原文标题: 8 Tips for Monitoring Cloud Security
原文作者: Kelly Sheridan
译文出自:云子可信官方论坛
本文永久链接:https://bbs.cloudtrust.com.cn/thread-436-1-1.html
译者:云子可信汉化组
云安全专家们会用一些技巧来达到他们监控和测量的云安全指标。
知道你要负责什么
企业应该与供应商沟通,澄清安全误解。Ford表示:“你希望与云服务提供商进行交流,并准确理解共享责任模型的覆盖范围。”他还指出,企业可能对基础设施的某些领域视而不见。
除了询问涉及哪些安全领域之外,他还建议询问哪些工具可以提供对有助于识别更复杂的攻击行为。
Parimi提供了一个问题列表来询问云服务提供商:您负责什么安全,我负责什么?您符合哪些安全和隐私标准?您是否对哪些身份执行了哪些操作、何时对其UI和API进行了签名的审计跟踪有疑问?您对日志提供了什么访问权限?
了解供应商的能力
Securosis的分析师兼首席执行官Mogull在一次网络研讨会上表示,云管理平台:“您可以完全掌控一切”。这就像一次登录就可以访问数据中心的所有内容,“对于那些知道如何利用它的人来说,这是一个“巨大的安全优势”。
以下是两种收集云数据的方法:一种是直接方法,云提供商支持管理层活动的完整日志记录,另一种是通过服务器和应用程序日志。Mogull指出,有些人试图通过云访问安全代理(CASB)进行路由,这对软件即服务(SaaS)很好,但对互联网即服务(IaaS)却不是很友好。理想的方法是直接从提供者处收集。
他解释说:“(它)确实是你追踪一切的唯一标准来源。”但是,云提供商的支持程度不同,熟悉提供商的日志记录功能的程度是很重要的。
“亚马逊现在是最强大的,”Mogull说,云几乎覆盖了所有API调用,随着时间的推移处理配置状态监视,云监视覆盖了基本的核心日志记录,警卫义务查看您永远无法访问的有关亚马逊资产的数据。微软有各种各样的日志服务,但它的大部分日志记录都是由蔚蓝安全中心提供的,Mogull说,由于云的广泛使用,从中提取数据将更困难。
注意速度
Mogull在网络研讨会上说,云带来的变化速度与传统数据中心的变化速度非常不同,它的速度对监控安全威胁提出了挑战。例如,许多传统工具没有跟上时代的步伐,因为它们不支持api,或者无法长期管理数据。他指出,云计算的波动性意味着静态库存工具用处不大。
一些公司认为,他们可以利用现有的安全堆栈,将其转移到云上,但他不建议这么做。例如,这样做会引发如何处理无服务器架构的问题,或者如何在容器的服务器不受管理的平台上处理容器。Mogull补充说,许多组织表示,他们不打算在这些领域获得知名度。
超过一半的人似乎愿意用安全换取速度,提出“威胁堆栈”理论的Ford说。“我认为这是我们必须直接面对的挑战之一,”他补充道。企业将面临的挑战是,在不妨碍快速行动能力的情况下,将风险降至最低。
可见性是关键
当涉及到安全监控时,大多数公司仅仅依赖他们从云提供商那里得到的东西,Ford说这种方法可能会在可见性上留下缺口——尤其是在工作负载上。
他解释说:“你应该有能力观察云基础设施每一层的行为。”这包括主机可见性、容器可见性、控制平面可见性和应用程序层可见性,以查看跨站点脚本、SQL注入和其他威胁。
云计算客户在限制访问重要数据所在的关键服务方面变得越来越聪明,但攻击者也在进化。入侵者可能不直接访问数据,而是寻找可以用于访问服务层并在网络上建立持久性的密钥。在那里,他们可以进行侦察,并在整个基础设施中横向移动,在那里他们可以找到具有访问数据存储所需的IAM凭据的人。
CloudKnox的Parimi说,大多数公司发现很难保持良好的安全态势,因为它们对混合云环境缺乏基本的可见性。许多工具不是为了支持动态云环境而开发的。例如,试图在混合云中应用最小特权原则的企业使用依赖于基于角色的访问控制(RBAC)的解决方案。
“这种做法的问题在于,传统的RBAC只能在静态环境中工作,”Parimi说。这意味着,如今的特权身份有权在关键基础设施上执行许多高风险操作,尽管事实上,他们只使用这些特权的一小部分来执行日常工作。”这会带来风险。
但是能见度是一个挑战
Securosis的Mogull说,管理层提供的可视性很好,但可能会变得难以控制。”我们需要考虑一下,我们如何在干扰中发现这种能见度提高的信号,并将这种能见度转化为真正可行的洞察力?”他补充道。
他说,在某一时刻,你需要决定你想要寻找什么类型的信息,以及你想要如何收集这些数据。有了多个可用选项,就必须找出您关心的数据和原因。是否要监视网络流?抗病毒——重要吗?云配置——它是内置的,还是需要额外的工具?
Mogull建议将云监控视为“更多的是望远镜,而不是显微镜”,他说:“不要认为你能在环境的每一个部分捕捉到每一小块数据。”庞大的数据量可能变得无法管理。
“了解你得不到什么是很重要的”,提出“威胁堆栈”观念的Ford说。他警告不要让能见度给你一个错误的安全感。对于一组给定的数据,很难知道要采取哪些操作,而且在处理云安全数据时,上下文是必不可少的。对于从多个供应商或使用容器的供应商处获得服务的公司,复杂性将增加。
将警报融入更深层次
“仅仅依靠现有安全工具发出的警报是不够的。”Ford补充道,他还解释了每种工具周围信息的价值。”他说:“您需要与警报相关的更深层次内容详情,这样您就可以了解警报生成时发生了什么。”
例如,Ford解释说,你如果收到了亚马逊网络服务公司的GuardDuty关于问题连接的警告。除非您可以确定哪个用户启动了创建连接的进程,否则很难有足够的了解使这些警报可以操作。他建议通过安全协调平台或SIEM和其他工具的组合,尽可能多地获取遥测数据,以达到所需的数据量。
如果您关注的是网络流,那么用户和应用程序行为的知识可以帮助您确定什么是正常的,什么是异常的。作为另一个例子,Ford指出了一些配置,这些配置提供了权限提升的可视性。如果您注意到权限提升与未经授权的文件修改同时发生,那么您可能需要更紧迫地查看它。
过滤数据,降低成本
Securosis的Mogull建议公司在通过互联网传输日志之前过滤掉日志。云提供商按字节收费,他说,目标应该是最小化成本,而不是将收集到的所有数据推送到SIEM中。
他解释说,与实例和其他云资源相比,管理层日志的数据更少,但它们的成本仍然可以加起来。他建议将您拥有的帐户与正在记录的帐户关联起来。他补充说,这因人而异,但通常您可以将计费和项目ID与日志中的ID进行比较。他说,项目日志只能供项目管理员阅读。
服务器和应用程序日志可能会带来更棘手的问题,这在很大程度上取决于项目需求。服务器和应用程序日志通常包含更大的数据量,这会使成本管理变得困难。
使用基于身份认证的方法
Cloudknox的Parimi建议公司从身份角度评估其安全状况。作为这一过程的一部分,他们应该致力于了解有多少身份可以接触到他们的关键基础设施,这些身份拥有的特权与他们真正需要的特权,他们在特定时间段内采取了哪些行动,以及如何为每个人调整正确的特权。
他解释说:“底线是,企业必须认识到他们的关键工作负载在当今的现代基础设施中有多脆弱。”Parimi解释说,一行脚本或简单地点击一个人或非人的身份都会造成“灾难性的破坏”,对谁和什么会造成这种破坏的全面了解应该是任何网络安全战略的核心。
所有的公司都应该在这样的假设下运作,即混合云的最高风险是一个拥有太多特权的可信身份,而降低这种风险的唯一方法是实施最小特权原则。”公司需要注意那些拥有过多或不正确的高风险特权的人和非人的身份,”Parimi补充道。
云子可信,中小企业安全SaaS,企业 IT 本该如此简单
终端电脑上网行为管控、软件管理、远程协助、U 盘管控等十二大功能
点我了解更多
网友评论