從云計(jì)算時(shí)代開始，安全性一直是考慮云服務(wù)的企業(yè)最關(guān)心的問題。對(duì)于許多組織來說，在他們不直接管理的基礎(chǔ)設(shè)施上存儲(chǔ)數(shù)據(jù)或運(yùn)行應(yīng)用程序的想法似乎天生就不安全，同時(shí)還有數(shù)據(jù)通過公共互聯(lián)網(wǎng)往返于這些服務(wù)的風(fēng)險(xiǎn)。

　　根據(jù)Netwrix的《2022年云數(shù)據(jù)安全報(bào)告》，53%的組織報(bào)告稱，去年他們的云遭受了攻擊，其中大多數(shù)攻擊導(dǎo)致了修復(fù)安全漏洞的計(jì)劃外支出。

　　不想成為統(tǒng)計(jì)數(shù)據(jù)一部分的企業(yè)應(yīng)該了解并實(shí)施網(wǎng)絡(luò)安全最佳實(shí)踐和工具，以保護(hù)其云基礎(chǔ)設(shè)施。雖然這些措施并不能阻止每一次攻擊，但它們確實(shí)可以幫助企業(yè)加強(qiáng)防御，保護(hù)數(shù)據(jù)，并實(shí)施強(qiáng)大的云安全實(shí)踐。

　　提高云安全的一個(gè)關(guān)鍵方法是確保連接到云應(yīng)用程序的用戶和設(shè)備盡可能安全。Kolide(本文的發(fā)起人)與Okta合作，確保只有安全的設(shè)備才能訪問云應(yīng)用程序和資源，從而實(shí)現(xiàn)零信任、設(shè)備信任和補(bǔ)丁管理。

　 云安全最佳實(shí)踐

　　理解你的共同責(zé)任模式

　　向云提供商詢問詳細(xì)的安全問題

　　?部署身份與訪問管理解決方案

　　?培訓(xùn)員工

　　?建立和執(zhí)行云安全策略

　　?對(duì)動(dòng)態(tài)和靜態(tài)數(shù)據(jù)進(jìn)行加密

　　?使用入侵檢測(cè)和防御技術(shù)

　　?仔細(xì)檢查您的合規(guī)要求

　　?考慮CASB或云安全解決方案

　　?執(zhí)行審計(jì)、滲透測(cè)試和漏洞測(cè)試

　　?開啟安全日志

　理解并減少錯(cuò)誤配置

　1.理解共同責(zé)任模式

　　在私有數(shù)據(jù)中心中，企業(yè)全權(quán)負(fù)責(zé)所有安全問題。但在公共云中，事情要復(fù)雜得多。雖然最終的責(zé)任在于云計(jì)算客戶，但云計(jì)算提供商承擔(dān)了IT安全某些方面的責(zé)任。云和安全專家稱其為共享責(zé)任模型。

　　領(lǐng)先的基礎(chǔ)設(shè)施即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)供應(yīng)商，如亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)和平臺(tái)即服務(wù)(MicrosoftAzure)，為其客戶提供文檔，以便各方根據(jù)不同類型的部署了解具體的責(zé)任所在。例如，下圖顯示了應(yīng)用程序級(jí)別的控制是微軟對(duì)軟件即服務(wù)(SaaS)模型的責(zé)任，而在IaaS部署中則是客戶的責(zé)任。對(duì)于PaaS模型，微軟和它的客戶共同承擔(dān)責(zé)任。

　　考慮特定云供應(yīng)商的企業(yè)應(yīng)該首先審查其關(guān)于共享安全責(zé)任的政策，并了解誰在處理云安全的各個(gè)方面。這有助于防止溝通不暢和誤解。但是，更重要的是，明確責(zé)任可以防止由于特定安全需求而導(dǎo)致的安全事件。

　2.向云提供商詢問詳細(xì)的安全問題

　　除了明確共同的責(zé)任外，組織還應(yīng)該向其公共云供應(yīng)商詢問有關(guān)其現(xiàn)有安全措施和流程的詳細(xì)問題。人們很容易認(rèn)為領(lǐng)先的供應(yīng)商已經(jīng)處理了安全性問題，但是不同供應(yīng)商之間的安全性方法和過程可能有很大的不同。

　　要了解特定云提供商的比較情況，組織應(yīng)該提出一系列問題，包括:

　　提供商的服務(wù)器地理位置在哪里?

　　提供商對(duì)可疑安全事件的協(xié)議是什么?

　　提供商的災(zāi)難恢復(fù)計(jì)劃是什么?

　　提供商采取了哪些措施來保護(hù)各種接入組件?

　　供應(yīng)商愿意提供什么級(jí)別的技術(shù)支持?

　　提供商最近的滲透測(cè)試結(jié)果如何?

　　提供商在傳輸和靜止時(shí)對(duì)數(shù)據(jù)進(jìn)行加密嗎?

　　提供商中的哪些角色或個(gè)人可以訪問存儲(chǔ)在云中的數(shù)據(jù)?

　　提供商支持哪些身份驗(yàn)證方法?

　　提供商支持哪些合規(guī)要求?

　3.部署身份和訪問管理解決方案

　　公共云安全的另一個(gè)主要威脅是未經(jīng)授權(quán)的訪問。隨著每次新的攻擊，黑客獲取敏感數(shù)據(jù)的方法變得越來越復(fù)雜，高質(zhì)量的身份和訪問管理(IAM)解決方案可以幫助減輕這些威脅。

　　專家建議組織尋找一種IAM解決方案，允許他們基于最少特權(quán)或零信任原則定義和執(zhí)行訪問策略。這些策略還應(yīng)該基于基于角色的訪問控制(RBAC)權(quán)限。此外，多因素身份驗(yàn)證(MFA)可以進(jìn)一步降低惡意行為者訪問敏感信息的風(fēng)險(xiǎn)。即使他們?cè)O(shè)法竊取了用戶名和密碼，他們也很難完成生物識(shí)別掃描或請(qǐng)求文本代碼。

　　組織可能還想尋找一種可以在混合環(huán)境中工作的IAM解決方案，包括私有數(shù)據(jù)中心和云部署。這可以簡(jiǎn)化最終用戶的身份驗(yàn)證，并使安全人員更容易確保他們?cè)谒衖t環(huán)境中執(zhí)行一致的策略。

　4.培訓(xùn)員工

　　為了防止黑客獲得云計(jì)算工具的訪問憑證，組織應(yīng)該培訓(xùn)所有員工如何發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅以及如何應(yīng)對(duì)這些威脅。全面的培訓(xùn)應(yīng)包括基本的安全知識(shí)，如如何創(chuàng)建強(qiáng)密碼和識(shí)別可能的社會(huì)工程攻擊，以及更高級(jí)的主題，如風(fēng)險(xiǎn)管理。

　　也許最重要的是，云安全培訓(xùn)應(yīng)該幫助員工了解影子IT的內(nèi)在風(fēng)險(xiǎn)。在大多數(shù)組織中，員工很容易在沒有it部門的知識(shí)或支持的情況下實(shí)現(xiàn)自己的工具和系統(tǒng)。如果沒有對(duì)與公司數(shù)據(jù)交互的所有系統(tǒng)自上而下的可見性，就無法評(píng)估所有漏洞。企業(yè)需要解釋這種風(fēng)險(xiǎn)，并強(qiáng)調(diào)其對(duì)組織的潛在后果。

　　組織還需要對(duì)其保安人員進(jìn)行專門培訓(xùn)。威脅形勢(shì)每天都在變化，IT安全專業(yè)人員只有不斷了解最新的威脅和潛在的對(duì)策，才能跟上形勢(shì)。

　　關(guān)于良好安全實(shí)踐的頻繁對(duì)話也在同級(jí)之間以及管理人員和直接報(bào)告之間建立了更好的問責(zé)制。建立問責(zé)制看起來像:

　　確保每個(gè)員工都知道公司對(duì)安全的期望。這可能看起來像是對(duì)新員工進(jìn)行全面的網(wǎng)絡(luò)安全培訓(xùn)，或者對(duì)整個(gè)公司進(jìn)行季度性培訓(xùn)。?

　　經(jīng)常討論數(shù)據(jù)隱私、適當(dāng)?shù)拿艽a管理和保護(hù)物理場(chǎng)所等主題。你談?wù)摰迷蕉?，就越難以忽視它。?

　　問一些好問題。甚至像“這條規(guī)則有意義嗎?”或者“我們的組織希望人們遵守的最嚴(yán)格的安全規(guī)則是什么?”可以開啟對(duì)話，揭示為什么有些員工不愿意遵守規(guī)定。

　5.建立和執(zhí)行云安全策略

　　所有組織都應(yīng)該制定書面指導(dǎo)方針，規(guī)定誰可以使用云服務(wù)、如何使用云服務(wù)以及哪些數(shù)據(jù)可以存儲(chǔ)在云中。他們還需要制定員工必須使用的特定安全技術(shù)，以保護(hù)云中的數(shù)據(jù)和應(yīng)用程序。

　　理想情況下，安全人員應(yīng)該有適當(dāng)?shù)淖詣?dòng)化解決方案，以確保每個(gè)人都遵循這些策略。在某些情況下，云供應(yīng)商可能具有足以滿足組織需求的策略實(shí)施功能。在其他情況下，組織可能需要購(gòu)買第三方解決方案，如提供策略實(shí)施功能的云訪問安全代理(CASB)。CASB是一個(gè)廣泛的云安全工具，可以防止數(shù)據(jù)丟失，控制訪問和設(shè)備，發(fā)現(xiàn)影子IT和流氓應(yīng)用程序的使用，并監(jiān)控IaaS配置，這是許多云數(shù)據(jù)泄露的來源，安全訪問服務(wù)邊緣(SASE)工具進(jìn)一步擴(kuò)展了這些保護(hù)。

　　零信任工具和控件還可以通過提供對(duì)策略實(shí)施的精確控制來提供幫助。此類別中的工具與其他系統(tǒng)一起工作，以確定每個(gè)用戶需要多少訪問權(quán)限，他們可以使用該訪問權(quán)限做什么，以及它對(duì)更廣泛的組織意味著什么。

　6.保護(hù)您的端點(diǎn)

　　使用云服務(wù)并不能消除對(duì)強(qiáng)端點(diǎn)安全性的需求，反而會(huì)加強(qiáng)這種需求。畢竟，在許多情況下，是端點(diǎn)直接連接到云服務(wù)。

　　新的云計(jì)算項(xiàng)目提供了重新審視現(xiàn)有戰(zhàn)略的機(jī)會(huì)，并確保適當(dāng)?shù)谋Ｗo(hù)措施足以應(yīng)對(duì)不斷變化的威脅。

　　包括防火墻、反惡意軟件、入侵檢測(cè)和訪問控制在內(nèi)的深度防御策略長(zhǎng)期以來一直是網(wǎng)絡(luò)和端點(diǎn)安全的標(biāo)準(zhǔn)。然而，在云時(shí)代，端點(diǎn)安全問題的列表變得如此復(fù)雜，以至于需要自動(dòng)化工具來跟上。端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具和端點(diǎn)保護(hù)平臺(tái)(EPP)可以在這方面提供幫助。

　　EDR和EPP解決方案將傳統(tǒng)的端點(diǎn)安全功能與持續(xù)監(jiān)控和自動(dòng)響應(yīng)相結(jié)合。具體來說，這些工具解決了許多安全需求，包括補(bǔ)丁管理、端點(diǎn)加密、vpn和內(nèi)部威脅預(yù)防等。

　7.加密動(dòng)態(tài)和靜態(tài)數(shù)據(jù)

　　加密是任何云安全策略的關(guān)鍵部分。組織不僅應(yīng)該對(duì)公共云存儲(chǔ)服務(wù)中的任何數(shù)據(jù)進(jìn)行加密，還應(yīng)該確保數(shù)據(jù)在傳輸過程中進(jìn)行加密——此時(shí)數(shù)據(jù)可能最容易受到攻擊。

　　一些云計(jì)算提供商提供加密和密鑰管理服務(wù)。一些第三方云和傳統(tǒng)軟件公司也提供加密選項(xiàng)。專家建議尋找一種與現(xiàn)有工作流程無縫配合的加密產(chǎn)品，從而消除最終用戶為遵守公司加密政策而采取任何額外行動(dòng)的需要。

　8.使用入侵檢測(cè)和防御技術(shù)

　　入侵檢測(cè)和防御系統(tǒng)(IDPS)是市場(chǎng)上最有效的工具之一。它們監(jiān)視、分析和響應(yīng)網(wǎng)絡(luò)流量，可以作為獨(dú)立的解決方案，也可以作為幫助保護(hù)網(wǎng)絡(luò)(如防火墻)的其他工具的一部分。

　　亞馬遜、Azure和谷歌云等主要云服務(wù)提供自己的IDPS和防火墻服務(wù)，但需要額外付費(fèi)。他們還通過自己的市場(chǎng)銷售網(wǎng)絡(luò)安全公司的服務(wù)。如果您正在處理云中的敏感數(shù)據(jù)，這些附加的安全服務(wù)是物有所值的。

　9.再次檢查您的合規(guī)性要求

　　收集個(gè)人身份信息(PII)的組織(包括零售、醫(yī)療保健和金融服務(wù)領(lǐng)域的組織)在客戶隱私和數(shù)據(jù)安全方面面臨嚴(yán)格的監(jiān)管。一些位于特定地理位置的企業(yè)——或者在特定區(qū)域存儲(chǔ)數(shù)據(jù)的企業(yè)——也可能有來自地方或州政府的特殊遵從性要求。

　　在建立新的云計(jì)算服務(wù)之前，您的組織應(yīng)該審查其特定的遵從性要求，并確保服務(wù)提供商能夠滿足您的數(shù)據(jù)安全需求。保持合規(guī)是當(dāng)務(wù)之急。管理機(jī)構(gòu)將要求您的企業(yè)對(duì)任何違反法規(guī)的行為負(fù)責(zé)，即使安全問題源于云提供商。

　10.考慮CASB或云安全解決方案

　　數(shù)十家公司提供專門用于增強(qiáng)云安全的解決方案或服務(wù)。如果組織的內(nèi)部安全人員沒有云專業(yè)知識(shí)，或者現(xiàn)有的安全解決方案不支持云環(huán)境，那么可能是時(shí)候引入外部幫助了。

　　云訪問安全代理(casb)是專門用于執(zhí)行云安全策略的工具。隨著越來越多的組織開始使用云服務(wù)，它們變得越來越受歡迎。專家表示，CASB解決方案可能對(duì)使用來自不同供應(yīng)商的多個(gè)云計(jì)算服務(wù)的組織最有意義。這些解決方案還可以監(jiān)控未經(jīng)授權(quán)的應(yīng)用程序和訪問。

　　casb涵蓋了廣泛的安全服務(wù)，包括數(shù)據(jù)丟失預(yù)防、惡意軟件檢測(cè)和法規(guī)遵從性協(xié)助。casb與多個(gè)SaaS和IaaS平臺(tái)集成，需要使用許多不同的基于云的軟件解決方案來保護(hù)組織的整個(gè)基礎(chǔ)設(shè)施?？紤]支持所有基于云計(jì)算的業(yè)務(wù)工具的CASB提供商。

　　CASB并不是確保云環(huán)境安全的唯一解決方案。其他包括云原生應(yīng)用程序保護(hù)(CNAPP)和云工作負(fù)載保護(hù)平臺(tái)(CWPP)。

　11.進(jìn)行審計(jì)、滲透測(cè)試和漏洞測(cè)試

　　專家表示，無論企業(yè)是選擇與外部安全公司合作，還是將安全功能保留在內(nèi)部，所有企業(yè)都應(yīng)該進(jìn)行滲透測(cè)試和漏洞掃描。滲透測(cè)試可以幫助組織確定現(xiàn)有的云安全工作是否足以保護(hù)數(shù)據(jù)和應(yīng)用程序，云漏洞掃描儀可以發(fā)現(xiàn)可能危及云環(huán)境的錯(cuò)誤配置和其他缺陷。

　　此外，組織應(yīng)該進(jìn)行定期的安全審計(jì)，包括對(duì)所有安全供應(yīng)商能力的分析。這應(yīng)確認(rèn)它們符合商定的安全條款。還應(yīng)審計(jì)訪問日志，以確保只有適當(dāng)和授權(quán)的人員才能訪問云中的敏感數(shù)據(jù)和應(yīng)用程序。

　12.開啟安全日志

　　除了進(jìn)行審計(jì)之外，組織還應(yīng)該為其云解決方案啟用日志記錄功能。日志記錄幫助系統(tǒng)管理員跟蹤哪些用戶對(duì)環(huán)境進(jìn)行了更改——這幾乎是不可能手工完成的。如果攻擊者獲得訪問權(quán)限并進(jìn)行更改，則日志將顯示其所有活動(dòng)，以便對(duì)其進(jìn)行補(bǔ)救。

　　錯(cuò)誤配置是云安全最重要的挑戰(zhàn)之一，有效的日志記錄功能將有助于將導(dǎo)致特定漏洞的更改聯(lián)系起來，以便在將來糾正和避免這些漏洞。日志記錄還有助于識(shí)別可能擁有比實(shí)際工作所需更多訪問權(quán)限的單個(gè)用戶，因此管理員可以將這些權(quán)限調(diào)整到最低限度。

　　云服務(wù)提供商提供日志記錄，也有第三方工具可用。

　13.理解并減少錯(cuò)誤配置

　　重要的是，不僅要記錄錯(cuò)誤配置的數(shù)據(jù)，而且要減少錯(cuò)誤配置。一些云服務(wù)為任何用戶提供讀取權(quán)限或管理功能，包括組織外部的人，他們可能能夠從他們的web瀏覽器訪問存儲(chǔ)桶。這種類型的錯(cuò)誤配置為惡意行為者打開了大門，不僅可以從存儲(chǔ)桶中竊取數(shù)據(jù)，而且如果他們獲得了正確的信息，還可能通過存儲(chǔ)基礎(chǔ)設(shè)施橫向移動(dòng)。

　　此外，如果帳戶的權(quán)限配置錯(cuò)誤，竊取憑證的攻擊者可能會(huì)升級(jí)該帳戶的管理權(quán)限。這允許進(jìn)一步的數(shù)據(jù)盜竊和潛在的云范圍攻擊。

　　即使工作很繁瑣，企業(yè)的IT、存儲(chǔ)或安全團(tuán)隊(duì)也應(yīng)該親自配置每個(gè)存儲(chǔ)桶或存儲(chǔ)桶組。接受開發(fā)團(tuán)隊(duì)的幫助也是一個(gè)好主意——他們可以確保正確配置web云地址。沒有云桶應(yīng)該有默認(rèn)的訪問權(quán)限。確定需要訪問哪些用戶級(jí)別——是僅查看權(quán)限還是編輯權(quán)限——并相應(yīng)地配置每個(gè)存儲(chǔ)桶。

　云安全面臨的最大威脅是什么?

　　這么多公司擔(dān)心公共云環(huán)境的安全性是有原因的。將數(shù)據(jù)放在提供商的數(shù)據(jù)中心，特別是在共享托管環(huán)境中，可能會(huì)使IT和安全團(tuán)隊(duì)感到失控。盡管這些擔(dān)憂并非無法克服，但它們是合理的。以下威脅削弱了企業(yè)的云安全態(tài)勢(shì)。

　云配置錯(cuò)誤

　　一個(gè)配置錯(cuò)誤的存儲(chǔ)桶可能會(huì)讓互聯(lián)網(wǎng)上的任何人都能訪問。如果沒有將云資源的設(shè)置配置為僅限您組織中的用戶，那么來自其他組織的經(jīng)過身份驗(yàn)證的云用戶也可以訪問其數(shù)據(jù)。API安全性是另一個(gè)值得關(guān)注的重要云連接。

　不必要的訪問

　　一些組織可能會(huì)試圖為其IT、云和存儲(chǔ)團(tuán)隊(duì)的所有成員提供平等的訪問權(quán)限。但這為權(quán)限濫用打開了大門:并非所有團(tuán)隊(duì)成員，尤其是初級(jí)團(tuán)隊(duì)成員，都需要云管理權(quán)限。此外，始終存在內(nèi)部威脅的可能性，為了減少內(nèi)部破壞的可能性，最好將管理權(quán)限減少到少數(shù)受信任的團(tuán)隊(duì)成員。此外，數(shù)據(jù)下載也應(yīng)該有嚴(yán)格的控制。

　云供應(yīng)商的弱點(diǎn)

　　并非所有云提供商都具有相同的安全級(jí)別，并且在公共云托管中，一個(gè)云實(shí)例的弱點(diǎn)可能會(huì)影響同一主機(jī)上的所有其他云實(shí)例，即使損壞的實(shí)例來自不同的組織。企業(yè)通常對(duì)其公共云實(shí)例的安全性控制較少，因?yàn)檫@些實(shí)例通常位于遠(yuǎn)程數(shù)據(jù)中心。DDoS攻擊是云服務(wù)面臨的另一個(gè)常見威脅，但是當(dāng)這些攻擊發(fā)生時(shí)，他們通常會(huì)盡可能地保持訪問。

　員工的錯(cuò)誤

　　這些錯(cuò)誤包括配置錯(cuò)誤，但也包括通過在線服務(wù)以明文形式發(fā)送密碼或點(diǎn)擊電子郵件中的可疑鏈接等錯(cuò)誤。如果用戶在設(shè)備上設(shè)置了文件同步，并且文件已損壞，那么即使下載惡意軟件到計(jì)算機(jī)上也會(huì)危及云帳戶。

　實(shí)現(xiàn)強(qiáng)大的云安全實(shí)踐

　　盡管企業(yè)認(rèn)為云是他們最大的漏洞之一，但它并不一定是攻擊者的開放途徑。加強(qiáng)訪問控制、進(jìn)行定期云審計(jì)和實(shí)現(xiàn)強(qiáng)大的加密只是您的企業(yè)可以擁有云環(huán)境安全性的幾種方法。了解供應(yīng)商的安全程序不僅可以幫助您選擇正確的供應(yīng)商，還可以幫助您更好地管理自己的責(zé)任。

　　事實(shí)上，云服務(wù)提供商通常擁有相當(dāng)安全的環(huán)境，而你最大的風(fēng)險(xiǎn)將是如何連接到云并控制數(shù)據(jù)和訪問。好消息是，它將云安全置于您的手中——這使您更有理由學(xué)習(xí)云安全最佳實(shí)踐。