从云计算时代开始,安全性一直是考虑云服务的企业最关心的问题。对于许多组织来说,在他们不直接管理的基础设施上存储数据或运行应用程序的想法似乎天生就不安全,同时还有数据通过公共互联网往返于这些服务的风险。
根据Netwrix的《2022年云数据安全报告》,53%的组织报告称,去年他们的云遭受了攻击,其中大多数攻击导致了修复安全漏洞的计划外支出。
不想成为统计数据一部分的企业应该了解并实施网络安全最佳实践和工具,以保护其云基础设施。虽然这些措施并不能阻止每一次攻击,但它们确实可以帮助企业加强防御,保护数据,并实施强大的云安全实践。
提高云安全的一个关键方法是确保连接到云应用程序的用户和设备尽可能安全。Kolide(本文的发起人)与Okta合作,确保只有安全的设备才能访问云应用程序和资源,从而实现零信任、设备信任和补丁管理。
云安全最佳实践
理解你的共同责任模式
向云提供商询问详细的安全问题
•部署身份与访问管理解决方案
•培训员工
•建立和执行云安全策略
•对动态和静态数据进行加密
•使用入侵检测和防御技术
•仔细检查您的合规要求
•考虑CASB或云安全解决方案
•执行审计、渗透测试和漏洞测试
•开启安全日志
理解并减少错误配置
1.理解共同责任模式
在私有数据中心中,企业全权负责所有安全问题。但在公共云中,事情要复杂得多。虽然最终的责任在于云计算客户,但云计算提供商承担了IT安全某些方面的责任。云和安全专家称其为共享责任模型。
领先的基础设施即服务(IaaS)和平台即服务(PaaS)供应商,如亚马逊网络服务(AWS)和平台即服务(MicrosoftAzure),为其客户提供文档,以便各方根据不同类型的部署了解具体的责任所在。例如,下图显示了应用程序级别的控制是微软对软件即服务(SaaS)模型的责任,而在IaaS部署中则是客户的责任。对于PaaS模型,微软和它的客户共同承担责任。
考虑特定云供应商的企业应该首先审查其关于共享安全责任的政策,并了解谁在处理云安全的各个方面。这有助于防止沟通不畅和误解。但是,更重要的是,明确责任可以防止由于特定安全需求而导致的安全事件。
2.向云提供商询问详细的安全问题
除了明确共同的责任外,组织还应该向其公共云供应商询问有关其现有安全措施和流程的详细问题。人们很容易认为领先的供应商已经处理了安全性问题,但是不同供应商之间的安全性方法和过程可能有很大的不同。
要了解特定云提供商的比较情况,组织应该提出一系列问题,包括:
提供商的服务器地理位置在哪里?
提供商对可疑安全事件的协议是什么?
提供商的灾难恢复计划是什么?
提供商采取了哪些措施来保护各种接入组件?
供应商愿意提供什么级别的技术支持?
提供商最近的渗透测试结果如何?
提供商在传输和静止时对数据进行加密吗?
提供商中的哪些角色或个人可以访问存储在云中的数据?
提供商支持哪些身份验证方法?
提供商支持哪些合规要求?
3.部署身份和访问管理解决方案
公共云安全的另一个主要威胁是未经授权的访问。随着每次新的攻击,黑客获取敏感数据的方法变得越来越复杂,高质量的身份和访问管理(IAM)解决方案可以帮助减轻这些威胁。
专家建议组织寻找一种IAM解决方案,允许他们基于最少特权或零信任原则定义和执行访问策略。这些策略还应该基于基于角色的访问控制(RBAC)权限。此外,多因素身份验证(MFA)可以进一步降低恶意行为者访问敏感信息的风险。即使他们设法窃取了用户名和密码,他们也很难完成生物识别扫描或请求文本代码。
组织可能还想寻找一种可以在混合环境中工作的IAM解决方案,包括私有数据中心和云部署。这可以简化最终用户的身份验证,并使安全人员更容易确保他们在所有it环境中执行一致的策略。
4.培训员工
为了防止黑客获得云计算工具的访问凭证,组织应该培训所有员工如何发现网络安全威胁以及如何应对这些威胁。全面的培训应包括基本的安全知识,如如何创建强密码和识别可能的社会工程攻击,以及更高级的主题,如风险管理。
也许最重要的是,云安全培训应该帮助员工了解影子IT的内在风险。在大多数组织中,员工很容易在没有it部门的知识或支持的情况下实现自己的工具和系统。如果没有对与公司数据交互的所有系统自上而下的可见性,就无法评估所有漏洞。企业需要解释这种风险,并强调其对组织的潜在后果。
组织还需要对其保安人员进行专门培训。威胁形势每天都在变化,IT安全专业人员只有不断了解最新的威胁和潜在的对策,才能跟上形势。
关于良好安全实践的频繁对话也在同级之间以及管理人员和直接报告之间建立了更好的问责制。建立问责制看起来像:
确保每个员工都知道公司对安全的期望。这可能看起来像是对新员工进行全面的网络安全培训,或者对整个公司进行季度性培训。•
经常讨论数据隐私、适当的密码管理和保护物理场所等主题。你谈论得越多,就越难以忽视它。•
问一些好问题。甚至像“这条规则有意义吗?”或者“我们的组织希望人们遵守的最严格的安全规则是什么?”可以开启对话,揭示为什么有些员工不愿意遵守规定。
5.建立和执行云安全策略
所有组织都应该制定书面指导方针,规定谁可以使用云服务、如何使用云服务以及哪些数据可以存储在云中。他们还需要制定员工必须使用的特定安全技术,以保护云中的数据和应用程序。
理想情况下,安全人员应该有适当的自动化解决方案,以确保每个人都遵循这些策略。在某些情况下,云供应商可能具有足以满足组织需求的策略实施功能。在其他情况下,组织可能需要购买第三方解决方案,如提供策略实施功能的云访问安全代理(CASB)。CASB是一个广泛的云安全工具,可以防止数据丢失,控制访问和设备,发现影子IT和流氓应用程序的使用,并监控IaaS配置,这是许多云数据泄露的来源,安全访问服务边缘(SASE)工具进一步扩展了这些保护。
零信任工具和控件还可以通过提供对策略实施的精确控制来提供帮助。此类别中的工具与其他系统一起工作,以确定每个用户需要多少访问权限,他们可以使用该访问权限做什么,以及它对更广泛的组织意味着什么。
6.保护您的端点
使用云服务并不能消除对强端点安全性的需求,反而会加强这种需求。毕竟,在许多情况下,是端点直接连接到云服务。
新的云计算项目提供了重新审视现有战略的机会,并确保适当的保护措施足以应对不断变化的威胁。
包括防火墙、反恶意软件、入侵检测和访问控制在内的深度防御策略长期以来一直是网络和端点安全的标准。然而,在云时代,端点安全问题的列表变得如此复杂,以至于需要自动化工具来跟上。端点检测和响应(EDR)工具和端点保护平台(EPP)可以在这方面提供帮助。
EDR和EPP解决方案将传统的端点安全功能与持续监控和自动响应相结合。具体来说,这些工具解决了许多安全需求,包括补丁管理、端点加密、vpn和内部威胁预防等。
7.加密动态和静态数据
加密是任何云安全策略的关键部分。组织不仅应该对公共云存储服务中的任何数据进行加密,还应该确保数据在传输过程中进行加密——此时数据可能最容易受到攻击。
一些云计算提供商提供加密和密钥管理服务。一些第三方云和传统软件公司也提供加密选项。专家建议寻找一种与现有工作流程无缝配合的加密产品,从而消除最终用户为遵守公司加密政策而采取任何额外行动的需要。
8.使用入侵检测和防御技术
入侵检测和防御系统(IDPS)是市场上最有效的工具之一。它们监视、分析和响应网络流量,可以作为独立的解决方案,也可以作为帮助保护网络(如防火墙)的其他工具的一部分。
亚马逊、Azure和谷歌云等主要云服务提供自己的IDPS和防火墙服务,但需要额外付费。他们还通过自己的市场销售网络安全公司的服务。如果您正在处理云中的敏感数据,这些附加的安全服务是物有所值的。
9.再次检查您的合规性要求
收集个人身份信息(PII)的组织(包括零售、医疗保健和金融服务领域的组织)在客户隐私和数据安全方面面临严格的监管。一些位于特定地理位置的企业——或者在特定区域存储数据的企业——也可能有来自地方或州政府的特殊遵从性要求。
在建立新的云计算服务之前,您的组织应该审查其特定的遵从性要求,并确保服务提供商能够满足您的数据安全需求。保持合规是当务之急。管理机构将要求您的企业对任何违反法规的行为负责,即使安全问题源于云提供商。
10.考虑CASB或云安全解决方案
数十家公司提供专门用于增强云安全的解决方案或服务。如果组织的内部安全人员没有云专业知识,或者现有的安全解决方案不支持云环境,那么可能是时候引入外部帮助了。
云访问安全代理(casb)是专门用于执行云安全策略的工具。随着越来越多的组织开始使用云服务,它们变得越来越受欢迎。专家表示,CASB解决方案可能对使用来自不同供应商的多个云计算服务的组织最有意义。这些解决方案还可以监控未经授权的应用程序和访问。
casb涵盖了广泛的安全服务,包括数据丢失预防、恶意软件检测和法规遵从性协助。casb与多个SaaS和IaaS平台集成,需要使用许多不同的基于云的软件解决方案来保护组织的整个基础设施。考虑支持所有基于云计算的业务工具的CASB提供商。
CASB并不是确保云环境安全的唯一解决方案。其他包括云原生应用程序保护(CNAPP)和云工作负载保护平台(CWPP)。
11.进行审计、渗透测试和漏洞测试
专家表示,无论企业是选择与外部安全公司合作,还是将安全功能保留在内部,所有企业都应该进行渗透测试和漏洞扫描。渗透测试可以帮助组织确定现有的云安全工作是否足以保护数据和应用程序,云漏洞扫描仪可以发现可能危及云环境的错误配置和其他缺陷。
此外,组织应该进行定期的安全审计,包括对所有安全供应商能力的分析。这应确认它们符合商定的安全条款。还应审计访问日志,以确保只有适当和授权的人员才能访问云中的敏感数据和应用程序。
12.开启安全日志
除了进行审计之外,组织还应该为其云解决方案启用日志记录功能。日志记录帮助系统管理员跟踪哪些用户对环境进行了更改——这几乎是不可能手工完成的。如果攻击者获得访问权限并进行更改,则日志将显示其所有活动,以便对其进行补救。
错误配置是云安全最重要的挑战之一,有效的日志记录功能将有助于将导致特定漏洞的更改联系起来,以便在将来纠正和避免这些漏洞。日志记录还有助于识别可能拥有比实际工作所需更多访问权限的单个用户,因此管理员可以将这些权限调整到最低限度。
云服务提供商提供日志记录,也有第三方工具可用。
13.理解并减少错误配置
重要的是,不仅要记录错误配置的数据,而且要减少错误配置。一些云服务为任何用户提供读取权限或管理功能,包括组织外部的人,他们可能能够从他们的web浏览器访问存储桶。这种类型的错误配置为恶意行为者打开了大门,不仅可以从存储桶中窃取数据,而且如果他们获得了正确的信息,还可能通过存储基础设施横向移动。
此外,如果帐户的权限配置错误,窃取凭证的攻击者可能会升级该帐户的管理权限。这允许进一步的数据盗窃和潜在的云范围攻击。
即使工作很繁琐,企业的IT、存储或安全团队也应该亲自配置每个存储桶或存储桶组。接受开发团队的帮助也是一个好主意——他们可以确保正确配置web云地址。没有云桶应该有默认的访问权限。确定需要访问哪些用户级别——是仅查看权限还是编辑权限——并相应地配置每个存储桶。
云安全面临的最大威胁是什么?
这么多公司担心公共云环境的安全性是有原因的。将数据放在提供商的数据中心,特别是在共享托管环境中,可能会使IT和安全团队感到失控。尽管这些担忧并非无法克服,但它们是合理的。以下威胁削弱了企业的云安全态势。
云配置错误
一个配置错误的存储桶可能会让互联网上的任何人都能访问。如果没有将云资源的设置配置为仅限您组织中的用户,那么来自其他组织的经过身份验证的云用户也可以访问其数据。API安全性是另一个值得关注的重要云连接。
不必要的访问
一些组织可能会试图为其IT、云和存储团队的所有成员提供平等的访问权限。但这为权限滥用打开了大门:并非所有团队成员,尤其是初级团队成员,都需要云管理权限。此外,始终存在内部威胁的可能性,为了减少内部破坏的可能性,最好将管理权限减少到少数受信任的团队成员。此外,数据下载也应该有严格的控制。
云供应商的弱点
并非所有云提供商都具有相同的安全级别,并且在公共云托管中,一个云实例的弱点可能会影响同一主机上的所有其他云实例,即使损坏的实例来自不同的组织。企业通常对其公共云实例的安全性控制较少,因为这些实例通常位于远程数据中心。DDoS攻击是云服务面临的另一个常见威胁,但是当这些攻击发生时,他们通常会尽可能地保持访问。
员工的错误
这些错误包括配置错误,但也包括通过在线服务以明文形式发送密码或点击电子邮件中的可疑链接等错误。如果用户在设备上设置了文件同步,并且文件已损坏,那么即使下载恶意软件到计算机上也会危及云帐户。
实现强大的云安全实践
尽管企业认为云是他们最大的漏洞之一,但它并不一定是攻击者的开放途径。加强访问控制、进行定期云审计和实现强大的加密只是您的企业可以拥有云环境安全性的几种方法。了解供应商的安全程序不仅可以帮助您选择正确的供应商,还可以帮助您更好地管理自己的责任。
事实上,云服务提供商通常拥有相当安全的环境,而你最大的风险将是如何连接到云并控制数据和访问。好消息是,它将云安全置于您的手中——这使您更有理由学习云安全最佳实践。
