無論如何，云基礎(chǔ)設(shè)施已經(jīng)牢固地確立了自己作為幾乎所有組織的關(guān)鍵組成部分的地位，預(yù)計公共云支出將在未來五年內(nèi)繼續(xù)飆升。與任何組織范圍內(nèi)的采用計劃一樣，云基礎(chǔ)架構(gòu)計劃需要廣泛的計劃才能成功且安全地采用和擴(kuò)展范圍。缺乏對云基礎(chǔ)設(shè)施計劃的規(guī)劃可能會造成復(fù)雜性和風(fēng)險，最終為攻擊者滲透到組織的攻擊面打開了大門。

這個領(lǐng)域最常見的復(fù)雜性是配置錯誤和誤解默認(rèn)設(shè)置和安全最佳實踐之間的差異的問題。錯誤配置一直是業(yè)內(nèi)一些最大違規(guī)行為的根源，包括萬豪在2020年的第二次違規(guī)行為。從共同責(zé)任到管理不善的默認(rèn)設(shè)置，云配置錯誤的根本原因增加了巨大的網(wǎng)絡(luò)安全風(fēng)險。好消息是，有幾個關(guān)鍵的重點領(lǐng)域可以幫助組織取得成功。

識別并驗證所有用戶

在云中，人員、設(shè)備和應(yīng)用程序的安全和驗證通常很困難。安全專業(yè)人員必須強制識別和驗證訪問組織云網(wǎng)絡(luò)的任何實體，即使“身份”似乎來自可信來源。如果攻擊者無需進(jìn)一步檢查就可以訪問經(jīng)過驗證的數(shù)字身份或隱含信任的基礎(chǔ)設(shè)施區(qū)域，他們可以在很長一段時間內(nèi)提取公司數(shù)據(jù)而未被注意到和未被檢測到。

這就是為什么身份和訪問管理(IAM)是三大云服務(wù)提供商(CSP)中最關(guān)鍵和最復(fù)雜的架構(gòu)之一。IAM控制有權(quán)訪問特定資源的人員，根據(jù)需要了解的情況將權(quán)限隔離給那些人，并包括按角色授予訪問權(quán)限和技術(shù)的組織策略。

在IAM實施的同時采用適當(dāng)?shù)恼咧陵P(guān)重要;如果IAM處理不當(dāng)，組織可能會遭受憑證不安全和跨角色無處不在的訪問的后果。

注意安全組默認(rèn)值

云安全組充當(dāng)傳統(tǒng)IT環(huán)境的控制和執(zhí)行點。他們根據(jù)規(guī)則控制入口(入站)和出口(出站)流量并做出相應(yīng)響應(yīng)，通知安全和IT團(tuán)隊可疑活動、惡意活動或其他活動。不幸的是，安全和IT專業(yè)人員可能會被警報、通知和請求所淹沒，這促進(jìn)了速度與質(zhì)量的文化。團(tuán)隊可以創(chuàng)建兩個或三個安全組，并在整個基礎(chǔ)架構(gòu)中將它們重復(fù)用于不同目的。

雖然這聽起來很有效，但這類似于為您的用戶帳戶提供域管理員權(quán)限，并且是一種經(jīng)常被利用的錯誤配置。它可以為攻擊者留下機(jī)會并增加您的攻擊面，因為默認(rèn)情況下，所有主要CSP都會阻止所有入站流量并允許所有出站流量?？缍鄠€CSP的組織面臨的風(fēng)險最大，因為跨CSP的通用配置很少，因此組織需要相應(yīng)地自定義每個平臺，以確保跨所有云基礎(chǔ)架構(gòu)的應(yīng)用程序安全。

定義“經(jīng)過身份驗證的”用戶并相應(yīng)記錄

在討論云時，“經(jīng)過身份驗證的用戶”一詞可能會產(chǎn)生誤導(dǎo)。認(rèn)為該術(shù)語嚴(yán)格適用于組織內(nèi)已通過身份驗證的人員是一個有效的假設(shè)。不幸的是，這在管理主流CSP時并不準(zhǔn)確。

任何擁有“經(jīng)過身份驗證的用戶”權(quán)限的人都可以訪問您的云，無論他們是在您的組織內(nèi)部還是外部。通過加深對用戶可訪問性的理解和相應(yīng)的規(guī)劃來防止未經(jīng)授權(quán)的訪問至關(guān)重要。

盡管看起來很乏味，但管理和跟蹤對云基礎(chǔ)架構(gòu)進(jìn)行更改的眾多用戶變得越來越重要。日志可以成為識別可疑活動和快速修復(fù)安全狀況的關(guān)鍵。

在充滿外部威脅的環(huán)境中，基本的云衛(wèi)生沒有妥協(xié)的余地。最初可能是默認(rèn)設(shè)置的錯誤，最終可能會導(dǎo)致企業(yè)領(lǐng)導(dǎo)者、員工和客戶面臨非常昂貴的危機(jī)。通過將重點明確放在云衛(wèi)生和定期安全審查上，企業(yè)可以走上一條戰(zhàn)略性的云路徑，以支持結(jié)束網(wǎng)絡(luò)安全風(fēng)險的使命。