雲環境中的安全性怎麼保障？專家推薦6種方法幫企業完善

導語：雲服務已經變得很是普及，但這並不意味着雲安全的威脅已經消失。那麼，企業在多雲或混合雲環境下該如何加強安全性呢，看這些研究機構給出什麼樣的安全策略。

　　本文譯者：「開源村OSV」微信公衆號

　　多年以來，因爲對安全威脅的擔心，許多企業和IT高管一直對公共雲持懷疑態度，甚至徹底避免了使用這些服務。

　　隨着雲服務市場的成熟以及領先的雲提供商構建高度安全的基礎架構，這些擔心在很大程度上獲得緩解。但這並不意味着雲安全的威脅已經消失，也不意味着雲客戶應該假定他們再也不負責確保其數據受到保護。

　　「雲配置錯誤是攻擊者首先要檢查的...小小的疏忽，例如沒法刪除舊賬戶，可能會在幾秒鐘內引發問題。」雲安全聯盟（CSA）指出：「全球雲採用率的上升帶來了新的雲安全威脅，黑客能夠在其中研究公司的弱點並得到未經受權的訪問以竊取機密信息。」

　　CSA說：「咱們須要更智能，更敏捷的控件來應對此類威脅，而這正是雲服務提供商[CSP]的傳統安全措施失敗的地方。」該組織根據CSA最高威脅工做組對其成員的調查和問卷調查，肯定了雲計算的最高威脅，其中包括數據泄露；缺少雲安全架構和策略；身份，憑證，訪問和密鑰管理不足；帳號劫持；內部威脅；不安全的接口和應用程序編程接口（API）；而且雲使用狀況的可見性有限。

　　如今依賴多個或混合雲環境來支持其業務流程的組織須要保持警戒，以確保其數據和應用程序安全—就像這些資源位於內部時同樣。

　　知名國際研究公司Gartner對雲安全作出了許多預測，這些預測應該引發CISO和其餘安全主管的關注，包括：第一是到2025年，沒法控制公共雲使用的組織中有90％將不恰當地共享敏感數據；第二是到2024年，大多數組織將繼續努力以適當地衡量雲安全風險。第三是到2025年，有99％的雲安全故障將是客戶的錯，而不是雲提供商的錯。

　　如下是針對企業客戶如何在雲環境中加強安全性的一些具體建議。

　　1.部署身份和訪問管理工具

　　Gartner雲安全高級總監兼分析師Steve Riley說，管理誰有權訪問雲中的哪些數據和服務應該是雲網絡安全計劃的基礎。

　　在公共雲中，「在單個資源和數據對象級別的邏輯訪問控制變得相當重要。」 「身份也許是虛擬邊界的最重要形式，能夠有效地減小潛在漏洞的攻擊面。」

　　Riley說，任何擁有互聯網鏈接的人均可以訪問雲管理控制檯和駐留於雲的應用程序。結果，用於維持對組織雲服務部分的任何基礎策略的控制，都是有效的身份和訪問管理（IAM）策略。

　　「當組織設計一個既能實現業務又能保護業務的IAM策略時，請記住，最小特權原則仍然是有用的基礎。」 「習慣性強，可是實施了一個過程，能夠快速，輕鬆地請求和授予其餘特權，而對我的工做流程的干擾最小。」

　　Riley說，當特權分配太窄時，系統就會「安全失效」，錯誤每每不會形成安全問題。可是「當任務分配過於普遍時（一般是因爲權利的攀升而引發的），狀況偏偏相反：錯誤每每會形成真正的安全問題。」

　　如今大多數公共雲服務都提供基於角色的管理，內置的多因素身份驗證（MFA）和普遍的日誌記錄功能。「有些能夠與特權訪問管理工具集成。大多數服務還提供某種形式的「有效權限」評估程序，這有助於消除猜想是否能夠肯定用戶或服務賬戶的權限範圍是否過大。」

　　Riley說，的權限太廣和對象的訪問權限太廣表明了最多見，最危險的雲安全問題。

　　2.防止安全配置錯誤

　　研究公司IDC安全與信任項目副總裁Frank Dickson說，對雲環境的最大威脅是配置錯誤。

　　Dickson說，例如，開放的Amazon Web Services（AWS）的簡單存儲服務（S3）存儲桶已成爲引發人們高度關注的漏洞的源頭，但一些組織選擇將公共雲存儲資源保持開放狀態。

　　「儘管默認狀況下不打開S3存儲桶；他們是封閉的，」Dickson說。「客戶必須決定打開存儲桶並使其暴露在外。古老的格言說，一盎司的預防賽過一磅的治療。好吧，在適當的雲配置上進行的一盎司投資至關於20磅的雲安全工具。」

　　根據CSA的說法，雲配置錯誤是攻擊者首先要檢查的內容，而小的安全疏忽（例如沒法刪除舊賬戶）可能會在幾秒鐘內引發問題。能夠錯誤配置雲的常見方法之一是缺少訪問限制。而且缺少數據保護，尤爲是對於以純文本形式上傳到雲中的我的信息。

　　CSA說，配置錯誤的另外一個緣由是沒法審覈和驗證雲資源。該組織報告說，缺少對資源和配置的按期審覈可能會致使安全漏洞，隨時可能被惡意攻擊者利用。

　　公司還能夠忽略日誌記錄和監視。及時檢查數據和訪問日誌對於識別和標記與安全相關的事件相當重要。

　　最後，組織能夠爲用戶提供「過分受權」訪問權限。CSA說，用戶訪問應僅限於我的容許使用的應用程序和數據。

　　3.下降雲管理的複雜性

　　爲單個雲服務提供足夠的安全性對於組織來講多是一個巨大的挑戰。在組合中添加的雲服務和雲提供商會愈來愈多，保護數據的挑戰變得愈來愈大。

　　對於愈來愈多的組織而言，向雲的遷移最終意味着擁有多雲或混合雲環境。這可能會致使高度複雜的基礎架構，其中包含各類公共雲服務提供商和各類類型的雲服務，而且可能帶來許多安全風險。

　　Dickson說，在以云爲主的環境中解決網絡安全的早期步驟之一應該是下降複雜性。IDC估計，有80％的公司擁有不止一個基礎架構即服務（IaaS）提供商。

　　許多組織還但願使用來自不一樣提供商的多種軟件即服務（SaaS）和平臺即服務（PaaS）產品，由於它們但願減小運營支出並在爲用戶和用戶提供服務時得到更大的敏捷性。顧客。

　　擁有多個雲，每一個雲都有本身的特色，可能很難保護。「若是可能，請儘可能減小云提供商的數量，」 Dickson說。「更少的雲提供商一般意味着更少的安全提供商。供應商合併進一步下降了複雜性。」

　　4.將重點更多地放在檢測和響應上

　　Riley說，因爲放棄了對雲的某些控制，組織應該指望對雲活動進行更多的監視，以證實治理程序已經到位並正在被遵照。

　　「大多數CSP提供了必要的工具來檢測資源，工做負載和應用程序，以收集原始日誌數據，但可能會限制日誌數據的存儲位置。」 「將這些數據轉換爲有用的信息帶來了挑戰，而且可能須要CSP提供的或第三方的產品或服務，尤爲是在須要將日誌數據從一個地理區域轉移到另外一個地理區域的狀況下。」

　　Riley說，一些Gartner客戶更喜歡依靠現有的安全信息和事件管理（SIEM）工具，而且許多雲服務都支持更流行的服務。其餘客戶報告說，SIEM工具笨拙且嘈雜，更喜歡雲原生服務。

　　「可是，在投資另外一種產品以前，組織應該首先研究雲服務的內置日誌記錄，報告和分析功能。」

　　SaaS應用程序傾向於提供彙總，關聯和分析行爲的各類報告的集合。Riley說：「對於僅使用一個或幾個SaaS應用程序的組織來講，這些可能就足夠了。」 對於訂閱了許多SaaS應用程序的組織而言，雲訪問安全代理（CASB）或SaaS管理平臺（SMP）多是評估SaaS安全情況以及標準化控制和治理的更好選擇。

　　Riley說：「 IaaS和PaaS提供商提供了儀器所需的原語，並指望其客戶將輸出收集到能夠理解數據的服務中。」 「愈來愈多的IaaS和PaaS CSP提供本機事件分析和調查功能。」

　　此外，雲安全狀態管理（CSPM）工具提供了高效的機制，可用於評估工做負載的配置以及檢測和補救不合規設置。

　　5.部署數據加密

　　若是數據落入不法之徒的手中，數據加密是組織能夠用來保護數據的更強大的安全工具之一。

　　Dickson說：「默認狀況下，數據會離開場所，所以數據的保護在雲中變得很是重要。」 「必須對運動中的數據和靜止數據進行加密。

　　Riley說，加密提供了額外的邏輯隔離層。他說：「對於許多安全團隊來講，圍繞是否默認加密全部內容的爭論一直都在繼續着。」 對於IaaS和PaaS中的大容量存儲，合理的方法可能就是這樣作。它簡化了配置過程，避免了敏感數據被無心公開的狀況，而且對於僅刪除密鑰就破壞數據頗有用。」

　　加密還能夠做爲訪問控制策略的雙重檢查。「要讀取加密的對象，必須在兩個訪問控制列表上存在一個賬戶：對象自己的賬戶和對對象進行加密的密鑰的賬戶。」 「授予訪問權限時必須達成共識的機制表明着一種有效的縱深防護方式。」

　　Riley說，對於SaaS和PaaS中的應用層數據，這一決定更爲複雜。「在PaaS / SaaS應用程序的上下文以外加密數據會下降應用程序的功能，組織必須權衡功能和隔離之間該如何平衡。」

　　加密不能替代信任。他說：「對加密數據進行任何有用的處理都須要先對其進行解密，而後將其讀入內存，從而使其容易遭受基於內存的攻擊。」

　　6.將培訓和教育做爲優先事項

　　與任何其餘網絡安全計劃同樣，對用戶進行安全風險教育相當重要。對於許多組織和員工來講，遷移到雲仍然是一個相對較新的概念，所以須要優先考慮培訓和程序編寫指南。

　　CSA全球研究副總裁John Yeoh表示：「開始對本身和您的員工進行有關雲安全的教育。」 「有許多教育性文件和課程可供您學習有關雲中的安全基礎知識。」

　　CSA的基礎文檔名爲「雲計算關鍵領域的安全指南」，還有一個培訓課程，名爲「雲安全知識證書」。

　　Yeoh說：「對於那些使用特定雲服務和工具的人來講，瞭解這些工具很是重要。」 「提供商不斷在其服務中添加和更改功能。正確使用這些功能並瞭解標準配置對於安全使用這些服務相當重要。」

　　創建具備基本雲知識的安全文化「是經過減小人爲錯誤因素並提升對雲最佳實踐的認識來改善公司安全情況的重要一步。」教育還應該擴展到確切地瞭解雲提供商在安全性方面提供了什麼。CSA的雲控制矩陣使您能夠查看和比較雲服務提供商如何達到或超過基線安全要求。

　　Yeoh表示：「擁有業界正在實施的通用雲安全控制框架，能夠爲該雲服務提供商及其服務創造信任和保證。」 「肯定對於組織對該服務的使用相當重要的安全性要求，並確保經過框架中提供的控件知足這些要求。這種作法能夠加快採購流程並改善您的安全情況。」