Bob Violino

多年以來，由于擔(dān)心安全威脅，許多業(yè)務(wù)高管和IT高管一直對公共云心存顧慮，甚至完全避開這種服務(wù)。

隨著云服務(wù)市場的成熟，領(lǐng)先的云提供商開始構(gòu)建高度安全的基礎(chǔ)架構(gòu)，這種擔(dān)憂很大程度上得到了消解。但這并不意味著威脅已消失，也不意味著云客戶應(yīng)想當(dāng)然地以為不用再負(fù)責(zé)確保其數(shù)據(jù)受到保護(hù)。

云配置錯誤是攻擊者最先盯上的……像未刪除舊賬戶這種小小的疏忽都有可能立刻帶來安全問題。

云安全聯(lián)盟（CSA）負(fù)責(zé)定義有助于確保云計算環(huán)境安全的標(biāo)準(zhǔn)、認(rèn)證和最佳實踐，該組織特別指出：“全球云采用率的上升已帶來了新的云安全威脅，黑客會研究某家公司的弱點，未經(jīng)授權(quán)獲得訪問權(quán)以竊取機(jī)密信息?！?/p>

CSA說：“我們需要更智能、更靈活的控制措施來應(yīng)對此類威脅，而云服務(wù)提供商[CSP]的傳統(tǒng)安全措施在這方面不管用?！?/p>

該組織根據(jù)CSA常見威脅工作組對其成員開展的常規(guī)調(diào)查和問卷調(diào)查，列出了云計算面臨的幾大威脅，包括：數(shù)據(jù)泄露、缺乏云安全架構(gòu)和策略、身份/登錄信息、訪問和密鑰管理不到位、賬戶劫持、內(nèi)部威脅、不安全的接口和應(yīng)用編程接口（API），以及對云使用情況的了解有限。

現(xiàn)在依賴多云或混合云環(huán)境來支持業(yè)務(wù)流程的組織需要保持警惕，以確保其數(shù)據(jù)和應(yīng)用程序就像它們在內(nèi)部環(huán)境時一樣安全。

研究公司Gartner做出了云安全方面的許多預(yù)測，應(yīng)該引起首席信息安全官（CISO）及其他安全主管的關(guān)注。

其中一個預(yù)測是，到2025年，未控制公有云使用的組織中90%將不恰當(dāng)?shù)毓蚕砻舾袛?shù)據(jù)。另一個預(yù)測是，到2024年，大多數(shù)組織仍將很難適當(dāng)?shù)睾饬吭瓢踩L(fēng)險。第三個預(yù)測是，到2025年，99%的云安全故障將來自于客戶，而不是云提供商。

以下是專家建議為云環(huán)境加強(qiáng)安全而采取的幾個最佳實踐。

1.部署身份和訪問管理工具

Gartner的云安全高級主管兼分析師Steve Riley說，管理誰有權(quán)訪問云端的哪些數(shù)據(jù)和服務(wù)應(yīng)該是云網(wǎng)絡(luò)安全計劃的基礎(chǔ)。

Riley說，在公有云中，“單個資源和數(shù)據(jù)對象層面的邏輯訪問控制變得至關(guān)重要。身份也許是一種最重要的虛擬邊界，可以有效地減小潛在漏洞的攻擊面?！?/p>

Riley表示，任何可連接互聯(lián)網(wǎng)的人都有可能訪問云管理控制臺和云端應(yīng)用程序。因此，有效的身份和訪問管理（IAM）策略是用于對組織的云部分加以控制的任何策略的基礎(chǔ)。

Riley說：“組織在設(shè)計支持并保護(hù)業(yè)務(wù)的IAM策略時，記住最小特權(quán)原則仍是實用的基礎(chǔ)。寧可嚴(yán)格些，不過又要便于快速輕松地請求和授予額外特權(quán)，對個人工作流程的干擾最小?！?/p>

Riley表示，分配的特權(quán)過少時，系統(tǒng)可“安全地失效”，錯誤往往不會造成安全問題。他說：“如果分配的特權(quán)過多（常常歸因于權(quán)限蔓延），情況恰恰相反：錯誤往往造成嚴(yán)重的安全問題?！?/p>

Riley說，現(xiàn)在大多數(shù)公共云服務(wù)提供基于角色的管理、內(nèi)置的多因子身份驗證（MFA）和廣泛的日志記錄功能?！耙恍┕δ芸梢耘c特權(quán)訪問管理工具集成起來。大多數(shù)服務(wù)還提供某種“有效權(quán)限”評估工具，這有助于明確地確定用戶或服務(wù)賬戶的權(quán)限范圍是否過大?！?/p>

Riley說，賬戶權(quán)限過大和對象訪問權(quán)限過大是最常見也是最危險的云安全問題。

2.防止安全配置錯誤

研究公司IDC的安全和信任項目副總裁Frank Dickson說，云環(huán)境面臨的最大威脅是配置錯誤。

Dickson表示，比如說，亞馬遜網(wǎng)絡(luò)服務(wù)公司（AWS）開放的簡單存儲服務(wù)（S3）存儲桶一向是重大泄密事件的源頭，但一些組織還是任由公有云存儲資源保持敞開的狀態(tài)。

Dickson說：“不過S3存儲桶默認(rèn)情況下并不敞開，而是封閉的?？蛻舯仨氉鞒鰶Q定以打開存儲桶并公之于眾。有句老話說，一分預(yù)防勝過十分治療。適當(dāng)?shù)卦谠婆渲梅矫婊c心思，勝過在云安全工具方面大量投入?！?/p>

據(jù)CSA聲稱，云配置錯誤是攻擊者最先盯上的，而像未刪除舊賬戶這種小小的安全疏忽可能立刻帶來問題。錯誤配置云的常見表現(xiàn)包括缺乏訪問限制和缺乏數(shù)據(jù)保護(hù)，尤其是針對明文格式上傳到云端的個人信息。

CSA說，配置錯誤的另一個原因是未審核和驗證云資源。該組織聲稱，對資源和配置沒有定期審核可能導(dǎo)致安全漏洞，隨時會被惡意攻擊者鉆空子。

企業(yè)還可能忽略日志記錄和監(jiān)控。及時檢查數(shù)據(jù)和訪問日志對于識別和標(biāo)記安全方面的事件至關(guān)重要。

最后，組織可能為用戶“授予過大的訪問權(quán)限”。CSA說，用戶訪問權(quán)應(yīng)僅限于允許個人使用的應(yīng)用程序和數(shù)據(jù)。

3.降低云管理的復(fù)雜性

為單單一項云服務(wù)提供足夠的安全對于組織來說可能是巨大的挑戰(zhàn)。如果面臨更多的云服務(wù)和更多的云提供商，保護(hù)數(shù)據(jù)會變得更加困難重重。

對于越來越多的組織而言，向云遷移最終意味著擁有多云或混合云環(huán)境。這可能導(dǎo)致高度復(fù)雜的基礎(chǔ)架構(gòu)（包括各種公共云服務(wù)提供商和各類云服務(wù)），這可能帶來許多安全風(fēng)險。

Dickson表示，以云為主的環(huán)境中做好網(wǎng)絡(luò)安全的早期步驟之一應(yīng)該是降低復(fù)雜性。他說，IDC估計80%的企業(yè)有不止一家基礎(chǔ)架構(gòu)即服務(wù)（IaaS）提供商。

由于期望減少運(yùn)營支出，并更靈活地為用戶和客戶提供服務(wù)，許多組織還使用不同提供商提供的多種軟件即服務(wù)（SaaS）和平臺即服務(wù)（PaaS）解決方案。

擁有多個云（每個云有各自的特點）可能很難做好保護(hù)。Dickson說：“可能的話，盡量減少云提供商的數(shù)量。較少的云提供商常常意味著較少的安全提供商。供應(yīng)商合并進(jìn)一步降低了復(fù)雜性?！?/p>

4.將重心更多地放在檢測和響應(yīng)上

Riley說，由于將一些控制權(quán)交給云端，組織應(yīng)對云活動加大監(jiān)控力度，以表明治理程序落實到位并得到遵守。

Riley說：“大多數(shù)CSP提供了必要的工具來檢測資源、工作負(fù)載和應(yīng)用程序，以收集原始日志數(shù)據(jù)，但可能對日志數(shù)據(jù)的存儲位置作了限制。將這些數(shù)據(jù)轉(zhuǎn)換成有用的信息帶來了挑戰(zhàn)，可能需要CSP提供的或第三方的產(chǎn)品或服務(wù)，需要將日志數(shù)據(jù)從一個地區(qū)轉(zhuǎn)移到另一個地區(qū)時更是如此?！?/p>

Riley說，Gartner的一些客戶更喜歡依賴現(xiàn)有的安全信息和事件管理（SIEM）工具，而許多云服務(wù)支持更流行的工具。其他客戶聲稱，SIEM工具使用不便、干擾信號多，因此更青睞云原生服務(wù)。

Riley說：“在購置另一種產(chǎn)品之前，組織應(yīng)先摸清云服務(wù)的內(nèi)置日志記錄、報告和分析功能?！?/p>

SaaS應(yīng)用程序往往提供匯總、關(guān)聯(lián)和分析行為的各種報告。Riley說：“這些對于僅使用一種或幾種SaaS應(yīng)用程序的組織來說可能足夠了。”對于訂購許多SaaS應(yīng)用程序的組織而言，云訪問安全代理（CASB）或SaaS管理平臺（SMP）可能是評估SaaS安全狀況、控制和治理方面實現(xiàn)標(biāo)準(zhǔn)化的更好選擇。

Riley說：“IaaS和PaaS提供商提供了檢測所需的基本功能，預(yù)計客戶會將輸出內(nèi)容收集到可以解讀數(shù)據(jù)的服務(wù)中。IaaS和PaaS CSP提供原生的事件分析和調(diào)查功能?！?/p>

此外，云安全狀態(tài)管理（CSPM）工具提供了高效的機(jī)制，可用于評估工作負(fù)載的配置以及檢測和規(guī)范不合規(guī)設(shè)置。

5.部署數(shù)據(jù)加密技術(shù)

如果數(shù)據(jù)落入不法分子的手里，數(shù)據(jù)加密是組織可以用來保護(hù)數(shù)據(jù)較有效的安全工具之一。

Dickson說：“默認(rèn)情況下，數(shù)據(jù)離開本地環(huán)境時，云端數(shù)據(jù)保護(hù)顯得很重要。必須對傳輸中數(shù)據(jù)和靜止數(shù)據(jù)進(jìn)行加密?！?/p>

Riley說，加密另外提供了一層邏輯隔離?！皩τ谠S多安全團(tuán)隊來說，默認(rèn)情況下要不要加密所有數(shù)據(jù)一直爭論不斷。對于IaaS和PaaS中的大容量存儲而言，合理的方法可能是進(jìn)行加密。這簡化了配置程序，避免了敏感數(shù)據(jù)無意中公開的情況，并有助于僅刪除密鑰即可銷毀數(shù)據(jù)?！?/p>

Riley表示，加密還為訪問控制策略提供了復(fù)核機(jī)制。“要讀取加密的對象，賬戶必須訪問兩個訪問控制列表：一個是對象本身的列表，另一個是加密對象的密鑰列表。授予訪問權(quán)限時必須達(dá)成共識的機(jī)制是一種有用的縱深防御措施?！?/p>

Riley說，對于SaaS和PaaS中的應(yīng)用層數(shù)據(jù)，加密決定則較為復(fù)雜。他說：“在PaaS/SaaS應(yīng)用程序的上下文之外加密數(shù)據(jù)會降低應(yīng)用程序的功能。組織必須考慮清楚功能與隔離的取舍。”

Riley說，加密替代不了信任?！皩用軘?shù)據(jù)進(jìn)行任何有用的處理都需要先對數(shù)據(jù)進(jìn)行解密，然后將其讀入內(nèi)存，因而使其面臨基于內(nèi)存的攻擊?！?h3>6.將培訓(xùn)和教育列為優(yōu)先事項

最后，與任何其他網(wǎng)絡(luò)安全計劃一樣，安全風(fēng)險方面對用戶進(jìn)行教育至關(guān)重要。對于許多組織和員工來說，遷移到云仍是一個比較新的概念，因此需要優(yōu)先考慮培訓(xùn)以及為相應(yīng)程序編寫指南。

CSA的全球研究副總裁John Yeoh說：“先從云安全方面對自己和員工進(jìn)行教育。網(wǎng)上有許多安全教育文件和課程幫助了解云端安全基礎(chǔ)知識。”

CSA有一份名為《云計算關(guān)鍵領(lǐng)域安全指南》的基礎(chǔ)文件，并設(shè)有一門名為《云安全知識證書》的培訓(xùn)課程。

Yeoh說：“對于使用特定云服務(wù)和工具的那些人來說，熟悉了解這些工具很重要，因為提供商在不斷添加和更改其服務(wù)的功能。想安全地使用那些服務(wù)，關(guān)鍵是合理使用功能，并了解標(biāo)準(zhǔn)配置。”

Yeoh說，打造對云有基本了解的安全文化“是減少人為錯誤因素并提高云端最佳實踐方面的認(rèn)識，以此改善公司安全狀況的重要一步。”

教育還應(yīng)擴(kuò)大到了解云提供商在安全方面到底提供什么的方面。

Yeoh說，CSA的云控制矩陣（Cloud Controls Matrix）使你可以查看并比較云服務(wù)提供商們?nèi)绾芜_(dá)到或超過基準(zhǔn)安全要求。

Yeoh說：“擁有一整套業(yè)界在實施的常見云安全控制措施，可以為該云服務(wù)提供商及其服務(wù)提供信任和保證。確定對于貴組織使用該服務(wù)而言至關(guān)重要的安全要求，并確保通過那一整套控制措施滿足這些要求。這種做法可以加快采購流程，并改善貴組織的安全狀況?！?/p>

作者簡介：Bob Violino常駐紐約，是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特約撰稿人。

原文網(wǎng)址

https：//www.idginsiderpro.com/article/3529382/6-ways-to-be-more-secure-in-the-cloud.html