Bob Violino

多年以來，由于擔(dān)心安全威脅，許多業(yè)務(wù)高管和IT高管一直對(duì)公共云心存顧慮，甚至完全避開這種服務(wù)。

隨著云服務(wù)市場(chǎng)的成熟，領(lǐng)先的云提供商開始構(gòu)建高度安全的基礎(chǔ)架構(gòu)，這種擔(dān)憂很大程度上得到了消解。但這并不意味著威脅已消失，也不意味著云客戶應(yīng)想當(dāng)然地以為不用再負(fù)責(zé)確保其數(shù)據(jù)受到保護(hù)。

云配置錯(cuò)誤是攻擊者最先盯上的……像未刪除舊賬戶這種小小的疏忽都有可能立刻帶來安全問題。

云安全聯(lián)盟（CSA）負(fù)責(zé)定義有助于確保云計(jì)算環(huán)境安全的標(biāo)準(zhǔn)、認(rèn)證和最佳實(shí)踐，該組織特別指出：“全球云采用率的上升已帶來了新的云安全威脅，黑客會(huì)研究某家公司的弱點(diǎn)，未經(jīng)授權(quán)獲得訪問權(quán)以竊取機(jī)密信息?！?/p>

CSA說：“我們需要更智能、更靈活的控制措施來應(yīng)對(duì)此類威脅，而云服務(wù)提供商[CSP]的傳統(tǒng)安全措施在這方面不管用?！?/p>

該組織根據(jù)CSA常見威脅工作組對(duì)其成員開展的常規(guī)調(diào)查和問卷調(diào)查，列出了云計(jì)算面臨的幾大威脅，包括：數(shù)據(jù)泄露、缺乏云安全架構(gòu)和策略、身份/登錄信息、訪問和密鑰管理不到位、賬戶劫持、內(nèi)部威脅、不安全的接口和應(yīng)用編程接口（API），以及對(duì)云使用情況的了解有限。

現(xiàn)在依賴多云或混合云環(huán)境來支持業(yè)務(wù)流程的組織需要保持警惕，以確保其數(shù)據(jù)和應(yīng)用程序就像它們?cè)趦?nèi)部環(huán)境時(shí)一樣安全。

研究公司Gartner做出了云安全方面的許多預(yù)測(cè)，應(yīng)該引起首席信息安全官（CISO）及其他安全主管的關(guān)注。

其中一個(gè)預(yù)測(cè)是，到2025年，未控制公有云使用的組織中90%將不恰當(dāng)?shù)毓蚕砻舾袛?shù)據(jù)。另一個(gè)預(yù)測(cè)是，到2024年，大多數(shù)組織仍將很難適當(dāng)?shù)睾饬吭瓢踩L(fēng)險(xiǎn)。第三個(gè)預(yù)測(cè)是，到2025年，99%的云安全故障將來自于客戶，而不是云提供商。

以下是專家建議為云環(huán)境加強(qiáng)安全而采取的幾個(gè)最佳實(shí)踐。

1.部署身份和訪問管理工具

Gartner的云安全高級(jí)主管兼分析師Steve Riley說，管理誰有權(quán)訪問云端的哪些數(shù)據(jù)和服務(wù)應(yīng)該是云網(wǎng)絡(luò)安全計(jì)劃的基礎(chǔ)。

Riley說，在公有云中，“單個(gè)資源和數(shù)據(jù)對(duì)象層面的邏輯訪問控制變得至關(guān)重要。身份也許是一種最重要的虛擬邊界，可以有效地減小潛在漏洞的攻擊面?！?/p>

Riley表示，任何可連接互聯(lián)網(wǎng)的人都有可能訪問云管理控制臺(tái)和云端應(yīng)用程序。因此，有效的身份和訪問管理（IAM）策略是用于對(duì)組織的云部分加以控制的任何策略的基礎(chǔ)。

Riley說：“組織在設(shè)計(jì)支持并保護(hù)業(yè)務(wù)的IAM策略時(shí)，記住最小特權(quán)原則仍是實(shí)用的基礎(chǔ)。寧可嚴(yán)格些，不過又要便于快速輕松地請(qǐng)求和授予額外特權(quán)，對(duì)個(gè)人工作流程的干擾最小。”

Riley表示，分配的特權(quán)過少時(shí)，系統(tǒng)可“安全地失效”，錯(cuò)誤往往不會(huì)造成安全問題。他說：“如果分配的特權(quán)過多（常常歸因于權(quán)限蔓延），情況恰恰相反：錯(cuò)誤往往造成嚴(yán)重的安全問題。”

Riley說，現(xiàn)在大多數(shù)公共云服務(wù)提供基于角色的管理、內(nèi)置的多因子身份驗(yàn)證（MFA）和廣泛的日志記錄功能。“一些功能可以與特權(quán)訪問管理工具集成起來。大多數(shù)服務(wù)還提供某種“有效權(quán)限”評(píng)估工具，這有助于明確地確定用戶或服務(wù)賬戶的權(quán)限范圍是否過大?！?/p>

Riley說，賬戶權(quán)限過大和對(duì)象訪問權(quán)限過大是最常見也是最危險(xiǎn)的云安全問題。

2.防止安全配置錯(cuò)誤

研究公司IDC的安全和信任項(xiàng)目副總裁Frank Dickson說，云環(huán)境面臨的最大威脅是配置錯(cuò)誤。

Dickson表示，比如說，亞馬遜網(wǎng)絡(luò)服務(wù)公司（AWS）開放的簡(jiǎn)單存儲(chǔ)服務(wù)（S3）存儲(chǔ)桶一向是重大泄密事件的源頭，但一些組織還是任由公有云存儲(chǔ)資源保持敞開的狀態(tài)。

Dickson說：“不過S3存儲(chǔ)桶默認(rèn)情況下并不敞開，而是封閉的。客戶必須作出決定以打開存儲(chǔ)桶并公之于眾。有句老話說，一分預(yù)防勝過十分治療。適當(dāng)?shù)卦谠婆渲梅矫婊c(diǎn)心思，勝過在云安全工具方面大量投入?！?/p>

據(jù)CSA聲稱，云配置錯(cuò)誤是攻擊者最先盯上的，而像未刪除舊賬戶這種小小的安全疏忽可能立刻帶來問題。錯(cuò)誤配置云的常見表現(xiàn)包括缺乏訪問限制和缺乏數(shù)據(jù)保護(hù)，尤其是針對(duì)明文格式上傳到云端的個(gè)人信息。

CSA說，配置錯(cuò)誤的另一個(gè)原因是未審核和驗(yàn)證云資源。該組織聲稱，對(duì)資源和配置沒有定期審核可能導(dǎo)致安全漏洞，隨時(shí)會(huì)被惡意攻擊者鉆空子。

企業(yè)還可能忽略日志記錄和監(jiān)控。及時(shí)檢查數(shù)據(jù)和訪問日志對(duì)于識(shí)別和標(biāo)記安全方面的事件至關(guān)重要。

最后，組織可能為用戶“授予過大的訪問權(quán)限”。CSA說，用戶訪問權(quán)應(yīng)僅限于允許個(gè)人使用的應(yīng)用程序和數(shù)據(jù)。

3.降低云管理的復(fù)雜性

為單單一項(xiàng)云服務(wù)提供足夠的安全對(duì)于組織來說可能是巨大的挑戰(zhàn)。如果面臨更多的云服務(wù)和更多的云提供商，保護(hù)數(shù)據(jù)會(huì)變得更加困難重重。

對(duì)于越來越多的組織而言，向云遷移最終意味著擁有多云或混合云環(huán)境。這可能導(dǎo)致高度復(fù)雜的基礎(chǔ)架構(gòu)（包括各種公共云服務(wù)提供商和各類云服務(wù)），這可能帶來許多安全風(fēng)險(xiǎn)。

Dickson表示，以云為主的環(huán)境中做好網(wǎng)絡(luò)安全的早期步驟之一應(yīng)該是降低復(fù)雜性。他說，IDC估計(jì)80%的企業(yè)有不止一家基礎(chǔ)架構(gòu)即服務(wù)（IaaS）提供商。

由于期望減少運(yùn)營(yíng)支出，并更靈活地為用戶和客戶提供服務(wù)，許多組織還使用不同提供商提供的多種軟件即服務(wù)（SaaS）和平臺(tái)即服務(wù)（PaaS）解決方案。

擁有多個(gè)云（每個(gè)云有各自的特點(diǎn)）可能很難做好保護(hù)。Dickson說：“可能的話，盡量減少云提供商的數(shù)量。較少的云提供商常常意味著較少的安全提供商。供應(yīng)商合并進(jìn)一步降低了復(fù)雜性?！?/p>

4.將重心更多地放在檢測(cè)和響應(yīng)上

Riley說，由于將一些控制權(quán)交給云端，組織應(yīng)對(duì)云活動(dòng)加大監(jiān)控力度，以表明治理程序落實(shí)到位并得到遵守。

Riley說：“大多數(shù)CSP提供了必要的工具來檢測(cè)資源、工作負(fù)載和應(yīng)用程序，以收集原始日志數(shù)據(jù)，但可能對(duì)日志數(shù)據(jù)的存儲(chǔ)位置作了限制。將這些數(shù)據(jù)轉(zhuǎn)換成有用的信息帶來了挑戰(zhàn)，可能需要CSP提供的或第三方的產(chǎn)品或服務(wù)，需要將日志數(shù)據(jù)從一個(gè)地區(qū)轉(zhuǎn)移到另一個(gè)地區(qū)時(shí)更是如此?！?/p>

Riley說，Gartner的一些客戶更喜歡依賴現(xiàn)有的安全信息和事件管理（SIEM）工具，而許多云服務(wù)支持更流行的工具。其他客戶聲稱，SIEM工具使用不便、干擾信號(hào)多，因此更青睞云原生服務(wù)。

Riley說：“在購(gòu)置另一種產(chǎn)品之前，組織應(yīng)先摸清云服務(wù)的內(nèi)置日志記錄、報(bào)告和分析功能?！?/p>

SaaS應(yīng)用程序往往提供匯總、關(guān)聯(lián)和分析行為的各種報(bào)告。Riley說：“這些對(duì)于僅使用一種或幾種SaaS應(yīng)用程序的組織來說可能足夠了。”對(duì)于訂購(gòu)許多SaaS應(yīng)用程序的組織而言，云訪問安全代理（CASB）或SaaS管理平臺(tái)（SMP）可能是評(píng)估SaaS安全狀況、控制和治理方面實(shí)現(xiàn)標(biāo)準(zhǔn)化的更好選擇。

Riley說：“IaaS和PaaS提供商提供了檢測(cè)所需的基本功能，預(yù)計(jì)客戶會(huì)將輸出內(nèi)容收集到可以解讀數(shù)據(jù)的服務(wù)中。IaaS和PaaS CSP提供原生的事件分析和調(diào)查功能?！?/p>

此外，云安全狀態(tài)管理（CSPM）工具提供了高效的機(jī)制，可用于評(píng)估工作負(fù)載的配置以及檢測(cè)和規(guī)范不合規(guī)設(shè)置。

5.部署數(shù)據(jù)加密技術(shù)

如果數(shù)據(jù)落入不法分子的手里，數(shù)據(jù)加密是組織可以用來保護(hù)數(shù)據(jù)較有效的安全工具之一。

Dickson說：“默認(rèn)情況下，數(shù)據(jù)離開本地環(huán)境時(shí)，云端數(shù)據(jù)保護(hù)顯得很重要。必須對(duì)傳輸中數(shù)據(jù)和靜止數(shù)據(jù)進(jìn)行加密?！?/p>

Riley說，加密另外提供了一層邏輯隔離?！皩?duì)于許多安全團(tuán)隊(duì)來說，默認(rèn)情況下要不要加密所有數(shù)據(jù)一直爭(zhēng)論不斷。對(duì)于IaaS和PaaS中的大容量存儲(chǔ)而言，合理的方法可能是進(jìn)行加密。這簡(jiǎn)化了配置程序，避免了敏感數(shù)據(jù)無意中公開的情況，并有助于僅刪除密鑰即可銷毀數(shù)據(jù)?！?/p>

Riley表示，加密還為訪問控制策略提供了復(fù)核機(jī)制。“要讀取加密的對(duì)象，賬戶必須訪問兩個(gè)訪問控制列表：一個(gè)是對(duì)象本身的列表，另一個(gè)是加密對(duì)象的密鑰列表。授予訪問權(quán)限時(shí)必須達(dá)成共識(shí)的機(jī)制是一種有用的縱深防御措施。”

Riley說，對(duì)于SaaS和PaaS中的應(yīng)用層數(shù)據(jù)，加密決定則較為復(fù)雜。他說：“在PaaS/SaaS應(yīng)用程序的上下文之外加密數(shù)據(jù)會(huì)降低應(yīng)用程序的功能。組織必須考慮清楚功能與隔離的取舍?！?/p>

Riley說，加密替代不了信任?！皩?duì)加密數(shù)據(jù)進(jìn)行任何有用的處理都需要先對(duì)數(shù)據(jù)進(jìn)行解密，然后將其讀入內(nèi)存，因而使其面臨基于內(nèi)存的攻擊。”

6.將培訓(xùn)和教育列為優(yōu)先事項(xiàng)

最后，與任何其他網(wǎng)絡(luò)安全計(jì)劃一樣，安全風(fēng)險(xiǎn)方面對(duì)用戶進(jìn)行教育至關(guān)重要。對(duì)于許多組織和員工來說，遷移到云仍是一個(gè)比較新的概念，因此需要優(yōu)先考慮培訓(xùn)以及為相應(yīng)程序編寫指南。

CSA的全球研究副總裁John Yeoh說：“先從云安全方面對(duì)自己和員工進(jìn)行教育。網(wǎng)上有許多安全教育文件和課程幫助了解云端安全基礎(chǔ)知識(shí)?！?/p>

CSA有一份名為《云計(jì)算關(guān)鍵領(lǐng)域安全指南》的基礎(chǔ)文件，并設(shè)有一門名為《云安全知識(shí)證書》的培訓(xùn)課程。

Yeoh說：“對(duì)于使用特定云服務(wù)和工具的那些人來說，熟悉了解這些工具很重要，因?yàn)樘峁┥淘诓粩嗵砑雍透钠浞?wù)的功能。想安全地使用那些服務(wù)，關(guān)鍵是合理使用功能，并了解標(biāo)準(zhǔn)配置?！?/p>

Yeoh說，打造對(duì)云有基本了解的安全文化“是減少人為錯(cuò)誤因素并提高云端最佳實(shí)踐方面的認(rèn)識(shí)，以此改善公司安全狀況的重要一步?！?/p>

教育還應(yīng)擴(kuò)大到了解云提供商在安全方面到底提供什么的方面。

Yeoh說，CSA的云控制矩陣（Cloud Controls Matrix）使你可以查看并比較云服務(wù)提供商們?nèi)绾芜_(dá)到或超過基準(zhǔn)安全要求。

Yeoh說：“擁有一整套業(yè)界在實(shí)施的常見云安全控制措施，可以為該云服務(wù)提供商及其服務(wù)提供信任和保證。確定對(duì)于貴組織使用該服務(wù)而言至關(guān)重要的安全要求，并確保通過那一整套控制措施滿足這些要求。這種做法可以加快采購(gòu)流程，并改善貴組織的安全狀況?！?/p>

作者簡(jiǎn)介：Bob Violino常駐紐約，是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特約撰稿人。

原文網(wǎng)址

https：//www.idginsiderpro.com/article/3529382/6-ways-to-be-more-secure-in-the-cloud.html