云計(jì)算因其與生俱來的可擴(kuò)展性和靈活性，以及高性能計(jì)算能力，獲得了大量企業(yè)用戶的青睞，成為企業(yè)關(guān)鍵任務(wù)負(fù)載的首選項(xiàng)。云原生安全作為一種新興的安全理念，不僅解決云計(jì)算普及帶來的安全問題，更強(qiáng)調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應(yīng)用，推動(dòng)安全與云計(jì)算深度融合。以下是需要關(guān)注的六個(gè)云原生安全重點(diǎn)能力，這些領(lǐng)域?qū)τ诎踩珜I(yè)人員、軟件開發(fā)人員和信息技術(shù)專家來說非常重要。

1. 身份和訪問管理

如今的信息技術(shù)世界需要身份和訪問管理(IAM)。企業(yè)使用IAM系統(tǒng)，通過為人員及其設(shè)備創(chuàng)建身份，可以輕松管理和跟蹤每個(gè)身份，并僅授予相關(guān)權(quán)限以支持他們的工作。在云上實(shí)施IAM有助于確保企業(yè)開發(fā)人員、客戶、供應(yīng)商和其他合作伙伴高效、安全地訪問服務(wù)和數(shù)據(jù)。

特別是使用多因素身份驗(yàn)證和行為分析(例如預(yù)期登錄時(shí)間和位置)，可以幫助企業(yè)通過IAM識(shí)別個(gè)人和設(shè)備之間的可疑活動(dòng)，利用人工智能和自動(dòng)化IAM來幫助企業(yè)更快地識(shí)別這些問題。隨著企業(yè)面臨的監(jiān)管壓力越來越大，這些自動(dòng)化解決方案將越來越有可能發(fā)揮更大作用。

此外，設(shè)備和云的通信(無論是通過藍(lán)牙還是 Wi-Fi)越來越多。未實(shí)施IAM的設(shè)備很容易受到攻擊，從而導(dǎo)致數(shù)據(jù)被盜、企業(yè)形象受損或發(fā)生違規(guī)行為。

2. 供應(yīng)鏈安全

與IAM和第三方訪問相關(guān)的是供應(yīng)鏈安全。通常，供應(yīng)鏈由許多供應(yīng)商和第三方組成。供應(yīng)鏈安全的關(guān)鍵問題之一是供應(yīng)鏈具有很大的攻擊面，這意味著需要在供應(yīng)鏈中建立安全性來保護(hù)它們。由于現(xiàn)代供應(yīng)鏈日趨復(fù)雜和一體化，這一問題將進(jìn)一步加劇。

當(dāng)攻擊者成功入侵供應(yīng)鏈時(shí)，他們可能會(huì)訪問整個(gè)供應(yīng)鏈中的數(shù)據(jù)。這意味著他們可以注入惡意代碼或篡改硬件并訪問私人數(shù)據(jù)。如果供應(yīng)商的系統(tǒng)不安全，那么授予這樣的供應(yīng)商訪問企業(yè)系統(tǒng)勢必會(huì)帶來嚴(yán)重危害。

解決此問題的最簡單方法之一是取消供應(yīng)商對數(shù)據(jù)的訪問權(quán)限。實(shí)際上，大多數(shù)供應(yīng)商可能也并不需要訪問云上企業(yè)數(shù)據(jù)。通過消除該攻擊向量，企業(yè)可以消除攻擊者使用供應(yīng)商系統(tǒng)訪問數(shù)據(jù)的能力。在所有供應(yīng)商中實(shí)施標(biāo)準(zhǔn)化的基線安全模型，將幫助企業(yè)在基于云的環(huán)境中變得更加安全。

3. API安全

API安全與供應(yīng)鏈安全密切相關(guān)。通常，供應(yīng)商可能會(huì)利用API與企業(yè)應(yīng)用程序集成。API對于現(xiàn)代云應(yīng)用程序至關(guān)重要。微服務(wù)也依賴API相互交互并執(zhí)行工作。一些工作負(fù)載可能有數(shù)千個(gè)API，但API本身可能并不安全，它們可能會(huì)成為一種負(fù)擔(dān)。因?yàn)樵诠粽呖磥恚珹PI是一個(gè)特別誘人的目標(biāo)，因?yàn)樗鼈兊穆┒赐ǔＳ袚?jù)可查且可以公開訪問。攻擊者可以使用開放文檔對API進(jìn)行逆向工程，以進(jìn)入企業(yè)系統(tǒng)并在不被發(fā)現(xiàn)的情況下竊取數(shù)據(jù)。

提高API安全性是云原生安全的重要發(fā)展趨勢，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)努力將API安全性集成到Web和基于云的應(yīng)用程序開發(fā)過程中。API安全性也應(yīng)該是自動(dòng)化的，因?yàn)樽詣?dòng)化API安全性可減少人為錯(cuò)誤，并最大限度地降低工作量。目前，市場上有許多可用的API安全工具都可以與企業(yè)的CI/CD管道集成，并在軟件開發(fā)生命周期中增強(qiáng)可見性和安全性。

4. 秘密憑證管理

基于云的應(yīng)用程序使用許多工具、微服務(wù)和特權(quán)賬戶來支撐其運(yùn)行。在許多情況下，每個(gè)區(qū)域都需要從應(yīng)用程序到應(yīng)用程序，以及從應(yīng)用程序到數(shù)據(jù)庫通信所需的密鑰和密碼。但是，如果缺乏強(qiáng)大的秘密憑證管理策略，管理員和開發(fā)人員在面對安全事件時(shí)可能就會(huì)感到措手不及。秘密憑證可以涵蓋普通、特殊的密碼規(guī)則，以及安全密鑰、令牌、訪問代碼，甚至是物理秘密。雖然通用業(yè)務(wù)計(jì)劃對于支持和發(fā)展業(yè)務(wù)而言至關(guān)重要，但包含技術(shù)信息安全性的安全計(jì)劃(例如密鑰和密碼管理)將能夠有效地降低風(fēng)險(xiǎn)。

在管理秘密時(shí)，請務(wù)必記住，第三方軟件可能需要訪問這些秘密才能正確集成到企業(yè)的工作流程中。因此，即便企業(yè)內(nèi)部所有工具都是安全的，不安全的第三方工具也同樣會(huì)釀造巨大的安全威脅。此外，DevOps工具可以訪問多種資源和編排軟件，這也可能帶來巨大的安全問題。試想一下，如果攻擊者成功訪問DevOps工具，他們將很容易接觸到敏感信息。因此，企業(yè)的所有團(tuán)隊(duì)都應(yīng)接受有關(guān)處理密鑰和密碼的最佳實(shí)踐培訓(xùn)。

秘密管理可能很復(fù)雜，但企業(yè)內(nèi)所有人員都必須了解其重要性，企業(yè)應(yīng)利用工具來管理其秘密，并為其基于云的工作負(fù)載提供安全性。值得注意的是，秘密憑證管理應(yīng)該是自動(dòng)化的，而非手動(dòng)的，因?yàn)槭謩?dòng)生成密碼可能會(huì)導(dǎo)致人為錯(cuò)誤，并為網(wǎng)絡(luò)犯罪分子留下可以利用的安全漏洞。另外，管理員應(yīng)該創(chuàng)建復(fù)雜的密鑰或密碼，因?yàn)榫W(wǎng)絡(luò)犯罪分子能夠很容易猜到簡單的密鑰或密碼。

5. 云安全態(tài)勢管理

云配置錯(cuò)誤是數(shù)據(jù)泄露的主要原因之一。云安全態(tài)勢管理(CSPM)是確保云配置正確的有用工具，它將掃描企業(yè)的云配置和應(yīng)用程序組件，并突出顯示任何可能導(dǎo)致數(shù)據(jù)泄露的錯(cuò)誤配置，CSPM通過自動(dòng)化手段正確配置云中的服務(wù)和資源，有效阻止攻擊者侵入系統(tǒng)，幫助企業(yè)保護(hù)系統(tǒng)安全。

6. 社會(huì)工程安全

在安全方面，一個(gè)經(jīng)常被忽略的存在就是社會(huì)工程。在社會(huì)工程場景中，攻擊者會(huì)操縱他們的目標(biāo)輸入可能導(dǎo)致數(shù)據(jù)泄露的信息。網(wǎng)絡(luò)犯罪分子甚至可以直接通過企業(yè)的系統(tǒng)工程師或軟件開發(fā)人員，了解現(xiàn)有的安全協(xié)議，再使用這些信息來查找系統(tǒng)中的安全漏洞。為避免這種情況，請考慮為員工制定社交媒體政策。

社交媒體政策需要明確規(guī)定：企業(yè)信息不得發(fā)布在個(gè)人社交媒體賬戶上。此外，還需要為組織內(nèi)的各個(gè)級(jí)別員工創(chuàng)建信息和培訓(xùn)計(jì)劃，以便他們了解在公司內(nèi)部和外部共享信息的風(fēng)險(xiǎn);隔離和分類團(tuán)隊(duì)間的信息，以幫助企業(yè)確定安全漏洞的來源等。

請記住，企業(yè)可以使用任意數(shù)量的自動(dòng)保護(hù)和預(yù)防工具，但如果有人泄露了他們的密碼，檢測“冒名頂替者”的任務(wù)可能會(huì)非常困難。

小結(jié)

云安全正在不斷演進(jìn)，更新的技術(shù)將進(jìn)一步增強(qiáng)安全性。但是，通過踐行最佳安全實(shí)踐并創(chuàng)建集成的安全策略，企業(yè)將更加安全。繼續(xù)監(jiān)控行業(yè)發(fā)展趨勢并實(shí)施上述一些策略，將能夠解決基于云的組織所面臨的諸多現(xiàn)代威脅。