2023年09月25日
云計(jì)算技術(shù)的出現(xiàn),改變了數(shù)據(jù)計(jì)算和存儲(chǔ)的方式,它解決了在海量數(shù)據(jù)之下,傳統(tǒng)數(shù)據(jù)存儲(chǔ)技術(shù)的性能瓶頸,越來越受到企業(yè)組織的青睞,并得以快速普及。隨著越來越多的敏感信息在線存儲(chǔ)于云上,企業(yè)對(duì)業(yè)務(wù)和數(shù)據(jù)安全性的擔(dān)憂也進(jìn)一步加大。
幸運(yùn)的是,在云時(shí)代,企業(yè)可以采取諸多措施和云安全最佳實(shí)踐來保護(hù)自己。雖然這些措施無法完全阻止每一種攻擊,但確實(shí)可以幫助企業(yè)加強(qiáng)防御、保護(hù)數(shù)據(jù),并切實(shí)落實(shí)云安全實(shí)踐。只要企業(yè)能夠做好安全防護(hù)的基本功,實(shí)現(xiàn)云應(yīng)用的安全性或許比想象得要更加簡(jiǎn)單。
為了幫助企業(yè)更好實(shí)現(xiàn)云計(jì)算應(yīng)用的安全性,網(wǎng)絡(luò)安全知識(shí)分享社區(qū)eSecurity Planet會(huì)在Kolide與Okta公司的支持下,不定期更新發(fā)布《云安全能力建設(shè)最佳實(shí)踐》。在其不久前推出的2023版指南中,安全研究人員給出了以下進(jìn)一步加強(qiáng)云安全能力建設(shè)的建議:
1. 建立安全責(zé)任共擔(dān)模式
在云計(jì)算環(huán)境中,企業(yè)并不能完全依靠自身的能力來實(shí)現(xiàn)安全性,而安全責(zé)任共擔(dān)模式,明確了企業(yè)是云安全建設(shè)的最終責(zé)任人,而云服務(wù)提供商同樣需要承擔(dān)一定的安全責(zé)任。當(dāng)企業(yè)開啟云計(jì)算應(yīng)用之旅時(shí),應(yīng)該全面檢查云服務(wù)商應(yīng)該具備的常見安全規(guī)則,盡量消除未來合作中的誤解,以免云安全控制過于寬松。只要企業(yè)做好充分的安全性防護(hù)和檢查,比如實(shí)施加密、正確配置連接和設(shè)置,云上的應(yīng)用和數(shù)據(jù)通常會(huì)很安全。
2. 選擇信譽(yù)良好的云服務(wù)商
企業(yè)要選擇信譽(yù)良好的云服務(wù)提供商。由于每家云服務(wù)提供商都不一樣,所以做好研究工作、找到滿足自身特定需求和安全要求的提供商很重要。企業(yè)應(yīng)該向公共云供應(yīng)商詢問有關(guān)其現(xiàn)有安全措施和流程的詳細(xì)問題,包括:
服務(wù)商有什么樣的災(zāi)難恢復(fù)計(jì)劃?
服務(wù)商落實(shí)了哪些措施來保護(hù)各訪問組件?
服務(wù)商愿意提供什么級(jí)別的安全性技術(shù)支持?
服務(wù)商是否會(huì)定期進(jìn)行安全性滲透測(cè)試,測(cè)試結(jié)果如何?
服務(wù)商是否對(duì)傳輸中數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密?
服務(wù)商支持哪些身份驗(yàn)證方法?
服務(wù)商支持哪些合規(guī)需求?
3. 部署身份和訪問管理解決方案
未授權(quán)訪問是云計(jì)算應(yīng)用安全的最大挑戰(zhàn)之一,因此構(gòu)建全面的身份和訪問管理(IAM)系統(tǒng)非常重要:
企業(yè)應(yīng)能夠基于最小特權(quán)和零信任概念來設(shè)計(jì)和實(shí)施訪問控制。這需要限制用戶只能訪問完成任務(wù)所需的內(nèi)容,并謹(jǐn)慎處理所有訪問請(qǐng)求。特權(quán)訪問管理(PAM)有助于保護(hù)最敏感賬戶的訪問;
實(shí)施根據(jù)基于角色的訪問控制(RBAC)提供權(quán)限的IAM策略。這可以保證用戶的訪問是基于其在企業(yè)的獨(dú)特崗位提供的,降低不必要訪問的可能性;
實(shí)施多因素身份驗(yàn)證(MFA)以提高安全性。即使惡意分子獲得用戶名和密碼等憑據(jù),MFA也要求額外的驗(yàn)證(比如生物特征識(shí)別掃描或短信碼),從而提高了安全系數(shù);
優(yōu)先部署適用于私有數(shù)據(jù)中心和云環(huán)境的IAM解決方案。這不僅簡(jiǎn)化了最終用戶身份驗(yàn)證,還能夠在各種IT環(huán)境中統(tǒng)一實(shí)施策略。
4. 加強(qiáng)員工安全意識(shí)培訓(xùn)
為了防止黑客獲得云賬戶和服務(wù)的訪問憑據(jù),企業(yè)必須培訓(xùn)所有員工如何識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),主要措施包括:
對(duì)所有員工進(jìn)行全面的網(wǎng)絡(luò)安全意識(shí)培訓(xùn),解決這類問題:識(shí)別網(wǎng)絡(luò)安全威脅、創(chuàng)建強(qiáng)密碼、識(shí)別社會(huì)工程攻擊以及探討風(fēng)險(xiǎn)管理等話題。
強(qiáng)調(diào)影子IT的潛在風(fēng)險(xiǎn),員工可能使用未經(jīng)批準(zhǔn)的工具和應(yīng)用程序,導(dǎo)致隱藏的漏洞。
為安全工作人員提供專門培訓(xùn),使他們及時(shí)了解新出現(xiàn)的威脅和對(duì)策。
定期討論安全實(shí)踐,鼓勵(lì)員工負(fù)起責(zé)任,比如為所有員工制定安全標(biāo)準(zhǔn),討論數(shù)據(jù)隱私、密碼管理和物理場(chǎng)所安全等問題,以及鼓勵(lì)公開討論安全規(guī)定和行業(yè)法規(guī)的重要性。
5. 建立統(tǒng)一的云安全策略
所有企業(yè)都應(yīng)該制定一個(gè)統(tǒng)一的云安全工作指導(dǎo)方針,規(guī)定誰(shuí)可以使用云服務(wù)、如何使用云服務(wù)以及哪些數(shù)據(jù)可以存儲(chǔ)在云端。該策略還需要闡明員工必須使用的具體安全技術(shù),以保護(hù)云端數(shù)據(jù)和應(yīng)用程序。為了闡明有效的云安全實(shí)踐,研究人員給出了一個(gè)制定云安全策略的實(shí)例:
確定范圍
列出所有權(quán)和責(zé)任
界定云計(jì)算服務(wù)的安全使用
確定評(píng)估風(fēng)險(xiǎn)的范圍
實(shí)施安全控制措施
制定安全事件恢復(fù)計(jì)劃
通過培訓(xùn)增強(qiáng)安全意識(shí)
嚴(yán)格執(zhí)行
相關(guān)文檔
審核和修訂
6. 加強(qiáng)端點(diǎn)側(cè)安全防護(hù)
由于端點(diǎn)設(shè)備可以直接連接到云,因此云服務(wù)的使用加大了對(duì)有效端點(diǎn)安全的需求。新的云項(xiàng)目讓企業(yè)有機(jī)會(huì)重新審視安全技術(shù)和應(yīng)對(duì)新威脅。在企業(yè)實(shí)施的縱深化安全防御計(jì)劃中,應(yīng)該全面包括防火墻、反惡意軟件、入侵檢測(cè)和訪問控制。在復(fù)雜的端點(diǎn)應(yīng)用環(huán)境中,應(yīng)對(duì)新型端點(diǎn)安全問題時(shí)可以使用自動(dòng)化安全工具,例如端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具以及端點(diǎn)保護(hù)平臺(tái)(EPP),也可以考慮其他控制措施包括補(bǔ)丁管理、端點(diǎn)加密、VPN和內(nèi)部威脅防護(hù)等。
7.全面的數(shù)據(jù)加密
加密是任何云安全策略的關(guān)鍵部分。企業(yè)不僅應(yīng)該對(duì)云平臺(tái)上存儲(chǔ)的任何數(shù)據(jù)進(jìn)行加密,還應(yīng)該對(duì)傳輸中數(shù)據(jù)同樣進(jìn)行加密,因?yàn)閭鬏斨械臄?shù)據(jù)更容易受到攻擊。當(dāng)前,主流的云計(jì)算服務(wù)商都會(huì)提供加密和密鑰管理服務(wù),一些第三方云應(yīng)用軟件公司也提供加密方案。研究人員建議企業(yè)尋找一種與現(xiàn)有工作流程無縫配合的加密產(chǎn)品,那樣最終用戶無須另為遵守企業(yè)加密政策而操心。
8. 使用入侵檢測(cè)等基礎(chǔ)防御技術(shù)
入侵檢測(cè)和防御系統(tǒng)(IDPS)是當(dāng)前應(yīng)用最廣泛的安全工具之一。它們監(jiān)測(cè)、分析和響應(yīng)網(wǎng)絡(luò)流量,可以作為獨(dú)立的解決方案使用,也可以作為幫助保護(hù)網(wǎng)絡(luò)的另一種工具(比如防火墻)的一部分使用。主流的云服務(wù)商都會(huì)提供SaaS化的IDPS和防火墻服務(wù),它們還通過各自的云應(yīng)用平臺(tái)有償提供其他網(wǎng)絡(luò)安全公司的服務(wù)。如果企業(yè)經(jīng)常需要處理云端敏感數(shù)據(jù),這類安全服務(wù)將會(huì)物有所值。
9. 嚴(yán)格遵守合規(guī)要求
對(duì)于需要收集個(gè)人身份信息的企業(yè)會(huì)在客戶隱私和數(shù)據(jù)安全方面面臨嚴(yán)格的監(jiān)管。在某些地區(qū)經(jīng)營(yíng)的企業(yè)可能還會(huì)面臨當(dāng)?shù)卣奶厥夂弦?guī)要求。
在確定使用新的云計(jì)算服務(wù)之前,企業(yè)組織應(yīng)該嚴(yán)格審查特定的合規(guī)要求,并確保云服務(wù)提供商能夠滿足相關(guān)數(shù)據(jù)安全的合規(guī)要求。保持合規(guī)是云應(yīng)用安全的重中之重。監(jiān)管部門會(huì)要求企業(yè)對(duì)任何違規(guī)行為負(fù)責(zé),即使安全問題源自云提供商。
10. 考慮CASB解決方案
當(dāng)現(xiàn)有的安全方法不盡如人意時(shí),尋求更先進(jìn)的技術(shù)支持很重要。云訪問安全代理(CASB)是為實(shí)施云安全標(biāo)準(zhǔn)而專門構(gòu)建的解決方案,隨著云的使用日益廣泛,這類技術(shù)越來越受到關(guān)注。CASB可以追蹤非法的云應(yīng)用程序活動(dòng),非常適合應(yīng)用了多種云服務(wù)的企業(yè)組織。
CASB提供眾多云安全服務(wù),包括DLP、檢測(cè)惡意軟件、協(xié)助合規(guī)以及控制云應(yīng)用程序訪問和影子IT。這類解決方案可以與各種SaaS和IaaS平臺(tái)兼容,提供完整的基礎(chǔ)設(shè)施安全。
此外,如果用戶在云端運(yùn)行工作負(fù)載和應(yīng)用程序,云原生應(yīng)用程序保護(hù)(CNAPP)和云工作負(fù)載保護(hù)平臺(tái)(CWPP)也是保護(hù)云基礎(chǔ)架構(gòu)和數(shù)據(jù)的很好選擇,選型新一代云安全解決方案取決于企業(yè)的云安全需求以及與現(xiàn)有基礎(chǔ)設(shè)施的互操作性。
11. 進(jìn)行安全性審計(jì)和滲透測(cè)試
無論企業(yè)與外部安全公司合作還是自主建設(shè)云安全能力,專家都建議落實(shí)以下安全實(shí)踐:
滲透測(cè)試:檢查當(dāng)前云安全解決方案的可靠性,識(shí)別可能危及數(shù)據(jù)和應(yīng)用程序的漏洞。
漏洞掃描:使用云漏洞掃描器以檢測(cè)錯(cuò)誤配置及其他漏洞,增強(qiáng)云環(huán)境的安全態(tài)勢(shì)。
定期安全審計(jì):評(píng)估所有安全廠商和控制措施,以確定其功能,并確保遵守約定的安全條件和標(biāo)準(zhǔn)。
訪問日志審計(jì):確保只有授權(quán)的人才能訪問敏感數(shù)據(jù)和云應(yīng)用程序,改進(jìn)訪問控制和數(shù)據(jù)安全措施。
12. 監(jiān)控所有的安全日志
對(duì)所有的安全日志進(jìn)行監(jiān)控其實(shí)是如今最有效的云安全方案之一。企業(yè)應(yīng)該將云服務(wù)登錄數(shù)據(jù)整合到安全信息和事件管理(SIEM)系統(tǒng),以便集中監(jiān)控和響應(yīng)。日志記錄可以幫助系統(tǒng)管理員和安全團(tuán)隊(duì)監(jiān)視用戶活動(dòng),并檢測(cè)未經(jīng)批準(zhǔn)的修改和活動(dòng)。萬(wàn)一攻擊者獲得訪問權(quán)限并進(jìn)行篡改,完整的日志提供了其行為的清晰記錄,SIEM工具便于迅速化解,以限制損害。
有效的日志記錄對(duì)于處理錯(cuò)誤配置也很重要,因?yàn)樗阌诟櫩赡軐?dǎo)致漏洞的更改,以便采取預(yù)防措施。它還有助于發(fā)現(xiàn)訪問權(quán)限過大的人,以便進(jìn)行更改,從而減小可能的危險(xiǎn)。
13. 減少云上的錯(cuò)誤配置
云環(huán)境中的錯(cuò)誤配置是云環(huán)境中最常見的漏洞類型之一,包括云上的網(wǎng)絡(luò)系統(tǒng)和容器系統(tǒng)等。這會(huì)導(dǎo)致云計(jì)算應(yīng)用出現(xiàn)嚴(yán)重安全隱患。這些錯(cuò)誤配置將嚴(yán)重?fù)p害云應(yīng)用的防護(hù)能力,造成相關(guān)云訪問控制措施的缺失或失效。因此,企業(yè)不僅要記錄錯(cuò)誤配置數(shù)據(jù),還要采取主動(dòng)措施以減少存儲(chǔ)桶、API、連接、敞開端口、權(quán)限和加密等方面的錯(cuò)誤配置。為了減少云上的錯(cuò)誤配置,企業(yè)的IT或安全團(tuán)隊(duì)有必要做好以下幾點(diǎn):
準(zhǔn)確配置每個(gè)存儲(chǔ)桶或每組存儲(chǔ)桶;
與開發(fā)團(tuán)隊(duì)合作,以確保Web云地址設(shè)置正確;
確保從不使用默認(rèn)的訪問權(quán)限;
確定所需的用戶訪問級(jí)別(僅查看或編輯權(quán)限),并相應(yīng)地配置每個(gè)存儲(chǔ)桶;
云SIEM、CWPP、CSPM和CNAPP等可以助一臂之力。