作者丨Owen Garrett

譯者丨陳峻

策劃丨孫淑娟

??據(jù)統(tǒng)計??，隨著云服務(wù)在各個新興行業(yè)的爆炸式增長，全球已有 50% 的企業(yè)數(shù)據(jù)存儲到了云端。各個企業(yè)從中獲取到的好處包括但不限于：提高服務(wù)的敏捷性、易于擴展、以及更具成本效益。

不過，如果我們從安全性的角度來考慮的話，事情就不那么樂觀了。一直以來，有不少人認為，將一個企業(yè)最有價值的大部分(甚至是全部)資產(chǎn)，拱手交給第三方云平臺，是充滿挑戰(zhàn)的。我們應(yīng)該想方設(shè)法從云服務(wù)提供商處，獲取 7*24 小時、全天候的安全支持，以保護自己的應(yīng)用部署和數(shù)據(jù)存儲。那么，光靠云服務(wù)提供商的安全防護夠嗎?顯然不夠，我們還得發(fā)揮主觀能動性。

常言道：知易行難。下面我將和您重點探討云安全的基本概念，以及正確實現(xiàn)云端數(shù)據(jù)保護的十條“軍規(guī)”。

責(zé)任共擔(dān)模型?

云端的安全性，往往需要遵循一種被稱為??“責(zé)任共擔(dān)”的模型??。該模型規(guī)定：服務(wù)提供商只對“云服務(wù)”的安全性負責(zé)，而租戶需要對“云服務(wù)中具體部分”的安全性負責(zé)。也就是說，在使用云服務(wù)運行自己的應(yīng)用時，作為云服務(wù)的租戶，您仍然需要按比例分擔(dān)安全配置或管理的部分工作。當(dāng)然，使用云服務(wù)的程度不同，您的責(zé)任范圍可能存在著巨大的差異性。例如：若您訂閱了基礎(chǔ)設(shè)施即服務(wù) (IaaS)，則您需要自行負責(zé)操作系統(tǒng)的相關(guān)補丁和更新工作。而如果您只是用到了對象存儲，那么您的職責(zé)范圍將僅限于數(shù)據(jù)丟失的防護(DLP)。

雖然具體的應(yīng)用場景存在著巨大的多樣性，但是我們有必要從中找出一些通用的準(zhǔn)則。例如，絕大多數(shù)云服務(wù)的漏洞在本質(zhì)上都能被歸結(jié)為：錯誤配置。就算云服務(wù)提供商已經(jīng)為您提供了強大的安全工具，如果您不慎或者是不會用的話，在安全配置中也會存在錯誤或漏洞，進而會無形中拉低了整體應(yīng)用服務(wù)的安全態(tài)勢。因此，為了合理有效地構(gòu)建出云端“護欄”，我們需要在既知其然、又知其所以然的基礎(chǔ)上，盡量減少錯誤發(fā)生的可能性、及其影響范圍。

在我們開始討論十項重要的云端安全防護策略之前，讓我們先了解一下，與“傳統(tǒng)”信息安全相比，云端安全到底有哪些不同之處。

了解云端安全的 3 個關(guān)鍵點?

由于云基礎(chǔ)架構(gòu)往往處于一個動態(tài)的網(wǎng)絡(luò)環(huán)境中，因此其中的各個組件也是不斷變化的?？傮w而言，云端安全性的目標(biāo)就是，要通過確保系統(tǒng)能夠按照預(yù)期運行，并能夠維持其整體的安全態(tài)勢。為此，我們有必要重新認識如下三個關(guān)鍵性概念：

• 邊界：傳統(tǒng)安全性的本質(zhì)是基于保護一個受信任的邊界，即所謂的“堡壘(fortress)”。然而，分布在互聯(lián)網(wǎng)上的云服務(wù)環(huán)境，則具有能夠動態(tài)衍生出多個相互連接的端點和層次的特點。因此，任何云安全模型都應(yīng)該以身份認證和訪問管理為中心，專注于加強對于可疑帳戶的權(quán)限管控(這通常需要依賴于行為建模)。
• 可擴展性：由于數(shù)據(jù)的存儲和處理都是動態(tài)的，因此云安全框架也應(yīng)該能夠考慮到基礎(chǔ)設(shè)施的演變。換句話說，它需要了解系統(tǒng)的狀態(tài)，根據(jù)策略做出相應(yīng)的調(diào)整。
• 監(jiān)控：隨著云端資源的豐富、以及新的攻擊源頭的出現(xiàn)，針對云服務(wù)的威脅態(tài)勢也在瞬息萬變。各種安全風(fēng)險的激增，漏洞的深藏，以及攻擊的復(fù)雜化，都需要我們通過持續(xù)監(jiān)控，快速掌握現(xiàn)有云端安全環(huán)境的變化，并能夠?qū)討B(tài)的系統(tǒng)做出及時且積極的反應(yīng)與處置。

提高云端安全性的十項“軍規(guī)”?

規(guī)則 1：不要忽視開發(fā)用的密鑰與證書

由于供職于一家需要每天持續(xù)掃描數(shù)以百萬計的公、私有代碼庫的公司，我們深知構(gòu)建健全的密鑰與證書政策的重要性。您應(yīng)該確保自己的開發(fā)人員僅使用短期有效的證書密鑰，并在投入正式的生產(chǎn)環(huán)境之前，撤銷這些僅作開發(fā)用途的證書，并且應(yīng)當(dāng)執(zhí)行包括檢測和管理存儲庫中的證書等，各項完備的設(shè)置與檢查。我的一位資深客戶就曾指出(https://www.itcentralstation.com/product_reviews/gitguardian-internal-monitoring-review-671614-by-danny)：如果有人跟他說，密鑰與證書檢測并非優(yōu)先事項的話，他會通過在Google 上自定義搜索，來證明展示證書密鑰泄露的危害性。這也正是我為何將其放在列表首位的原因。

規(guī)則 2：持續(xù)查看默認配置

云服務(wù)提供商通常會預(yù)先配置好一些通用的訪問控制策略。這些策略雖然易于快速上手，但是正是由于其通用性，導(dǎo)致了它們不一定適用于您的真實應(yīng)用服務(wù)，特別是在有新的云服務(wù)被引入時，它們往往需要在默認控制策略的基礎(chǔ)上，進行定制化的配置。當(dāng)然，您也可以通過選擇禁用不必要的配置、或未使用到的服務(wù)，來減少受攻擊面。

規(guī)則 3：列出所有可被公開訪問的存儲

對于云端存儲被攻擊者通過可開放訪問的接口進行入侵之類的新聞，您也許已經(jīng)司空見慣了?？梢姡瑹o論您為對象和數(shù)據(jù)選擇哪種存儲方法，請檢查并確保只公開那些需要被訪問的組件和存儲。

規(guī)則 4：定期審查訪問控制

如前所述，云服務(wù)的安全性與您的身份認證、及訪問管理策略密切相關(guān)。隨著基于身份的安全系統(tǒng)，在整體安全措施中逐漸占據(jù)主導(dǎo)地位，它們形成了所謂的“零信任(zero-trust)”策略的基礎(chǔ)。作為實踐，我們可以積極主動地實施“最小特權(quán)原則”，對云端的服務(wù)、系統(tǒng)、以及網(wǎng)絡(luò)的訪問進行安全加固。同時，我們也應(yīng)當(dāng)定期安排手動和自動化的檢查方式，來審查管控的執(zhí)行是否嚴(yán)格。

規(guī)則 5：利用網(wǎng)絡(luò)結(jié)構(gòu)

上述類似的規(guī)則和實踐也適用于網(wǎng)絡(luò)結(jié)構(gòu)。您應(yīng)該利用云服務(wù)平臺提供的控制工具，來構(gòu)建更高效、更細粒度的策略，實現(xiàn)對訪問請求的仔細檢查，并按需分流。

規(guī)則 6：預(yù)防性記錄和監(jiān)控

沒有強大的監(jiān)控和日志記錄，我們將無法獲悉當(dāng)前應(yīng)用的安全態(tài)勢。通過基于風(fēng)險的日志記錄策略，您不但應(yīng)該確保違規(guī)監(jiān)控的啟用和正常運行，還可以在安全事件發(fā)生之后，協(xié)助開展各項調(diào)查工作。在理想情況下，您應(yīng)當(dāng)能夠通過 API、或其他機制，在自己的日志系統(tǒng)上，聚合來自各種云端的日志。

規(guī)則 7：完善您的資產(chǎn)清單

縱然我們可以使用由云服務(wù)平臺提供的 API，來減輕庫存管理的巨大壓力，也應(yīng)該通過有關(guān)所有權(quán)、用例、以及敏感性級別等附加信息，通過定制化的策略，來完善自己的云端資產(chǎn)清單。

規(guī)則 8：提防 DNS 劫持

各類云服務(wù)經(jīng)常需要通過、并在 DNS 條目之間傳遞信任關(guān)系。因此，定期檢查您的 DNS 的正確性和云應(yīng)用的配置，可以有效地以防止出現(xiàn) DNS 被毒化、接管、以及劫持等情況的發(fā)生。

規(guī)則 9：災(zāi)難恢復(fù)計劃并非只是可選項

云服務(wù)環(huán)境雖然提高了應(yīng)用系統(tǒng)的可用性，但是它并不會提供自動化的災(zāi)難恢復(fù) (DR) 服務(wù)。您應(yīng)該全面考慮通過何種級別的投資，來應(yīng)對云端環(huán)境可能發(fā)生的災(zāi)難性事件。您可以設(shè)計一套 DR 流程，以便通過外部帳戶、提供商、甚至是在本地環(huán)境中恢復(fù)自己的應(yīng)用服務(wù)。

規(guī)則 10：減少手動配置

云原生安全工具和控制往往是以自動化的形式交付的。請記住，漏洞源于錯誤配置，而錯誤配置通常源于手動操作。因此，對于我們?nèi)祟惗?，需要完成的手動工作越多，出錯的可能性就越大。對此，您需要鼓勵自己的團隊善用、多用自動化，盡可能地使用安全即代碼(security-as-code)的方式，保持安全策略的一致性。

小結(jié)?

對于安全專業(yè)人員而言，云應(yīng)用安全的管理是極富挑戰(zhàn)性的。畢竟在云端，責(zé)任范圍變得不再靜止，不再清晰，且不斷變化。不過，值得慶幸的是，在應(yīng)對各項新的安全需求、應(yīng)對新的威脅時，我們不再是單兵作戰(zhàn)了。各個云服務(wù)提供商平臺往往能夠提供豐富的工具集，方便我們在安全需求和靈活性之間取得平衡。希望我上文為您提供的 10 條安全軍規(guī)，能夠方便您更全面地制定出防護措施，并構(gòu)建出更好的云端安全性態(tài)勢。

譯者介紹?

陳 峻 （Julian Chen），??51CTO社區(qū)編輯??，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗；持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知；經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。

原文標(biāo)題：10 Rules for Better Cloud Security，作者：Thomas Segura