6种在云中更安全的方法
多年以来,由于对安全威胁的担忧,许多组织和IT高管一直对采用公共云服务持怀疑态度,甚至避免使用这些服务。
随着云计算服务市场的成熟以及行业领先的云计算提供商构建高度安全的云计算基础设施,这些担忧在很大程度上得到缓解。但这并不意味着面临的威胁已经消失,云计算客户还是需要自己保护数据的安全。
云计算配置错误是网络攻击者首先寻求攻击的漏洞,例如用户没有删除旧帐户,可能会引发一些问题。
云安全联盟(CSA)对标准、认证以及帮助确保安全的云计算环境的最佳实践进行了定义。并指出:“全球云计算采用率的上升带来了新的云安全威胁,黑客可以在其中研究组织的弱点并获得未经授权的访问以窃取机密信息。我们需要更智能、更敏捷的控件来应对此类威胁,而这正是云计算服务提供商采取的传统安全措施失败的地方。”
该组织根据云安全联盟(CSA)顶级威胁工作组对其成员的调查,确定了云计算面临的最大威胁。其中包括数据泄露;缺乏云安全架构和策略;身份、凭证、访问和密钥管理不足;帐户劫持;内部威胁;不安全的接口和应用程序编程接口(API);以及云计算使用情况的可见性有限。
现在依赖多云或混合云环境来支持其业务流程的组织需要保持警惕,以确保其数据和应用程序安全——就像这些资源位于内部部署数据中心一样。
研究机构Gartner公司对云计算安全做出了许多预测,这些预测应该引起组织的首席信息安全官(CISO)和其他安全主管的关注。
一是到2025年,90%无法控制公共云使用的组织可能会无意共享敏感数据。另一个原因是,到2024年,大多数组织将继续努力适当地衡量云计算的风险。第三,到2025年,99%的云计算安全故障是客户犯下的错误,而不是云计算提供商的错误。
以下是在云计算环境中增强安全性最佳实践的一些建议:
1. 部署身份和访问管理工具
Gartner公司云安全高级总监兼分析师Steve Riley说,管理谁有权访问云中的哪些数据和服务应该是云计算网络安全计划的基础。
Riley说,“在公共云中,在单个资源和数据对象级别的逻辑访问控制变得至关重要。身份也许是虚拟边界的最重要形式,可以有效地减少潜在漏洞的攻击面。”
Riley说,任何拥有互联网连接的人员都可以访问云管理控制台和驻留于云平台的应用程序。因此,任何用于维持对组织的云计算部分控制的策略的基础都是有效的身份和访问管理(IAM)策略。
他说:“当组织设计一个既能实现业务又能保护业务的身份和访问管理(IAM)策略时,需要记住,最小特权原则仍然是有用的。这个过程可以快速轻松地请求和授予其他特权,而对个人工作流程的干扰最小。当权限分配过于狭窄时,系统安全失效,错误往往不会造成安全问题。当任务范围太广时(通常是因为权利的蔓延),其情况正好相反:错误往往会造成真正的安全问题。
现在大多数公共云服务都提供基于角色的管理、内置的多因素身份验证(MFA)和广泛的日志记录功能。有些可以与特权访问管理工具集成。大多数服务还提供某种形式的有效权限评估程序,这有助于消除猜测是否可以确定用户或服务帐户的权限范围是否过大。”
Riley表示,帐户权限过宽和对象访问控制列表过宽是最常见和最危险的云安全问题。
2. 防止安全配置错误
研究机构IDC公司负责安全和信任的项目副总裁Frank Dickson表示,云计算环境面临的最大威胁是错误配置。
Dickson指出,开放的AWS S3存储桶一直是备受关注的漏洞来源,但一些组织选择将公共云存储资源保持开放状态。
Dickson说,“尽管在默认情况下不会打开S3存储桶;他们是封闭的,客户必须决定是否开放S3存储桶,并可能使其暴露在外。俗话说,预防胜过治疗。在适当的云计算配置上进行少量投资相当于采用更多的云安全工具。”
云安全联盟(CSA)表示,云配置错误是攻击者首先要检查的内容,而很小的安全疏忽(例如无法删除旧帐户)可能会在几秒钟内引起问题。可能配置云计算的常见错误之一是缺乏访问限制。并且缺乏数据保护,尤其是对于以纯文本形式上传到云平台中的个人信息。
配置错误的另一个原因是无法审核和验证云计算资源。该组织报告说,缺乏对资源和配置的定期审核可能会导致一个安全漏洞,随时可能被恶意攻击者利用。
企业还可以忽略日志记录和监视,而及时检查数据和访问日志对于识别和标记与安全相关的事件至关重要。
最后,组织可以为用户提供“过度授权”访问权限。云安全联盟(CSA)指出,用户访问应仅限于个人允许使用的应用程序和数据。
3. 降低云计算管理的复杂性
为单个云计算服务提供足够的安全性对于组织来说可能是一个巨大的挑战。将更多的云计算服务和更多的云计算提供商加入到这个组合中,保护数据的挑战将变得更大。
对于越来越多的组织而言,组织向云平台的迁移最终意味着拥有多云或混合云环境。这可能会导致高度复杂的基础设施,其中包含各种公共云服务提供商和各种类型的云计算服务,并且可能带来许多安全风险。
Dickson说,在云计算为主的环境中解决网络安全的早期步骤之一应该是降低复杂性。他说,IDC公司估计有80%的公司拥有不止一个基础设施即服务(IaaS)提供商提供的云平台。
许多组织还希望使用来自不同提供商的多种软件即服务(SaaS)和平台即服务(PaaS)产品,因为希望减少运营支出,并在向用户提供服务时获得更大的敏捷性。
很多组织拥有多个云平台,而每个云平台都有自己的特点,可能很难保护。Dickson说,“如果可能,组织需要尽量减少云计算提供商的数量,更少的云计算提供商通常意味着更少的安全提供商。而云计算提供商的整合将进一步降低复杂性。”
4. 更加关注检测和响应
Riley说,由于放弃了对云平台的某些控制,组织应该期望对云计算活动进行更多的监视,以证明治理程序已经到位并正在被遵守。
Riley说:“大多数云计算提供商(CSP)提供了必要的工具来检测资源、工作负载和应用程序,以收集原始日志数据,但是可能会限制日志数据的存储位置。将这些数据转换为有用的信息面临着挑战,并且可能需要云计算提供商(CSP)提供的或第三方的产品或服务,尤其是如果需要将日志数据从一个地理区域转移到另一个地理区域时。”
Riley表示,Gartner公司的一些客户更喜欢依靠现有的安全信息和事件管理(SIEM)工具,并且许多云计算服务都支持更流行的服务。其他客户报告说,一些安全信息和事件管理(SIEM)工具笨拙且嘈杂,他们更喜欢采用云原生服务。
Riley说:“但是,在投资另一种产品之前,组织应该首先研究云计算服务的内置日志记录、报告和分析功能。”
SaaS应用程序倾向于提供聚合、关联和分析行为的各种报告的集合。Riley说:“对于仅使用一个或几个SaaS应用程序的组织来说,这些可能就足够了。对于订阅了许多SaaS应用程序的组织而言,云访问安全代理(CASB)或SaaS管理平台(SMP)可能是评估SaaS安全状况以及标准化控制和治理的更好选择。”
Riley说:“IaaS和PaaS提供商提供一些工具,并期望其客户将输出收集到可以理解数据的服务中。越来越多的IaaS和PaaS云计算提供商提供原生事件分析和调查功能。”
此外,云安全状态管理(CSPM)工具提供了高效的机制,可用于评估工作负载的配置以及检测和补救不合规的设置。
5. 部署数据加密
数据加密是一种更强大的安全工具,如果数据落入错误的人员手中,组织可以使用它来保护数据。
Dickson说:“在默认情况下,数据将会离开组织的工作场所,因此数据的保护在云平台中变得非常重要,必须对运动中的数据和静止数据进行加密。”
Riley表示,加密措施提供了额外的逻辑隔离层。他说:“对于许多安全团队来说,围绕是否默认加密所有内容的问题存在争论。对于IaaS和PaaS中的大容量存储,合理的方法可能就是加密。它简化了配置过程,避免了敏感数据被无意公开的情况,并且对于仅删除密钥就破坏数据的做法很有用。”
Riley说:“加密还可以作为访问控制策略的双重检查措施。组织需要读取加密的对象,其帐户必须出现在两个访问控制列表中:对象本身的帐户和加密对象的密钥帐户。授予访问权限时必须达成一致的机制是一种有效的纵深防御形式。”
Riley指出,对于SaaS和PaaS中的应用层数据,这一决定更为复杂。他说:“在PaaS / SaaS应用程序的场景之外加密数据会降低应用程序的功能。组织必须权衡功能和隔离之间的利弊。加密不能替代信任。对加密数据进行任何有用的处理都需要先对其进行解密,然后将其读入内存,从而使其容易遭受基于内存的攻击。”
6. 将培训和教育作为优先事项
最后,与任何其他网络安全计划一样,对用户进行安全风险教育至关重要。对于许多组织和员工来说,迁移到云平台仍然是一个相对较新的概念,因此需要优先考虑培训和程序编写指南。
云安全联盟(CSA)全球研究副总裁John Yeoh表示:“组织需要对其员工进行有关云安全的教育。有许多教育性文件和课程可供组织员工学习有关云中的安全基础知识。”
云安全联盟(CSA)提供了一个名为《云计算关键领域安全指南》的基础文档,以及一个名为《云安全知识证书》的培训课程。
Yeoh说:“对于那些使用特定云计算服务和工具的组织来说,拥有这些工具的知识很重要。云计算提供商不断在其服务中添加和更改功能。正确使用这些功能并了解标准配置对于安全使用这些服务至关重要。建立具有基本云计算知识的安全文化是通过减少人为错误因素,并提高对云计算最佳实践的认识来改善组织安全状况的重要一步。”