6種在云中更安全的方法

多年以來(lái)，由于對(duì)安全威脅的擔(dān)憂，許多組織和IT高管一直對(duì)采用公共云服務(wù)持懷疑態(tài)度，甚至避免使用這些服務(wù)。

隨著云計(jì)算服務(wù)市場(chǎng)的成熟以及行業(yè)的云計(jì)算提供商構(gòu)建高度安全的云計(jì)算基礎(chǔ)設(shè)施，這些擔(dān)憂在很大程度上得到緩解。但這并不意味著面臨的威脅已經(jīng)消失，云計(jì)算客戶還是需要自己保護(hù)數(shù)據(jù)的安全。

云計(jì)算配置錯(cuò)誤是網(wǎng)絡(luò)攻擊者首先尋求攻擊的漏洞，例如用戶沒有刪除舊帳戶，可能會(huì)引發(fā)一些問題。

云安全聯(lián)盟(CSA)對(duì)標(biāo)準(zhǔn)、認(rèn)證以及幫助確保安全的云計(jì)算環(huán)境的好實(shí)踐進(jìn)行了定義。并指出：“全球云計(jì)算采用率的上升帶來(lái)了新的云安全威脅，黑客可以在其中研究組織的弱點(diǎn)并獲得未經(jīng)授權(quán)的訪問以竊取機(jī)密信息。我們需要更智能、更敏捷的控件來(lái)應(yīng)對(duì)此類威脅，而這正是云計(jì)算服務(wù)提供商采取的傳統(tǒng)安全措施失敗的地方。”

該組織根據(jù)云安全聯(lián)盟(CSA)頂級(jí)威脅工作組對(duì)其成員的調(diào)查，確定了云計(jì)算面臨的大威脅。其中包括數(shù)據(jù)泄露;缺乏云安全架構(gòu)和策略;身份、憑證、訪問和密鑰管理不足;帳戶劫持;內(nèi)部威脅;不安全的接口和應(yīng)用程序編程接口(API);以及云計(jì)算使用情況的可見性有限。

現(xiàn)在依賴多云或混合云環(huán)境來(lái)支持其業(yè)務(wù)流程的組織需要保持警惕，以確保其數(shù)據(jù)和應(yīng)用程序安全——就像這些資源位于內(nèi)部部署數(shù)據(jù)中心一樣。

研究機(jī)構(gòu)Gartner公司對(duì)云計(jì)算安全做出了許多預(yù)測(cè)，這些預(yù)測(cè)應(yīng)該引起組織的首席信息安全官(CISO)和其他安全主管的關(guān)注。

一是到2025年，90%無(wú)法控制公共云使用的組織可能會(huì)無(wú)意共享敏感數(shù)據(jù)。另一個(gè)原因是，到2024年，大多數(shù)組織將繼續(xù)努力適當(dāng)?shù)睾饬吭朴?jì)算的風(fēng)險(xiǎn)。第三，到2025年，99%的云計(jì)算安全故障是客戶犯下的錯(cuò)誤，而不是云計(jì)算提供商的錯(cuò)誤。

以下是在云計(jì)算環(huán)境中增強(qiáng)安全性好實(shí)踐的一些建議：

1. 部署身份和訪問管理工具

Gartner公司云安全高級(jí)總監(jiān)兼分析師Steve Riley說(shuō)，管理誰(shuí)有權(quán)訪問云中的哪些數(shù)據(jù)和服務(wù)應(yīng)該是云計(jì)算網(wǎng)絡(luò)安全計(jì)劃的基礎(chǔ)。

Riley說(shuō)，“在公共云中，在單個(gè)資源和數(shù)據(jù)對(duì)象級(jí)別的邏輯訪問控制變得至關(guān)重要。身份也許是虛擬邊界的最重要形式，可以有效地減少潛在漏洞的攻擊面。”

Riley說(shuō)，任何擁有互聯(lián)網(wǎng)連接的人員都可以訪問云管理控制臺(tái)和駐留于云平臺(tái)的應(yīng)用程序。因此，任何用于維持對(duì)組織的云計(jì)算部分控制的策略的基礎(chǔ)都是有效的身份和訪問管理(IAM)策略。

他說(shuō)：“當(dāng)組織設(shè)計(jì)一個(gè)既能實(shí)現(xiàn)業(yè)務(wù)又能保護(hù)業(yè)務(wù)的身份和訪問管理(IAM)策略時(shí)，需要記住，最小特權(quán)原則仍然是有用的。這個(gè)過(guò)程可以快速輕松地請(qǐng)求和授予其他特權(quán)，而對(duì)個(gè)人工作流程的干擾最小。當(dāng)權(quán)限分配過(guò)于狹窄時(shí)，系統(tǒng)安全失效，錯(cuò)誤往往不會(huì)造成安全問題。當(dāng)任務(wù)范圍太廣時(shí)(通常是因?yàn)闄?quán)利的蔓延)，其情況正好相反：錯(cuò)誤往往會(huì)造成真正的安全問題。

現(xiàn)在大多數(shù)公共云服務(wù)都提供基于角色的管理、內(nèi)置的多因素身份驗(yàn)證(MFA)和廣泛的日志記錄功能。有些可以與特權(quán)訪問管理工具集成。大多數(shù)服務(wù)還提供某種形式的有效權(quán)限評(píng)估程序，這有助于消除猜測(cè)是否可以確定用戶或服務(wù)帳戶的權(quán)限范圍是否過(guò)大。”

Riley表示，帳戶權(quán)限過(guò)寬和對(duì)象訪問控制列表過(guò)寬是最常見和最危險(xiǎn)的云安全問題。

2. 防止安全配置錯(cuò)誤

研究機(jī)構(gòu)IDC公司負(fù)責(zé)安全和信任的項(xiàng)目副總裁Frank Dickson表示，云計(jì)算環(huán)境面臨的大威脅是錯(cuò)誤配置。

Dickson指出，開放的AWS S3存儲(chǔ)桶一直是備受關(guān)注的漏洞來(lái)源，但一些組織選擇將公共云存儲(chǔ)資源保持開放狀態(tài)。

Dickson說(shuō)，“盡管在默認(rèn)情況下不會(huì)打開S3存儲(chǔ)桶;他們是封閉的，客戶必須決定是否開放S3存儲(chǔ)桶，并可能使其暴露在外。俗話說(shuō)，預(yù)防勝過(guò)治療。在適當(dāng)?shù)脑朴?jì)算配置上進(jìn)行少量投資相當(dāng)于采用更多的云安全工具。”

云安全聯(lián)盟(CSA)表示，云配置錯(cuò)誤是攻擊者首先要檢查的內(nèi)容，而很小的安全疏忽(例如無(wú)法刪除舊帳戶)可能會(huì)在幾秒鐘內(nèi)引起問題。可能配置云計(jì)算的常見錯(cuò)誤之一是缺乏訪問限制。并且缺乏數(shù)據(jù)保護(hù)，尤其是對(duì)于以純文本形式上傳到云平臺(tái)中的個(gè)人信息。

配置錯(cuò)誤的另一個(gè)原因是無(wú)法審核和驗(yàn)證云計(jì)算資源。該組織報(bào)告說(shuō)，缺乏對(duì)資源和配置的定期審核可能會(huì)導(dǎo)致一個(gè)安全漏洞，隨時(shí)可能被惡意攻擊者利用。

企業(yè)還可以忽略日志記錄和監(jiān)視，而及時(shí)檢查數(shù)據(jù)和訪問日志對(duì)于識(shí)別和標(biāo)記與安全相關(guān)的事件至關(guān)重要。

最后，組織可以為用戶提供“過(guò)度授權(quán)”訪問權(quán)限。云安全聯(lián)盟(CSA)指出，用戶訪問應(yīng)僅限于個(gè)人允許使用的應(yīng)用程序和數(shù)據(jù)。

3. 降低云計(jì)算管理的復(fù)雜性

為單個(gè)云計(jì)算服務(wù)提供足夠的安全性對(duì)于組織來(lái)說(shuō)可能是一個(gè)巨大的挑戰(zhàn)。將更多的云計(jì)算服務(wù)和更多的云計(jì)算提供商加入到這個(gè)組合中，保護(hù)數(shù)據(jù)的挑戰(zhàn)將變得更大。

對(duì)于越來(lái)越多的組織而言，組織向云平臺(tái)的遷移最終意味著擁有多云或混合云環(huán)境。這可能會(huì)導(dǎo)致高度復(fù)雜的基礎(chǔ)設(shè)施，其中包含各種公共云服務(wù)提供商和各種類型的云計(jì)算服務(wù)，并且可能帶來(lái)許多安全風(fēng)險(xiǎn)。

Dickson說(shuō)，在云計(jì)算為主的環(huán)境中解決網(wǎng)絡(luò)安全的早期步驟之一應(yīng)該是降低復(fù)雜性。他說(shuō)，IDC公司估計(jì)有80%的公司擁有不止一個(gè)基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商提供的云平臺(tái)。

許多組織還希望使用來(lái)自不同提供商的多種軟件即服務(wù)(SaaS)和平臺(tái)即服務(wù)(PaaS)產(chǎn)品，因?yàn)橄Ｍ麥p少運(yùn)營(yíng)支出，并在向用戶提供服務(wù)時(shí)獲得更大的敏捷性。

很多組織擁有多個(gè)云平臺(tái)，而每個(gè)云平臺(tái)都有自己的特點(diǎn)，可能很難保護(hù)。Dickson說(shuō)，“如果可能，組織需要盡量減少云計(jì)算提供商的數(shù)量，更少的云計(jì)算提供商通常意味著更少的安全提供商。而云計(jì)算提供商的整合將進(jìn)一步降低復(fù)雜性。”

4. 更加關(guān)注檢測(cè)和響應(yīng)

Riley說(shuō)，由于放棄了對(duì)云平臺(tái)的某些控制，組織應(yīng)該期望對(duì)云計(jì)算活動(dòng)進(jìn)行更多的監(jiān)視，以證明治理程序已經(jīng)到位并正在被遵守。

Riley說(shuō)：“大多數(shù)云計(jì)算提供商(CSP)提供了必要的工具來(lái)檢測(cè)資源、工作負(fù)載和應(yīng)用程序，以收集原始日志數(shù)據(jù)，但是可能會(huì)限制日志數(shù)據(jù)的存儲(chǔ)位置。將這些數(shù)據(jù)轉(zhuǎn)換為有用的信息面臨著挑戰(zhàn)，并且可能需要云計(jì)算提供商(CSP)提供的或第三方的產(chǎn)品或服務(wù)，尤其是如果需要將日志數(shù)據(jù)從一個(gè)地理區(qū)域轉(zhuǎn)移到另一個(gè)地理區(qū)域時(shí)。”

Riley表示，Gartner公司的一些客戶更喜歡依靠現(xiàn)有的安全信息和事件管理(SIEM)工具，并且許多云計(jì)算服務(wù)都支持更流行的服務(wù)。其他客戶報(bào)告說(shuō)，一些安全信息和事件管理(SIEM)工具笨拙且嘈雜，他們更喜歡采用云原生服務(wù)。

Riley說(shuō)：“但是，在投資另一種產(chǎn)品之前，組織應(yīng)該首先研究云計(jì)算服務(wù)的內(nèi)置日志記錄、報(bào)告和分析功能。”

SaaS應(yīng)用程序傾向于提供聚合、關(guān)聯(lián)和分析行為的各種報(bào)告的集合。Riley說(shuō)：“對(duì)于僅使用一個(gè)或幾個(gè)SaaS應(yīng)用程序的組織來(lái)說(shuō)，這些可能就足夠了。對(duì)于訂閱了許多SaaS應(yīng)用程序的組織而言，云訪問安全代理(CASB)或SaaS管理平臺(tái)(SMP)可能是評(píng)估SaaS安全狀況以及標(biāo)準(zhǔn)化控制和治理的更好選擇。”

Riley說(shuō)：“IaaS和PaaS提供商提供一些工具，并期望其客戶將輸出收集到可以理解數(shù)據(jù)的服務(wù)中。越來(lái)越多的IaaS和PaaS云計(jì)算提供商提供原生事件分析和調(diào)查功能。”

此外，云安全狀態(tài)管理(CSPM)工具提供了高效的機(jī)制，可用于評(píng)估工作負(fù)載的配置以及檢測(cè)和補(bǔ)救不合規(guī)的設(shè)置。

5. 部署數(shù)據(jù)加密

數(shù)據(jù)加密是一種更強(qiáng)大的安全工具，如果數(shù)據(jù)落入錯(cuò)誤的人員手中，組織可以使用它來(lái)保護(hù)數(shù)據(jù)。

Dickson說(shuō)：“在默認(rèn)情況下，數(shù)據(jù)將會(huì)離開組織的工作場(chǎng)所，因此數(shù)據(jù)的保護(hù)在云平臺(tái)中變得非常重要，必須對(duì)運(yùn)動(dòng)中的數(shù)據(jù)和靜止數(shù)據(jù)進(jìn)行加密。”

Riley表示，加密措施提供了額外的邏輯隔離層。他說(shuō)：“對(duì)于許多安全團(tuán)隊(duì)來(lái)說(shuō)，圍繞是否默認(rèn)加密所有內(nèi)容的問題存在爭(zhēng)論。對(duì)于IaaS和PaaS中的大容量存儲(chǔ)，合理的方法可能就是加密。它簡(jiǎn)化了配置過(guò)程，避免了敏感數(shù)據(jù)被無(wú)意公開的情況，并且對(duì)于僅刪除密鑰就破壞數(shù)據(jù)的做法很有用。”

Riley說(shuō)：“加密還可以作為訪問控制策略的雙重檢查措施。組織需要讀取加密的對(duì)象，其帳戶必須出現(xiàn)在兩個(gè)訪問控制列表中：對(duì)象本身的帳戶和加密對(duì)象的密鑰帳戶。授予訪問權(quán)限時(shí)必須達(dá)成一致的機(jī)制是一種有效的縱深防御形式。”

Riley指出，對(duì)于SaaS和PaaS中的應(yīng)用層數(shù)據(jù)，這一決定更為復(fù)雜。他說(shuō)：“在PaaS / SaaS應(yīng)用程序的場(chǎng)景之外加密數(shù)據(jù)會(huì)降低應(yīng)用程序的功能。組織必須權(quán)衡功能和隔離之間的利弊。加密不能替代信任。對(duì)加密數(shù)據(jù)進(jìn)行任何有用的處理都需要先對(duì)其進(jìn)行解密，然后將其讀入內(nèi)存，從而使其容易遭受基于內(nèi)存的攻擊。”

6. 將培訓(xùn)和教育作為優(yōu)先事項(xiàng)

最后，與任何其他網(wǎng)絡(luò)安全計(jì)劃一樣，對(duì)用戶進(jìn)行安全風(fēng)險(xiǎn)教育至關(guān)重要。對(duì)于許多組織和員工來(lái)說(shuō)，遷移到云平臺(tái)仍然是一個(gè)相對(duì)較新的概念，因此需要優(yōu)先考慮培訓(xùn)和程序編寫指南。

云安全聯(lián)盟(CSA)全球研究副總裁John Yeoh表示：“組織需要對(duì)其員工進(jìn)行有關(guān)云安全的教育。有許多教育性文件和課程可供組織員工學(xué)習(xí)有關(guān)云中的安全基礎(chǔ)知識(shí)。”

云安全聯(lián)盟(CSA)提供了一個(gè)名為《云計(jì)算關(guān)鍵領(lǐng)域安全指南》的基礎(chǔ)文檔，以及一個(gè)名為《云安全知識(shí)證書》的培訓(xùn)課程。

Yeoh說(shuō)：“對(duì)于那些使用特定云計(jì)算服務(wù)和工具的組織來(lái)說(shuō)，擁有這些工具的知識(shí)很重要。云計(jì)算提供商不斷在其服務(wù)中添加和更改功能。正確使用這些功能并了解標(biāo)準(zhǔn)配置對(duì)于安全使用這些服務(wù)至關(guān)重要。建立具有基本云計(jì)算知識(shí)的安全文化是通過(guò)減少人為錯(cuò)誤因素，并提高對(duì)云計(jì)算好實(shí)踐的認(rèn)識(shí)來(lái)改善組織安全狀況的重要一步。”

Yeoh表示，云安全聯(lián)盟(CSA)的云計(jì)算控制矩陣使組織可以查看和比較云計(jì)算服務(wù)提供商如何達(dá)到或超過(guò)基線安全要求。

Yeoh說(shuō)：“擁有業(yè)界正在實(shí)施的通用云安全控制框架，可以為云計(jì)算服務(wù)提供商及其服務(wù)創(chuàng)造信任和保證。確定對(duì)于組織對(duì)該服務(wù)的使用至關(guān)重要的安全性要求，并確保通過(guò)框架中提供的控件滿足這些要求。這種做法可以加快采購(gòu)流程，并改善組織的安全狀況。”

新聞名稱：6種在云中更安全的方法
文章位置：http://bm7419.com/news/200561.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供面包屑導(dǎo)航、網(wǎng)站營(yíng)銷、移動(dòng)網(wǎng)站建設(shè)、微信公眾號(hào)、電子商務(wù)、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)