美國國土安全部最近宣布，其網(wǎng)絡(luò)安全審查委員會的下一個項(xiàng)目將專注于“與影響適用的云服務(wù)提供商及其客戶的基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)的問題”。這并不令人驚訝，因?yàn)槠髽I(yè)中云采用的爆炸性增長已經(jīng)開啟了一個需要保護(hù)的大的攻擊面。

目前有94%的企業(yè)使用云(其中92%使用多個云平臺)，在使用多個云平臺時，企業(yè)仍在維護(hù)安全性方面遇到困難。

例如，最近的一些網(wǎng)絡(luò)攻擊涉及身份被盜或泄露，特別是那些與基于云的身份有關(guān)的攻擊，而且這種攻擊正在增加。去年，幾乎90%的企業(yè)受到了此類網(wǎng)絡(luò)攻擊，即使是最大的云計(jì)算提供商，如微軟和AWS也受到了影響。

沒有人在談?wù)摪言凭`放回瓶子里。國土安全部的聲明強(qiáng)調(diào)了“云基礎(chǔ)設(shè)施在我們?nèi)粘Ｉ钪械娜找嬷匾浴！本W(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長Jen Easterly指出，目前適用于大多數(shù)企業(yè)的網(wǎng)絡(luò)安全分擔(dān)責(zé)任模式要求更多地關(guān)注云安全，特別是身份管理和身份驗(yàn)證，以提供必要的功能和保護(hù)敏感數(shù)據(jù)。

雖然分擔(dān)責(zé)任模式在劃定安全所有權(quán)領(lǐng)域以及明確這一復(fù)雜而關(guān)鍵的需求方面很重要，但它確實(shí)造成了一個明顯的安全漏洞：它讓可能沒有能力應(yīng)對挑戰(zhàn)的云用戶負(fù)責(zé)保護(hù)敏感數(shù)據(jù)。

只有40%的企業(yè)有足夠的信心表示，他們有足夠的安全性來100%保護(hù)云中的數(shù)據(jù)。Gartner還預(yù)測，到2025年，99%的云故障將是用戶的錯。一些最常見的挑戰(zhàn)包括導(dǎo)致應(yīng)用程序易受攻擊的錯誤配置、對云環(huán)境的多層復(fù)雜性的監(jiān)控不嚴(yán)或無法發(fā)現(xiàn)威脅，以及缺乏執(zhí)行安全措施的人員。

共同承擔(dān)責(zé)任的挑戰(zhàn)

云服務(wù)提供商傾向于優(yōu)先考慮快速構(gòu)建和擴(kuò)展云環(huán)境——畢竟這是云服務(wù)的賣點(diǎn)——并將保護(hù)應(yīng)用程序和數(shù)據(jù)的責(zé)任留給他們的客戶。盡管云提供商為身份和訪問管理提供了自己的專有安全工具，但當(dāng)他們的企業(yè)使用多個云提供商或混合公有/私有云時，用戶仍然面臨安全漏洞，就像許多企業(yè)今天所做的那樣。

解決云環(huán)境中的漏洞也成為一個爭議點(diǎn)，云服務(wù)提供商在發(fā)現(xiàn)漏洞時就會解決這些漏洞，但他們必須在發(fā)布軟件更新的需求與其業(yè)務(wù)優(yōu)先事項(xiàng)之間取得平衡，例如保證軟件質(zhì)量和最大限度地減少中斷。

這給企業(yè)留下了兩個不同且不令人滿意的選擇，規(guī)模較小的公司可能會依賴云服務(wù)提供商提供的基本工具，這些工具有時成本較低，但可能無法提供全面的安全性。與此同時，較大的企業(yè)越來越多地投資于構(gòu)建他們認(rèn)為的統(tǒng)一云安全戰(zhàn)略，這在分散的環(huán)境中可能很難實(shí)現(xiàn)。

如何克服云安全面臨的挑戰(zhàn)

面對這種風(fēng)險(xiǎn)格局，國土安全部審查委員會評估與基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)的問題的項(xiàng)目可以提供一個框架，以應(yīng)對保護(hù)多云環(huán)境的挑戰(zhàn)，這可能會提高云服務(wù)提供商的透明度，改善云服務(wù)提供商保護(hù)其平臺的努力，并避免客戶承擔(dān)不必要的風(fēng)險(xiǎn)。

然而，要弄清“與基于云的身份和身份驗(yàn)證基礎(chǔ)設(shè)施相關(guān)的問題”，需要能夠從身份角度分析風(fēng)險(xiǎn)的解決方案，為了做到這一點(diǎn)，企業(yè)必須探索幾種不同的選擇：

第三方解決方案：這些解決方案可以提供發(fā)現(xiàn)和修復(fù)云安全漏洞的集成平臺，并在部署前進(jìn)行檢測，它們還可以在多云環(huán)境中揭示云身份風(fēng)險(xiǎn)發(fā)現(xiàn)，例如權(quán)限提升和過度權(quán)限，它們可以自動實(shí)施訪問策略、適當(dāng)調(diào)整權(quán)限大小并管理整個網(wǎng)絡(luò)中的權(quán)限，而不會因手動身份管理任務(wù)而使IT部門負(fù)擔(dān)過重。

確保最低特權(quán)訪問的定期內(nèi)部和獨(dú)立審計(jì)：默認(rèn)情況下，用戶應(yīng)具有執(zhí)行其任務(wù)所需的最低權(quán)限，這一原則確保了即使憑據(jù)被泄露，損害也得到了控制。實(shí)施重復(fù)的內(nèi)部審計(jì)計(jì)劃，以審查用戶的權(quán)利和權(quán)限，并確保無意或臨時授予的不必要的權(quán)限被撤銷。更好的做法是，讓你的企業(yè)接受有節(jié)奏的獨(dú)立審核，以便更好地與身份和訪問管理安全最佳實(shí)踐保持一致。

培訓(xùn)和意識：國土安全部鼓勵企業(yè)發(fā)展強(qiáng)大的安全文化——這有助于提高企業(yè)防御社會攻擊所需的意識。此外，持續(xù)培訓(xùn)你的IT和開發(fā)團(tuán)隊(duì)了解云安全最佳實(shí)踐，例如為新部署使用配置模板以確保默認(rèn)情況下的安全配置，定期舉辦講習(xí)班、研討會和更新最新的最佳做法，可使該小組隨時了解情況并保持警惕。

單云、多云和混合云基礎(chǔ)設(shè)施將繼續(xù)存在。網(wǎng)絡(luò)安全審查委員會對云安全的關(guān)注，以及最近政府的一系列網(wǎng)絡(luò)安全舉措——想想關(guān)于網(wǎng)絡(luò)安全的行政命令——揭示了云中的網(wǎng)絡(luò)威脅。

國土安全部的審查本身并不是一個規(guī)則制定過程，但每當(dāng)聯(lián)邦政府支持一個框架時，企業(yè)都會傾聽?，F(xiàn)在是時候重新考慮身份和身份驗(yàn)證在你的云安全戰(zhàn)略中的角色以及如何管理它了。