公共云采用面臨的較大威脅是粗心的用戶、易受攻擊的配置和網(wǎng)絡(luò)攻擊，這些配置和攻擊會穿過殺傷鏈進入云平臺以獲得訪問權(quán)限。

[[272724]]

盡管采用率更高且收益顯著，許多組織仍然擔心將其資產(chǎn)托管在公共云上。

最近的一些調(diào)查報告強調(diào)了人們的擔憂。來自Cybersecurity Insiders和ISC2的2019年云安全報告發(fā)現(xiàn)，93%的組織對公共云安全有著中度到極度的關(guān)注。Bitglass公司最近發(fā)布的云安全報告中，90%以上的受訪者對公共云安全表示關(guān)注。

這兩份報告以及另一份由Cyber​​security Insiders撰寫并由Check Point贊助的報告都詳細說明了組織如此關(guān)注的原因。

這些報告中列出了受訪者認為對公共云采用的最大威脅的類似清單。主要問題包括數(shù)據(jù)丟失和泄漏、未經(jīng)授權(quán)的訪問以及云平臺的錯誤配置。其他包括外部數(shù)據(jù)共享、缺乏可視性、惡意內(nèi)部人員、惡意軟件/勒索軟件、數(shù)據(jù)隱私、合規(guī)性和數(shù)據(jù)主權(quán)。

Enterprise Strategy Group公司高級首席分析師Jon Oltsik表示，這些調(diào)查結(jié)果并不令人驚訝。

他說，“而且有些安全事件一直在發(fā)生，這可能會增加出錯的可能性。例如，如果企業(yè)在容器中托管應(yīng)用程序，則必須了解容器周圍的漏洞和攻擊向量。如果使用的是無服務(wù)器模型，則可能會發(fā)生同樣的情況。這一切都會改變企業(yè)放置安全控件的位置，以及需要監(jiān)控的內(nèi)容。”

Oltsik表示，他將描述最大的公共云安全威脅，這些威脅阻礙采用方式略有不同，將其范圍縮小到粗心的用戶，易受攻擊的配置，以及跨越殺傷鏈進入云端以獲取訪問權(quán)限的攻擊。

他說，無論是由于缺乏知識還是根本不關(guān)心，總會有一些粗心的用戶。除了教育用戶之外，OLTSik始終強調(diào)以能夠識別惡意、可疑或粗心行為的方式監(jiān)控用戶的重要性。做到這一點的最佳方法包括限制用戶可以通過最小權(quán)限、基于角色的訪問控制和強身份驗證來做什么。他建議使用用戶行為分析和行為監(jiān)控工具，以及實踐良好的身份和訪問管理(IAM)。

“人們還可以使用SIEM(安全信息和事件管理)來編寫一些關(guān)聯(lián)規(guī)則，這樣就知道如果有人連續(xù)執(zhí)行第一步、第二步和第三步，那就是錯誤。”他補充道。

至于解決易受攻擊的配置，Oltsik建議實施掃描和分析工具。他說，“例如，確保S3存儲桶不會對任何人進行身份驗證，這是幾年前的默認配置，并且讓很多人陷入困境。”

關(guān)于公共云安全的最后一個問題，網(wǎng)絡(luò)攻擊可以跨越“殺傷鏈”進入云平臺，并獲取對敏感數(shù)據(jù)的訪問，這是一個很大的問題。正如Oltsik解釋的那樣，黑客或者使用云計算作為本地訪問數(shù)據(jù)的方式，或者通過網(wǎng)絡(luò)釣魚、社交媒體或其他攻擊來破壞用戶，使用該載體訪問云中的數(shù)據(jù)。他說，“這是一個復雜的問題，但有很多方法可以解決。”

他解釋說，“企業(yè)必須了解用戶和開發(fā)人員在做什么，以及什么是正常行為，才能發(fā)現(xiàn)異常現(xiàn)象，并了解它們?nèi)绾斡绊懴掠蔚膽?yīng)用程序和數(shù)據(jù)。換句話說，人們需要理解殺傷鏈：在一個地方發(fā)生的事情會將如何影響在另一個地方發(fā)生的事情。”

他補充說，理解和監(jiān)控殺傷鏈的最佳方法之一是使用Mitre Att&ck框架，這是攻擊者在對組織進行破壞時使用的戰(zhàn)術(shù)和技術(shù)的知識庫。

遺留安全工具的問題

這三份調(diào)查報告都強調(diào)了這樣一個事實，即為內(nèi)部部署環(huán)境設(shè)計的安全工具并非本身可遷移到云計算環(huán)境中。正如Check Point公司的調(diào)查報告所說，“傳統(tǒng)安全工具不是針對云計算的動態(tài)、分布式虛擬環(huán)境而設(shè)計的。66%的受訪者表示，傳統(tǒng)安全解決方案或者根本不起作用，或者在云計算環(huán)境中提供有限的功能。”

Oltsik說，“這是真的，但有很多方法可以解決，”例如，對內(nèi)部部署安全工具進行重大投資的組織可能不希望廢棄這些工具，并購買新工具。相反，他們可以在云中部署代理，在傳統(tǒng)安全控制和云安全控制之間創(chuàng)建混合工具。

但這是權(quán)宜之計。ESG公司的研究發(fā)現(xiàn)，只要這些工具與傳統(tǒng)工具集成，企業(yè)就更喜歡為云計算而專門構(gòu)建的工具。

Oltsik說，“很多企業(yè)不想復制政策、收集數(shù)據(jù)和執(zhí)法規(guī)則，但云平臺是一個不同的環(huán)境，監(jiān)控和控制它的方式是不同的，所以只要適合企業(yè)的整體安全策略，就需要向云平臺開放不同的模型。”

但從長遠來看(一般在三年內(nèi))，企業(yè)將推動整合。

Oltsik說，“如今，投資于多云中的內(nèi)部數(shù)據(jù)中心和應(yīng)用程序并不少見。這將是一個異構(gòu)的世界，這意味著企業(yè)需要能夠始終適應(yīng)所有這些環(huán)境的安全工具。企業(yè)希望能夠訪問工作負載和數(shù)據(jù)，而無需根據(jù)數(shù)據(jù)的位置和工作負載的位置編寫規(guī)則。”

ESG公司發(fā)現(xiàn)，企業(yè)傾向于從獨立的云安全工具開始，并在未來幾年內(nèi)將它們集成到他們的環(huán)境中。他說，“這就是為什么看到思科、PaloAlto、Checkpoint等供應(yīng)商收購云計算工具，并將它們集成到自己架構(gòu)中的原因。”