隨著越來越多的組織采用云計(jì)算，內(nèi)部部署數(shù)據(jù)中心的時(shí)代將會逐漸終結(jié)。從小規(guī)模企業(yè)到規(guī)模最大的跨國公司，無論在哪里，都可以看到云計(jì)算應(yīng)用程序。云計(jì)算服務(wù)的使用量每年都會持續(xù)增長，截至2016年，每個組織平均使用1427個云服務(wù)。

雖然這一強(qiáng)勁的增長前景看好，但也帶來了一系列新的網(wǎng)絡(luò)安全威脅。通常每個企業(yè)每個月都會遭受到23個云安全威脅的影響，這使得云計(jì)算看起來像是一項(xiàng)有風(fēng)險(xiǎn)的責(zé)任。此外，敏感信息占上傳到云端的數(shù)據(jù)的18%。但是，通過適當(dāng)?shù)陌踩渲煤凸ぞ?，即使是最隱秘的數(shù)據(jù)，也可以在云中輕松實(shí)現(xiàn)。為了正確理解云計(jì)算的安全性，人們了解大型漏洞背后的主要罪魁禍?zhǔn)字陵P(guān)重要。

[[232669]]

影子IT：云計(jì)算的未知風(fēng)險(xiǎn)

對于云安全來說，最大的威脅之一是影子IT(Shadow IT)，這是在未經(jīng)組織IT部門了解或同意的情況下員工使用未經(jīng)授權(quán)的云服務(wù)。由于以下幾個原因，影子IT對云安全構(gòu)成很大風(fēng)險(xiǎn)：

首先，企業(yè)員工在決定是否使用云服務(wù)時(shí)通常不會審查應(yīng)用程序的安全性。另一方面，IT專家在批準(zhǔn)公司范圍使用之前，需要經(jīng)過廣泛的審查過程，權(quán)衡應(yīng)用程序的安全風(fēng)險(xiǎn)和云計(jì)算功能。

其次，IT部門只知道組織中使用的影子云應(yīng)用程序的10%。剩下的90%超出了IT部門的職責(zé)范圍。

如何保護(hù)組織的受制裁和影子云服務(wù)

(1)可見性

可見性是克服影子IT固有風(fēng)險(xiǎn)的基礎(chǔ)。這是由于影子IT根據(jù)定義提出了未知級別的威脅，因?yàn)槠髽I(yè)沒有意識到員工正在使用的全部云服務(wù)。更高的可見性使IT部門能夠開始量化風(fēng)險(xiǎn)，并制定降低風(fēng)險(xiǎn)的策略。

可見性的一個要素包括監(jiān)控風(fēng)險(xiǎn)云服務(wù)的使用，對其URL或IP進(jìn)行編目，并根據(jù)安全風(fēng)險(xiǎn)評估等級批準(zhǔn)或阻止它們。為應(yīng)用程序提供安全風(fēng)險(xiǎn)評級，將需要對應(yīng)用程序的安全功能進(jìn)行徹底調(diào)查，例如對數(shù)據(jù)進(jìn)行靜態(tài)加密，還是在本地提供多因素身份驗(yàn)證(MFA)等。

(2)威脅檢測

每天，全球各組織可以從他們的云計(jì)算應(yīng)用中產(chǎn)生數(shù)十億個事件。從下載/上傳文檔到嘗試登錄服務(wù)的任何事情都會生成一個事件。

表示威脅的事件很容易丟失或被忽略。通過數(shù)據(jù)科學(xué)、機(jī)器學(xué)習(xí)以及用戶和實(shí)體行為分析(UEBA)，組織可以篩選可能會顯示出異?；顒拥氖录?，并標(biāo)記出只是那些實(shí)際威脅的事件。

想象一下，用戶反復(fù)嘗試登錄Salesforce失敗。經(jīng)過多次失敗嘗試后，檢測到帳戶可能發(fā)生異常。但是，如果用戶將Caps Lock鍵放開，該怎么辦? IT專業(yè)人員如何將其視為正常行為并忽略它?

再進(jìn)一步，威脅防護(hù)軟件如何準(zhǔn)確地將其歸類為正常行為并忽略它，使IT安全專業(yè)人員不必調(diào)查這些日?；顒拥木瘓?bào)?雖然網(wǎng)絡(luò)攻擊者可能能夠竊取員工的憑證，但攻擊者無法模仿員工的行為模式。事實(shí)證明，人們導(dǎo)航和使用應(yīng)用程序的方式是獨(dú)特的，這是一種數(shù)字身體語言。 這種模式幾乎不可能由網(wǎng)絡(luò)犯罪分子復(fù)制?；氐絊alesforce用戶登錄，在驗(yàn)證了幾次失敗嘗試后，如果用戶的行為與先前的行為一致，可以查明用戶是正確的還是冒充的。

使用數(shù)據(jù)科學(xué)和機(jī)器學(xué)習(xí)來觀察和分析行為模式并不是一項(xiàng)新技術(shù)。信用卡提供商使用數(shù)據(jù)科學(xué)和分析來識別欺詐信用卡收費(fèi)。雖然盡可能地進(jìn)行嘗試，信用卡的盜竊者很難完全模仿正常交易的細(xì)節(jié)，而隨著時(shí)間的推移，建立和完善的算法已經(jīng)變得非常精通于檢測，即使是最無害的交易。

(3)保護(hù)數(shù)據(jù)本身——加密和標(biāo)記

數(shù)據(jù)安全的兩個重要元素是加密和標(biāo)記，它們用于保護(hù)敏感信息的相同目的，但操作方式稍有不同。加密通過使用加密密鑰將數(shù)據(jù)轉(zhuǎn)換為密碼文本來工作。在加密數(shù)據(jù)后，再次使信息可以被理解的唯一方法是輸入適當(dāng)?shù)慕饷苊荑€。

令牌化以不同的方式保護(hù)數(shù)據(jù)。本質(zhì)上，為純文本生成一個隨機(jī)標(biāo)記，然后將其存儲在數(shù)據(jù)庫中。標(biāo)記化的最大好處是它存儲了本地的實(shí)際數(shù)據(jù)，并且只有標(biāo)記值被上傳到云端。但是，如果令牌到文本映射數(shù)據(jù)庫被攻擊，其敏感信息仍然可能被暴露。令牌化通常用于結(jié)構(gòu)化數(shù)據(jù)。

(4)云安全的合規(guī)性

數(shù)據(jù)安全有許多法規(guī)和規(guī)定，如PCI-DSS，HIPAA-HITECH和EU-GDPR。但是，重要的是要記住，將數(shù)據(jù)存儲在云中與將數(shù)據(jù)存儲在本地?cái)?shù)據(jù)庫中不同。為了遵守內(nèi)部/外部政策，應(yīng)從以下步驟開始：

• 識別上傳到云端的信息類型(健康信息、個人身份信息、支付卡信息等)。
• 限制敏感數(shù)據(jù)的第三方控制。
• 避免將機(jī)密信息上傳到云端。
• 在每個云計(jì)算應(yīng)用程序中應(yīng)用統(tǒng)一的DLP策略，以確保所有數(shù)據(jù)的安全。
• 清點(diǎn)現(xiàn)有政策并將其適應(yīng)云計(jì)算環(huán)境。

(5)其他云安全工具

這些最佳實(shí)踐是保護(hù)云中數(shù)據(jù)的重要第一步，但以下工具可以增加更多安全性。

• SIEM：安全信息和事件管理(SIEM)是大型企業(yè)的重要工具。該工具可以查看入站事件，并實(shí)時(shí)標(biāo)記潛在的安全威脅。
• 用戶訪問控制：最小權(quán)限原則規(guī)定，員工只能訪問他們需要的工作。單點(diǎn)登錄(SSO)和訪問管理(IDM)可以通過管理用戶登錄、訪問以及角色和權(quán)限來確保這一點(diǎn)。
• 云計(jì)算防火墻：云計(jì)算防火墻更適合較低級別的威脅，但它們?yōu)閺脑贫硕ㄎ痪W(wǎng)絡(luò)的威脅提供了重要的屏障，反之亦然。
• 云訪問安全代理：作為客戶與云應(yīng)用程序之間的控制點(diǎn)，云訪問安全代理(CASB)提供云中用戶活動和威脅檢測的可視性，以保護(hù)數(shù)據(jù)免受各種攻擊。
• 云數(shù)據(jù)加密：通過將信息轉(zhuǎn)換為密碼文本，即使所有其他安全層被破壞，黑客也無法使用敏感數(shù)據(jù)，而無需解密密鑰。

一個試圖從數(shù)據(jù)庫轉(zhuǎn)移到云端的組織最初可能會被影子IT和內(nèi)部威脅帶來的風(fēng)險(xiǎn)拋出。幸運(yùn)的是，通過有效的最佳實(shí)踐和各種云計(jì)算安全工具，企業(yè)現(xiàn)在可以安心地將數(shù)據(jù)存儲在云中。