀升而引起的),情况恰恰相反:错误往往会造成真正的安全问题。”
现在大多数公共云服务都提供基于角色的管理,内置的多因素身份验证(MFA)和广泛的日志记录功能。“有些可以与特权访问管理工具集成。大多数服务还提供某种形式的“有效权限”评估程序,这有助于消除猜测是否可以确定用户或服务帐户的权限范围是否过大。”
Riley说,的权限太广和对象的访问权限太广代表了最常见,最危险的云安全问题。
2.防止安全配置错误
研究公司IDC安全与信任项目副总裁Frank Dickson说,对云环境的最大威胁是配置错误。
Dickson说,例如,开放的Amazon Web Services(AWS)的简单存储服务(S3)存储桶已成为引起人们高度关注的漏洞的源头,但一些组织选择将公共云存储资源保持开放状态。
“尽管默认情况下不打开S3存储桶;他们是封闭的,”Dickson说。“客户必须决定打开存储桶并使其暴露在外。古老的格言说,一盎司的预防胜过一磅的治疗。好吧,在适当的云配置上进行的一盎司投资相当于20磅的云安全工具。”
根据CSA的说法,云配置错误是攻击者首先要检查的内容,而小的安全疏忽(例如无法删除旧帐户)可能会在几秒钟内引起问题。可以错误配置云的常见方法之一是缺乏访问限制。并且缺乏数据保护,尤其是对于以纯文本形式上传到云中的个人信息。
CSA说,配置错误的另一个原因是无法审核和验证云资源。该组织报告说,缺乏对资源和配置的定期审核可能会导致安全漏洞,随时可能被恶意攻击者利用。
公司还可以忽略日志记录和监视。及时检查数据和访问日志对于识别和标记与安全相关的事件至关重要。
最后,组织可以为用户提供“过度授权”访问权限。CSA说,用户访问应仅限于个人允许使用的应用程序和数据。
3.降低云管理的复杂性
为单个云服务提供足够的安全性对于组织来说可能是一个巨大的挑战。在组合中添加的云服务和云提供商会越来越多,保护数据的挑战变得越来越大。
对于越来越多的组织而言,向云的迁移最终意味着拥有多云或混合云环境。这可能会导致高度复杂的基础架构,其中包含各种公共云服务提供商和各种类型的云服务,并且可能带来许多安全风险。
Dickson说,在以云为主的环境中解决网络安全的早期步骤之一应该是降低复杂性。IDC估计,有80%的公司拥有不止一个基础架构即服务(IaaS)提供商。
许多组织还希望使用来自不同提供商的多种软件即服务(SaaS)和平台即服务(PaaS)产品,因为它们希望减少运营支出并在为用户和用户提供服务时获得更大的敏捷性。顾客。
拥有多个云,每个云都有自己的特点,可能很难保护。“如果可能,请尽量减少云提供商的数量,” Dickson说。“更少的云提供商通常意味着更少的安全提供商。供应商合并进一步降低了复杂性。”
4.将重点更多地放在检测和响应上
Riley说,由于放弃了对云的某些控制,组织应该期望对云活动进行更多的监视,以证明治理程序已经到位并正在被遵守。
“大多数CSP提供了必要的工具来检测资源,工作负载和应用程序,以收集原始日志数据,但可能会限制日志数据的存储位置。” “将这些数据转换为有用的信息带来了挑战,并且可能需要CSP提供的或第三方的产品或服务,尤其是在需要将日志数据从一个地理区域转移到另一个地理区域的情况下。”
Riley说,一些Gartner客户更喜欢依靠现有的安全信息和事件管理(SIEM)工具,并且许多云服务都支持更流行的服务。其他客户报告说,SIEM工具笨拙且嘈杂,更喜欢云原生服务。
“但是,在投资另一种产品之前,组织应该首先研究云服务的内置日志记录,报告和分析功能。”
SaaS应用程序倾向于提供汇总,关联和分析行为的各种报告的集合。Riley说:“对于仅使用一个或几个SaaS应用程序的组织来说,这些可能就足够了。” 对于订阅了许多SaaS应用程序的组织而言,云访问安全代理(CASB)或SaaS管理平台(SMP)可能是评估SaaS安全状况以及标准化控制和治理的更好选择。
Riley说:“ IaaS和PaaS提供商提供了仪器所需的原语,并期望其客户将输出收集到可以理解数据的服务中。” “越来越多的IaaS和PaaS CSP提供本机事件分析和调查功能。”
此外,云安全状态管理(CSPM)工具提供了高效的机制,可用于评估工作负载的配置以及检测和补救不合规设置。
5.部署数据加密
如果数据落入不法之徒的手中,数据加密是组织可以用来保护数据的更强大的安全工具之一。
Dickson说:“默认情况下,数据会离开场所,因此数据的保护在云中变得非常重要。” “必须对运动中的数据和静止数据进行加密。
Riley说,加密提供了额外的逻辑隔离层。他说:“对于许多安全团队来说,围绕是否默认加密所有内容的争论一直都在继续着。” 对于IaaS和PaaS中的大容量存储,合理的方法可能就是这样做。它简化了配置过程,避免了敏感数据被无意公开的情况,并且对于仅删除密钥就破坏数据很有用。”
加密还可以作为访问控制策略的双重检查。“要读取加密的对象,必须在两个访问控制列表上存在一个帐户:对象本身的帐户和对对象进行加密的密钥的帐户。” “授予访问权限时必须达成共识的机制代表着一种有效的纵深防御方式。”
Riley说,对于SaaS和PaaS中的应用层数据,这一决定更为复杂。“在PaaS / SaaS应用程序的上下文之外加密数据会降低应用程序的功能,组织必须权衡功能和隔离之间该如何平衡。”
加密不能替代信任。他说:“对加密数据进行任何有用的处理都需要先对其进行解密,然后将其读入内存,从而使其容易遭受基于内存的攻击。”
6.将培训和教育作为优先事项
与任何其他网络安全计划一样,对用户进行安全风险教育至关重要。对于许多组织和员工来说,迁移到云仍然是一个相对较新的概念,因此需要优先考虑培训和程序编写指南。
CSA全球研究副总裁John Yeoh表示:“开始对自己和您的员工进行有关云安全的教育。” “有许多教育性文件和课程可供您学习有关云中的安全基础知识。”
CSA的基础文档名为“云计算关键领域的安全指南”,还有一个培训课程,名为“云安全知识证书”。
Yeoh说:“对于那些使用特定云服务和工具的人来说,了解这些工具非常重要。” “提供商不断在其服务中添加和更改功能。正确使用这些功能并了解标准配置对于安全使用这些服务至关重要。”
建立具有基本云知识的安全文化“是通过减少人为错误因素并提高对云最佳实践的认识来改善公司安全状况的重要一步。”教育还应该扩展到确切地了解云提供商在安全性方面提供了什么。CSA的云控制矩阵使您可以查看和比较云服务提供商如何达到或超过基线安全要求。
Yeoh表示:“拥有业界正在实施的通用云安全控制框架,可以为该云服务提供商及其服务创造信任和保证。” “确定对于组织对该服务的使用至关重要的安全性要求,并确保通过框架中提供的控件满足这些要求。这种做法可以加快采购流程并改善您的安全状况。”
网友评论