2023年09月25日
云計算技術的出現,改變了數據計算和存儲的方式,它解決了在海量數據之下,傳統數據存儲技術的性能瓶頸,越來越受到企業組織的青睞,并得以快速普及。隨著越來越多的敏感信息在線存儲于云上,企業對業務和數據安全性的擔憂也進一步加大。
幸運的是,在云時代,企業可以采取諸多措施和云安全最佳實踐來保護自己。雖然這些措施無法完全阻止每一種攻擊,但確實可以幫助企業加強防御、保護數據,并切實落實云安全實踐。只要企業能夠做好安全防護的基本功,實現云應用的安全性或許比想象得要更加簡單。
為了幫助企業更好實現云計算應用的安全性,網絡安全知識分享社區eSecurity Planet會在Kolide與Okta公司的支持下,不定期更新發布《云安全能力建設最佳實踐》。在其不久前推出的2023版指南中,安全研究人員給出了以下進一步加強云安全能力建設的建議:
1. 建立安全責任共擔模式
在云計算環境中,企業并不能完全依靠自身的能力來實現安全性,而安全責任共擔模式,明確了企業是云安全建設的最終責任人,而云服務提供商同樣需要承擔一定的安全責任。當企業開啟云計算應用之旅時,應該全面檢查云服務商應該具備的常見安全規則,盡量消除未來合作中的誤解,以免云安全控制過于寬松。只要企業做好充分的安全性防護和檢查,比如實施加密、正確配置連接和設置,云上的應用和數據通常會很安全。
2. 選擇信譽良好的云服務商
企業要選擇信譽良好的云服務提供商。由于每家云服務提供商都不一樣,所以做好研究工作、找到滿足自身特定需求和安全要求的提供商很重要。企業應該向公共云供應商詢問有關其現有安全措施和流程的詳細問題,包括:
服務商有什么樣的災難恢復計劃?
服務商落實了哪些措施來保護各訪問組件?
服務商愿意提供什么級別的安全性技術支持?
服務商是否會定期進行安全性滲透測試,測試結果如何?
服務商是否對傳輸中數據和靜態數據進行加密?
服務商支持哪些身份驗證方法?
服務商支持哪些合規需求?
3. 部署身份和訪問管理解決方案
未授權訪問是云計算應用安全的最大挑戰之一,因此構建全面的身份和訪問管理(IAM)系統非常重要:
企業應能夠基于最小特權和零信任概念來設計和實施訪問控制。這需要限制用戶只能訪問完成任務所需的內容,并謹慎處理所有訪問請求。特權訪問管理(PAM)有助于保護最敏感賬戶的訪問;
實施根據基于角色的訪問控制(RBAC)提供權限的IAM策略。這可以保證用戶的訪問是基于其在企業的獨特崗位提供的,降低不必要訪問的可能性;
實施多因素身份驗證(MFA)以提高安全性。即使惡意分子獲得用戶名和密碼等憑據,MFA也要求額外的驗證(比如生物特征識別掃描或短信碼),從而提高了安全系數;
優先部署適用于私有數據中心和云環境的IAM解決方案。這不僅簡化了最終用戶身份驗證,還能夠在各種IT環境中統一實施策略。
4. 加強員工安全意識培訓
為了防止黑客獲得云賬戶和服務的訪問憑據,企業必須培訓所有員工如何識別和應對網絡安全風險,主要措施包括:
對所有員工進行全面的網絡安全意識培訓,解決這類問題:識別網絡安全威脅、創建強密碼、識別社會工程攻擊以及探討風險管理等話題。
強調影子IT的潛在風險,員工可能使用未經批準的工具和應用程序,導致隱藏的漏洞。
為安全工作人員提供專門培訓,使他們及時了解新出現的威脅和對策。
定期討論安全實踐,鼓勵員工負起責任,比如為所有員工制定安全標準,討論數據隱私、密碼管理和物理場所安全等問題,以及鼓勵公開討論安全規定和行業法規的重要性。
5. 建立統一的云安全策略
所有企業都應該制定一個統一的云安全工作指導方針,規定誰可以使用云服務、如何使用云服務以及哪些數據可以存儲在云端。該策略還需要闡明員工必須使用的具體安全技術,以保護云端數據和應用程序。為了闡明有效的云安全實踐,研究人員給出了一個制定云安全策略的實例:
確定范圍
列出所有權和責任
界定云計算服務的安全使用
確定評估風險的范圍
實施安全控制措施
制定安全事件恢復計劃
通過培訓增強安全意識
嚴格執行
相關文檔
審核和修訂
6. 加強端點側安全防護
由于端點設備可以直接連接到云,因此云服務的使用加大了對有效端點安全的需求。新的云項目讓企業有機會重新審視安全技術和應對新威脅。在企業實施的縱深化安全防御計劃中,應該全面包括防火墻、反惡意軟件、入侵檢測和訪問控制。在復雜的端點應用環境中,應對新型端點安全問題時可以使用自動化安全工具,例如端點檢測和響應(EDR)工具以及端點保護平臺(EPP),也可以考慮其他控制措施包括補丁管理、端點加密、VPN和內部威脅防護等。
7.全面的數據加密
加密是任何云安全策略的關鍵部分。企業不僅應該對云平臺上存儲的任何數據進行加密,還應該對傳輸中數據同樣進行加密,因為傳輸中的數據更容易受到攻擊。當前,主流的云計算服務商都會提供加密和密鑰管理服務,一些第三方云應用軟件公司也提供加密方案。研究人員建議企業尋找一種與現有工作流程無縫配合的加密產品,那樣最終用戶無須另為遵守企業加密政策而操心。
8. 使用入侵檢測等基礎防御技術
入侵檢測和防御系統(IDPS)是當前應用最廣泛的安全工具之一。它們監測、分析和響應網絡流量,可以作為獨立的解決方案使用,也可以作為幫助保護網絡的另一種工具(比如防火墻)的一部分使用。主流的云服務商都會提供SaaS化的IDPS和防火墻服務,它們還通過各自的云應用平臺有償提供其他網絡安全公司的服務。如果企業經常需要處理云端敏感數據,這類安全服務將會物有所值。
9. 嚴格遵守合規要求
對于需要收集個人身份信息的企業會在客戶隱私和數據安全方面面臨嚴格的監管。在某些地區經營的企業可能還會面臨當地政府的特殊合規要求。
在確定使用新的云計算服務之前,企業組織應該嚴格審查特定的合規要求,并確保云服務提供商能夠滿足相關數據安全的合規要求。保持合規是云應用安全的重中之重。監管部門會要求企業對任何違規行為負責,即使安全問題源自云提供商。
10. 考慮CASB解決方案
當現有的安全方法不盡如人意時,尋求更先進的技術支持很重要。云訪問安全代理(CASB)是為實施云安全標準而專門構建的解決方案,隨著云的使用日益廣泛,這類技術越來越受到關注。CASB可以追蹤非法的云應用程序活動,非常適合應用了多種云服務的企業組織。
CASB提供眾多云安全服務,包括DLP、檢測惡意軟件、協助合規以及控制云應用程序訪問和影子IT。這類解決方案可以與各種SaaS和IaaS平臺兼容,提供完整的基礎設施安全。
此外,如果用戶在云端運行工作負載和應用程序,云原生應用程序保護(CNAPP)和云工作負載保護平臺(CWPP)也是保護云基礎架構和數據的很好選擇,選型新一代云安全解決方案取決于企業的云安全需求以及與現有基礎設施的互操作性。
11. 進行安全性審計和滲透測試
無論企業與外部安全公司合作還是自主建設云安全能力,專家都建議落實以下安全實踐:
滲透測試:檢查當前云安全解決方案的可靠性,識別可能危及數據和應用程序的漏洞。
漏洞掃描:使用云漏洞掃描器以檢測錯誤配置及其他漏洞,增強云環境的安全態勢。
定期安全審計:評估所有安全廠商和控制措施,以確定其功能,并確保遵守約定的安全條件和標準。
訪問日志審計:確保只有授權的人才能訪問敏感數據和云應用程序,改進訪問控制和數據安全措施。
12. 監控所有的安全日志
對所有的安全日志進行監控其實是如今最有效的云安全方案之一。企業應該將云服務登錄數據整合到安全信息和事件管理(SIEM)系統,以便集中監控和響應。日志記錄可以幫助系統管理員和安全團隊監視用戶活動,并檢測未經批準的修改和活動。萬一攻擊者獲得訪問權限并進行篡改,完整的日志提供了其行為的清晰記錄,SIEM工具便于迅速化解,以限制損害。
有效的日志記錄對于處理錯誤配置也很重要,因為它便于跟蹤可能導致漏洞的更改,以便采取預防措施。它還有助于發現訪問權限過大的人,以便進行更改,從而減小可能的危險。
13. 減少云上的錯誤配置
云環境中的錯誤配置是云環境中最常見的漏洞類型之一,包括云上的網絡系統和容器系統等。這會導致云計算應用出現嚴重安全隱患。這些錯誤配置將嚴重損害云應用的防護能力,造成相關云訪問控制措施的缺失或失效。因此,企業不僅要記錄錯誤配置數據,還要采取主動措施以減少存儲桶、API、連接、敞開端口、權限和加密等方面的錯誤配置。為了減少云上的錯誤配置,企業的IT或安全團隊有必要做好以下幾點:
準確配置每個存儲桶或每組存儲桶;
與開發團隊合作,以確保Web云地址設置正確;
確保從不使用默認的訪問權限;
確定所需的用戶訪問級別(僅查看或編輯權限),并相應地配置每個存儲桶;
云SIEM、CWPP、CSPM和CNAPP等可以助一臂之力。