將業(yè)務(wù)遷移到云端的企業(yè)將會(huì)獲得一些顯著的好處,即冗余、成本節(jié)約、易于集成,但在云端托管應(yīng)用程序帶來的挑戰(zhàn)和安全風(fēng)險(xiǎn)也很多。對(duì)于企業(yè)的首席技術(shù)官和首席信息安全官來說,缺乏可視性、內(nèi)部或外部威脅因素可能會(huì)泄露數(shù)據(jù),以及合規(guī)性令人擔(dān)憂。但面臨的問題并不只有這些。他們還發(fā)現(xiàn),與真正將安全性和合規(guī)性集成到云端相比,加強(qiáng)其安全性通常是亡羊補(bǔ)牢的做法,而很多企業(yè)則對(duì)傳統(tǒng)的內(nèi)部部署安全控制進(jìn)行了抨擊,需要更加主動(dòng)和全面的方法,以便在對(duì)云安全有效的至關(guān)重要的所有領(lǐng)域?qū)崿F(xiàn)適當(dāng)級(jí)別的控制實(shí)施、覆蓋范圍和成熟度。
本文將對(duì)企業(yè)如何更有效地保護(hù)云中信息進(jìn)行分析。以下最佳實(shí)踐和見解源于保護(hù)財(cái)富100強(qiáng)企業(yè)免受數(shù)據(jù)泄露的經(jīng)驗(yàn),并且應(yīng)該成為企業(yè)尋求增強(qiáng)其在云中的信息安全態(tài)勢(shì)的首要考慮因素。
部署和驗(yàn)證數(shù)據(jù)丟失預(yù)防功能
對(duì)于遷移到云端的公司來說,最重要的考慮因素之一是數(shù)據(jù)丟失預(yù)防(DLP)功能的部署和驗(yàn)證。對(duì)于任何軟件即服務(wù)(SaaS)解決方案(包括Office 365、Amazon Web Services、Salesforce或Workday),實(shí)現(xiàn)有效數(shù)據(jù)丟失預(yù)防(DLP)的第一步是建立數(shù)據(jù)標(biāo)簽實(shí)踐。由于數(shù)據(jù)丟失預(yù)防(DLP)解決方案依賴于正則表達(dá)式或基于模式的搜索來識(shí)別和保護(hù)數(shù)據(jù)丟失,因此無效的數(shù)據(jù)標(biāo)記做法幾乎不可能防范泄漏風(fēng)險(xiǎn)。人們建議企業(yè)以最大的敏感性處理未標(biāo)記的文檔,并通過創(chuàng)建嚴(yán)格的數(shù)據(jù)丟失預(yù)防(DLP)策略阻止它們離開企業(yè)。這可以通過自動(dòng)隔離違反這些策略的文件來實(shí)現(xiàn)。
維護(hù)敏感數(shù)據(jù)安全的組織需要評(píng)估由云計(jì)算訪問安全代理(CASB)解決方案提供的基于主機(jī)的敏感數(shù)據(jù)發(fā)現(xiàn)解決方案和/或基于網(wǎng)絡(luò)的數(shù)據(jù)丟失預(yù)防(DLP)。云計(jì)算訪問安全代理(CASB)提供了檢查云計(jì)算環(huán)境中所有客戶端到服務(wù)器流量的能力,以揭示隱藏在傳輸層安全性(TLS)加密通信中的威脅或惡意文件。云計(jì)算訪問安全代理(CASB)還使系統(tǒng)管理員能夠檢測(cè)從云計(jì)算到惡意命令和控制(C2)服務(wù)器的未授權(quán)網(wǎng)絡(luò)呼叫。云計(jì)算訪問安全代理(CASB)工具提供的審計(jì)功能可以輕松地與內(nèi)部企業(yè)分層防御集成。此集成提供整個(gè)企業(yè)威脅防護(hù)功能的單一控制平臺(tái)視圖。
大型跨國公司需要有效保護(hù)敏感數(shù)據(jù)免于泄漏,但可能缺乏對(duì)其各種云計(jì)算解決方案足跡的完整理解。這使得完全保護(hù)企業(yè)所需的數(shù)據(jù)丟失預(yù)防(DLP)覆蓋幾乎不可能實(shí)現(xiàn)。通過有效的身份和訪問管理實(shí)踐(如單點(diǎn)登錄和粒度授權(quán)),企業(yè)可以通過有效的身份和訪問管理實(shí)踐(如單點(diǎn)登錄和粒度授權(quán))實(shí)現(xiàn)對(duì)其云足跡的更大可見性。這些控制有助于企業(yè)確保通過其各種云計(jì)算解決方案的敏感流量由云計(jì)算訪問安全代理(CASB)檢查。
最近的安全漏洞已經(jīng)強(qiáng)調(diào)了與未能對(duì)訪問包含敏感信息的文件實(shí)施細(xì)粒度授權(quán)相關(guān)的風(fēng)險(xiǎn)。企業(yè)有效地限制對(duì)授權(quán)組成員的訪問至關(guān)重要。當(dāng)實(shí)施安全策略時(shí),系統(tǒng)管理員還需要考慮對(duì)組織內(nèi)每個(gè)組執(zhí)行CRUD(“創(chuàng)建、讀取、更新和刪除”)和下載功能。除此之外,還必須對(duì)臨時(shí)員工實(shí)施有條件的訪問,以確保訪問僅限于組織批準(zhǔn)的設(shè)備。
成熟的身份和訪問管理控制
身份和訪問管理(IAM)功能是在云中實(shí)現(xiàn)成熟的信息安全狀態(tài)所不可或缺的。作為一個(gè)起點(diǎn),企業(yè)應(yīng)考慮單點(diǎn)登錄(SSO)、訪問請(qǐng)求和企業(yè)和員工自有設(shè)備的認(rèn)證,以及特權(quán)訪問管理。
有效身份和訪問管理(IAM)計(jì)劃的一個(gè)基本原則是通過集中化可以最有效地實(shí)現(xiàn)和維護(hù)安全性。單點(diǎn)登錄(SSO)是一種在不同平臺(tái)之間統(tǒng)一用戶身份驗(yàn)證的機(jī)制,就是這一概念的一個(gè)示例,它提供了一個(gè)單一控制平臺(tái)視圖,可以了解誰在對(duì)企業(yè)服務(wù)器進(jìn)行身份驗(yàn)證,同時(shí)促進(jìn)更有效的員工入職和離職。此外,單點(diǎn)登錄(SSO)通過實(shí)施多因素身份驗(yàn)證(MFA)為更嚴(yán)格的身份驗(yàn)證提供了基礎(chǔ)。
同樣,企業(yè)也應(yīng)考慮從身份和訪問管理(IAM)角度集中管理應(yīng)用程序的舉措(例如訪問請(qǐng)求和認(rèn)證以及定期用戶訪問評(píng)審)。根據(jù)經(jīng)驗(yàn),此類計(jì)劃可以提高整體身份和訪問管理(IAM)成熟度,并確保為應(yīng)用程序和用戶正確實(shí)施安全策略。
人們還將特權(quán)訪問管理(PAM)視為身份和訪問管理(IAM)狀態(tài)的核心。特權(quán)訪問管理(PAM)可幫助組織限制和監(jiān)控云中特權(quán)賬戶(包括服務(wù)賬戶)的使用,以降低特權(quán)憑據(jù)被攻擊者濫用的風(fēng)險(xiǎn)。人們已經(jīng)看到了財(cái)富100強(qiáng)公司的特權(quán)憑證遭到入侵和濫用以在整個(gè)網(wǎng)絡(luò)中種植遠(yuǎn)程shell的事件??梢酝ㄟ^實(shí)施更細(xì)粒度的身份和訪問管理(IAM)策略來防止這些攻擊。
通過強(qiáng)大的端到端加密保護(hù)靜態(tài)數(shù)據(jù)和傳輸
在設(shè)計(jì)云安全策略時(shí),企業(yè)需要確定如何使用強(qiáng)大的端到端加密來保護(hù)靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)。
保護(hù)云中靜態(tài)數(shù)據(jù)的最關(guān)鍵方面是保護(hù)云計(jì)算服務(wù)提供商提供的密鑰。許多企業(yè)未能安全地處理這些密鑰。即使在規(guī)模最大的公司,仍然在將密鑰的網(wǎng)址輸入互聯(lián)網(wǎng)瀏覽器時(shí)而無意中暴露公鑰。這種常見的錯(cuò)誤可能不僅會(huì)導(dǎo)致云平臺(tái)的憑據(jù)和配置泄漏,還會(huì)導(dǎo)致云實(shí)例被攻擊者完全接管。
對(duì)于傳輸中的數(shù)據(jù),大多數(shù)公司已經(jīng)意識(shí)到通過TLS等加密通道發(fā)送數(shù)據(jù)的好處。但是需要注意的是,在處理敏感信息(例如醫(yī)療保健或財(cái)務(wù)數(shù)據(jù))時(shí),添加另一層加密措施以防止攻擊至關(guān)重要。例如,企業(yè)可能會(huì)考慮加密有效負(fù)載并固定TLS證書。
執(zhí)行應(yīng)用程序安全性評(píng)估
隨著DevOps等敏捷開發(fā)方法的快速普及,將安全性有效集成到企業(yè)的軟件開發(fā)生命周期對(duì)于安全地利用云計(jì)算至關(guān)重要。企業(yè)對(duì)于云安全方面最大的誤解之一是相信云計(jì)算服務(wù)提供商將為其托管的應(yīng)用程序和數(shù)據(jù)庫集成提供安全措施。實(shí)際上,大多數(shù)云計(jì)算服務(wù)提供商(包括AWS、Microsoft和Google)都采取的是共擔(dān)責(zé)任模式,企業(yè)需要承擔(dān)以下安全責(zé)任:
•消費(fèi)者數(shù)據(jù);
•應(yīng)用安全;
•身份和訪問管理;
•網(wǎng)絡(luò)和防火墻配置;
•客戶端配置;
•服務(wù)器端加密;
•數(shù)據(jù)完整性身份驗(yàn)證。
而云計(jì)算服務(wù)提供商需要負(fù)責(zé)冗余、存儲(chǔ)、數(shù)據(jù)庫、網(wǎng)絡(luò)的安全。因此,將安全性和合規(guī)性集成到企業(yè)現(xiàn)有的持續(xù)集成和持續(xù)部署管道中變得至關(guān)重要。
為了提高云計(jì)算應(yīng)用程序的安全性,企業(yè)應(yīng)首先在安全開發(fā)生命周期(SDLC)中盡早識(shí)別安全漏洞。實(shí)際上,這意味著企業(yè)應(yīng)該在開發(fā)的最初階段融合安全架構(gòu)審查和安全代碼審查,以推動(dòng)代碼的安全實(shí)施。許多安全解決方案供應(yīng)商已經(jīng)采用這種方法,為開發(fā)人員提供安全工具,其中包括培訓(xùn)、在集成開發(fā)環(huán)境(IDE)和持續(xù)集成管道中集成安全實(shí)踐。人們目前看到的問題包括安全解決方案供應(yīng)商的編程語言依賴性,盡管大型企業(yè)的開發(fā)生態(tài)系統(tǒng)中存在過多的編程語言。這些工具無法在不同的編程語言中提供相應(yīng)的質(zhì)量。例如,大型企業(yè)可以利用Node.js和Java安全工具有效識(shí)別Node.js漏洞,同時(shí)忽略Java中的安全風(fēng)險(xiǎn)。面臨這些挑戰(zhàn)的企業(yè)需要優(yōu)先考慮其工具的定制,以實(shí)現(xiàn)跨編程語言的統(tǒng)一有效性。此外,企業(yè)可以利用基準(zhǔn)測(cè)試工具來了解各種安全解決方案供應(yīng)商的功效。
評(píng)估生產(chǎn)安全工具的功效對(duì)于保護(hù)云計(jì)算應(yīng)用程序也至關(guān)重要。建議首先啟動(dòng)一個(gè)針對(duì)壓力測(cè)試關(guān)鍵安全控制的紫色團(tuán)隊(duì)練習(xí)。這種方法允許企業(yè)識(shí)別是否存在可能危及其云實(shí)例的攻擊路徑。為了更好地認(rèn)識(shí)到企業(yè)可以從安全團(tuán)隊(duì)中獲益,企業(yè)需要了解生產(chǎn)安全評(píng)估選項(xiàng)的前景。紅色團(tuán)隊(duì)練習(xí)提供了對(duì)手對(duì)企業(yè)安全態(tài)勢(shì)的看法,藍(lán)色團(tuán)隊(duì)練習(xí)提供了維護(hù)者的觀點(diǎn),紫色團(tuán)隊(duì)結(jié)合了對(duì)手和防守者的觀點(diǎn),提供了對(duì)信息安全風(fēng)險(xiǎn)的全面評(píng)估。人們看到企業(yè)尋求建立或增強(qiáng)紫色團(tuán)隊(duì)能力的趨勢(shì),有時(shí)在外部專家的幫助下實(shí)現(xiàn)。根據(jù)經(jīng)驗(yàn),企業(yè)可以通過將人工技術(shù)與自動(dòng)化方法相結(jié)合,最有效地進(jìn)行生產(chǎn)中的紫色團(tuán)隊(duì)練習(xí)。這使企業(yè)可以減少因任何已識(shí)別的安全問題而導(dǎo)致的停機(jī)時(shí)間。重要的是,企業(yè)不要在質(zhì)量保證環(huán)境中進(jìn)行紫色團(tuán)隊(duì)練習(xí),因?yàn)檫@可能會(huì)降低其結(jié)果的有效性。
紫色團(tuán)隊(duì)評(píng)估可以幫助識(shí)別生產(chǎn)中的安全漏洞和業(yè)務(wù)差距,提供對(duì)分層防御(例如Web應(yīng)用程序防火墻(WAF)、安全網(wǎng)關(guān)、安全信息和事件管理(SIEM)、單點(diǎn)登錄和運(yùn)行)的功效的可見性時(shí)間應(yīng)用程序自我保護(hù)(RASP)。
保持強(qiáng)大的記錄和監(jiān)控能力
強(qiáng)大的日志記錄和監(jiān)控功能對(duì)于組織快速檢測(cè)和響應(yīng)影響其云部署的惡意活動(dòng)至關(guān)重要。傳統(tǒng)上,提供日志收集和分析的安全信息和事件管理(SIEM)系統(tǒng)在安裝和維護(hù)方面具有挑戰(zhàn)性,日志保留也非常密集。由于模塊化功能,更新的安全信息和事件管理(SIEM)系統(tǒng)更易于部署。隨著企業(yè)越來越多地將日志存儲(chǔ)在云中,也減少了內(nèi)部部署的存儲(chǔ)。
企業(yè)領(lǐng)導(dǎo)者應(yīng)該努力使用安全信息和事件管理(SIEM)來實(shí)現(xiàn)針對(duì)云計(jì)算應(yīng)用程序和基礎(chǔ)設(shè)施利用的攻擊模式的單一控制平臺(tái)視圖。這是通過來自各種發(fā)現(xiàn)源(WAF或RASP)的日志聚合來實(shí)現(xiàn)的。企業(yè)應(yīng)該驗(yàn)證信息和事件管理(SIEM)功能的有效性,以創(chuàng)建連續(xù)的反饋循環(huán),從而使攻擊之間的共性成為分層防御和/或應(yīng)用程序代碼的規(guī)則集的變化。人們看到許多公司未能建立這種反饋循環(huán),影響了他們保護(hù)云中信息的能力。
屢見不鮮的數(shù)據(jù)泄露事件強(qiáng)調(diào)了這樣一個(gè)事實(shí),全球規(guī)模最大的企業(yè)也一直在與云安全作斗爭(zhēng)。企業(yè)的領(lǐng)導(dǎo)團(tuán)隊(duì)必須通過在其持續(xù)集成/持續(xù)部署(CI/CD)管道和生產(chǎn)環(huán)境中集成有效的安全控制和流程來應(yīng)對(duì)云安全風(fēng)險(xiǎn)。此外,安全團(tuán)隊(duì)需要在非生產(chǎn)環(huán)境和生產(chǎn)環(huán)境之間創(chuàng)建一個(gè)連續(xù)的反饋循環(huán),以增強(qiáng)企業(yè)的整體安全態(tài)勢(shì)。