云安全能力建設(shè)實(shí)踐指南
2023年09月25日
云計(jì)算技術(shù)的出現(xiàn)�,改變了數(shù)據(jù)計(jì)算和存儲的方式���,它解決了在海量數(shù)據(jù)之下�����,傳統(tǒng)數(shù)據(jù)存儲技術(shù)的性能瓶頸���,越來越受到企業(yè)組織的青睞,并得以快速普及���。隨著越來越多的敏感信息在線存儲于云上�,企業(yè)對業(yè)務(wù)和數(shù)據(jù)安全性的擔(dān)憂也進(jìn)一步加大���。
幸運(yùn)的是�,在云時代��,企業(yè)可以采取諸多措施和云安全最佳實(shí)踐來保護(hù)自己�����。雖然這些措施無法完全阻止每一種攻擊,但確實(shí)可以幫助企業(yè)加強(qiáng)防御�����、保護(hù)數(shù)據(jù)����,并切實(shí)落實(shí)云安全實(shí)踐。只要企業(yè)能夠做好安全防護(hù)的基本功����,實(shí)現(xiàn)云應(yīng)用的安全性或許比想象得要更加簡單。
為了幫助企業(yè)更好實(shí)現(xiàn)云計(jì)算應(yīng)用的安全性����,網(wǎng)絡(luò)安全知識分享社區(qū)eSecurity Planet會在Kolide與Okta公司的支持下,不定期更新發(fā)布《云安全能力建設(shè)最佳實(shí)踐》�����。在其不久前推出的2023版指南中���,安全研究人員給出了以下進(jìn)一步加強(qiáng)云安全能力建設(shè)的建議:
1. 建立安全責(zé)任共擔(dān)模式
在云計(jì)算環(huán)境中,企業(yè)并不能完全依靠自身的能力來實(shí)現(xiàn)安全性,而安全責(zé)任共擔(dān)模式���,明確了企業(yè)是云安全建設(shè)的最終責(zé)任人�,而云服務(wù)提供商同樣需要承擔(dān)一定的安全責(zé)任����。當(dāng)企業(yè)開啟云計(jì)算應(yīng)用之旅時,應(yīng)該全面檢查云服務(wù)商應(yīng)該具備的常見安全規(guī)則�����,盡量消除未來合作中的誤解�����,以免云安全控制過于寬松��。只要企業(yè)做好充分的安全性防護(hù)和檢查���,比如實(shí)施加密����、正確配置連接和設(shè)置����,云上的應(yīng)用和數(shù)據(jù)通常會很安全�����。
2. 選擇信譽(yù)良好的云服務(wù)商
企業(yè)要選擇信譽(yù)良好的云服務(wù)提供商����。由于每家云服務(wù)提供商都不一樣�����,所以做好研究工作���、找到滿足自身特定需求和安全要求的提供商很重要�����。企業(yè)應(yīng)該向公共云供應(yīng)商詢問有關(guān)其現(xiàn)有安全措施和流程的詳細(xì)問題����,包括:
服務(wù)商有什么樣的災(zāi)難恢復(fù)計(jì)劃�?
服務(wù)商落實(shí)了哪些措施來保護(hù)各訪問組件?
服務(wù)商愿意提供什么級別的安全性技術(shù)支持����?
服務(wù)商是否會定期進(jìn)行安全性滲透測試,測試結(jié)果如何��?
服務(wù)商是否對傳輸中數(shù)據(jù)和靜態(tài)數(shù)據(jù)進(jìn)行加密�?
服務(wù)商支持哪些身份驗(yàn)證方法?
服務(wù)商支持哪些合規(guī)需求�����?
3. 部署身份和訪問管理解決方案
未授權(quán)訪問是云計(jì)算應(yīng)用安全的最大挑戰(zhàn)之一���,因此構(gòu)建全面的身份和訪問管理(IAM)系統(tǒng)非常重要:
企業(yè)應(yīng)能夠基于最小特權(quán)和零信任概念來設(shè)計(jì)和實(shí)施訪問控制���。這需要限制用戶只能訪問完成任務(wù)所需的內(nèi)容,并謹(jǐn)慎處理所有訪問請求��。特權(quán)訪問管理(PAM)有助于保護(hù)最敏感賬戶的訪問���;
實(shí)施根據(jù)基于角色的訪問控制(RBAC)提供權(quán)限的IAM策略�����。這可以保證用戶的訪問是基于其在企業(yè)的獨(dú)特崗位提供的�����,降低不必要訪問的可能性�;
實(shí)施多因素身份驗(yàn)證(MFA)以提高安全性。即使惡意分子獲得用戶名和密碼等憑據(jù)�����,MFA也要求額外的驗(yàn)證(比如生物特征識別掃描或短信碼)���,從而提高了安全系數(shù)����;
優(yōu)先部署適用于私有數(shù)據(jù)中心和云環(huán)境的IAM解決方案���。這不僅簡化了最終用戶身份驗(yàn)證�,還能夠在各種IT環(huán)境中統(tǒng)一實(shí)施策略���。
4. 加強(qiáng)員工安全意識培訓(xùn)
為了防止黑客獲得云賬戶和服務(wù)的訪問憑據(jù)����,企業(yè)必須培訓(xùn)所有員工如何識別和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險��,主要措施包括:
對所有員工進(jìn)行全面的網(wǎng)絡(luò)安全意識培訓(xùn),解決這類問題:識別網(wǎng)絡(luò)安全威脅��、創(chuàng)建強(qiáng)密碼�����、識別社會工程攻擊以及探討風(fēng)險管理等話題�����。
強(qiáng)調(diào)影子IT的潛在風(fēng)險�,員工可能使用未經(jīng)批準(zhǔn)的工具和應(yīng)用程序�����,導(dǎo)致隱藏的漏洞����。
為安全工作人員提供專門培訓(xùn),使他們及時了解新出現(xiàn)的威脅和對策�����。
定期討論安全實(shí)踐�����,鼓勵員工負(fù)起責(zé)任,比如為所有員工制定安全標(biāo)準(zhǔn)�,討論數(shù)據(jù)隱私、密碼管理和物理場所安全等問題����,以及鼓勵公開討論安全規(guī)定和行業(yè)法規(guī)的重要性。
5. 建立統(tǒng)一的云安全策略
所有企業(yè)都應(yīng)該制定一個統(tǒng)一的云安全工作指導(dǎo)方針����,規(guī)定誰可以使用云服務(wù)、如何使用云服務(wù)以及哪些數(shù)據(jù)可以存儲在云端���。該策略還需要闡明員工必須使用的具體安全技術(shù)��,以保護(hù)云端數(shù)據(jù)和應(yīng)用程序�。為了闡明有效的云安全實(shí)踐�,研究人員給出了一個制定云安全策略的實(shí)例:
確定范圍
列出所有權(quán)和責(zé)任
界定云計(jì)算服務(wù)的安全使用
確定評估風(fēng)險的范圍
實(shí)施安全控制措施
制定安全事件恢復(fù)計(jì)劃
通過培訓(xùn)增強(qiáng)安全意識
嚴(yán)格執(zhí)行
相關(guān)文檔
審核和修訂
6. 加強(qiáng)端點(diǎn)側(cè)安全防護(hù)
由于端點(diǎn)設(shè)備可以直接連接到云,因此云服務(wù)的使用加大了對有效端點(diǎn)安全的需求���。新的云項(xiàng)目讓企業(yè)有機(jī)會重新審視安全技術(shù)和應(yīng)對新威脅��。在企業(yè)實(shí)施的縱深化安全防御計(jì)劃中���,應(yīng)該全面包括防火墻���、反惡意軟件、入侵檢測和訪問控制��。在復(fù)雜的端點(diǎn)應(yīng)用環(huán)境中���,應(yīng)對新型端點(diǎn)安全問題時可以使用自動化安全工具,例如端點(diǎn)檢測和響應(yīng)(EDR)工具以及端點(diǎn)保護(hù)平臺(EPP)�,也可以考慮其他控制措施包括補(bǔ)丁管理、端點(diǎn)加密�、VPN和內(nèi)部威脅防護(hù)等。
7.全面的數(shù)據(jù)加密
加密是任何云安全策略的關(guān)鍵部分����。企業(yè)不僅應(yīng)該對云平臺上存儲的任何數(shù)據(jù)進(jìn)行加密,還應(yīng)該對傳輸中數(shù)據(jù)同樣進(jìn)行加密�����,因?yàn)閭鬏斨械臄?shù)據(jù)更容易受到攻擊���。當(dāng)前�����,主流的云計(jì)算服務(wù)商都會提供加密和密鑰管理服務(wù)�����,一些第三方云應(yīng)用軟件公司也提供加密方案���。研究人員建議企業(yè)尋找一種與現(xiàn)有工作流程無縫配合的加密產(chǎn)品�����,那樣最終用戶無須另為遵守企業(yè)加密政策而操心�����。
8. 使用入侵檢測等基礎(chǔ)防御技術(shù)
入侵檢測和防御系統(tǒng)(IDPS)是當(dāng)前應(yīng)用最廣泛的安全工具之一�。它們監(jiān)測��、分析和響應(yīng)網(wǎng)絡(luò)流量���,可以作為獨(dú)立的解決方案使用��,也可以作為幫助保護(hù)網(wǎng)絡(luò)的另一種工具(比如防火墻)的一部分使用���。主流的云服務(wù)商都會提供SaaS化的IDPS和防火墻服務(wù)�,它們還通過各自的云應(yīng)用平臺有償提供其他網(wǎng)絡(luò)安全公司的服務(wù)�。如果企業(yè)經(jīng)常需要處理云端敏感數(shù)據(jù),這類安全服務(wù)將會物有所值�。
9. 嚴(yán)格遵守合規(guī)要求
對于需要收集個人身份信息的企業(yè)會在客戶隱私和數(shù)據(jù)安全方面面臨嚴(yán)格的監(jiān)管。在某些地區(qū)經(jīng)營的企業(yè)可能還會面臨當(dāng)?shù)卣奶厥夂弦?guī)要求���。
在確定使用新的云計(jì)算服務(wù)之前��,企業(yè)組織應(yīng)該嚴(yán)格審查特定的合規(guī)要求,并確保云服務(wù)提供商能夠滿足相關(guān)數(shù)據(jù)安全的合規(guī)要求�����。保持合規(guī)是云應(yīng)用安全的重中之重���。監(jiān)管部門會要求企業(yè)對任何違規(guī)行為負(fù)責(zé)����,即使安全問題源自云提供商����。
10. 考慮CASB解決方案
當(dāng)現(xiàn)有的安全方法不盡如人意時���,尋求更先進(jìn)的技術(shù)支持很重要。云訪問安全代理(CASB)是為實(shí)施云安全標(biāo)準(zhǔn)而專門構(gòu)建的解決方案����,隨著云的使用日益廣泛,這類技術(shù)越來越受到關(guān)注�����。CASB可以追蹤非法的云應(yīng)用程序活動����,非常適合應(yīng)用了多種云服務(wù)的企業(yè)組織。
CASB提供眾多云安全服務(wù)����,包括DLP、檢測惡意軟件�����、協(xié)助合規(guī)以及控制云應(yīng)用程序訪問和影子IT���。這類解決方案可以與各種SaaS和IaaS平臺兼容����,提供完整的基礎(chǔ)設(shè)施安全。
此外����,如果用戶在云端運(yùn)行工作負(fù)載和應(yīng)用程序,云原生應(yīng)用程序保護(hù)(CNAPP)和云工作負(fù)載保護(hù)平臺(CWPP)也是保護(hù)云基礎(chǔ)架構(gòu)和數(shù)據(jù)的很好選擇���,選型新一代云安全解決方案取決于企業(yè)的云安全需求以及與現(xiàn)有基礎(chǔ)設(shè)施的互操作性�����。
11. 進(jìn)行安全性審計(jì)和滲透測試
無論企業(yè)與外部安全公司合作還是自主建設(shè)云安全能力�,專家都建議落實(shí)以下安全實(shí)踐:
滲透測試:檢查當(dāng)前云安全解決方案的可靠性��,識別可能危及數(shù)據(jù)和應(yīng)用程序的漏洞���。
漏洞掃描:使用云漏洞掃描器以檢測錯誤配置及其他漏洞,增強(qiáng)云環(huán)境的安全態(tài)勢���。
定期安全審計(jì):評估所有安全廠商和控制措施�,以確定其功能,并確保遵守約定的安全條件和標(biāo)準(zhǔn)���。
訪問日志審計(jì):確保只有授權(quán)的人才能訪問敏感數(shù)據(jù)和云應(yīng)用程序���,改進(jìn)訪問控制和數(shù)據(jù)安全措施。
12. 監(jiān)控所有的安全日志
對所有的安全日志進(jìn)行監(jiān)控其實(shí)是如今最有效的云安全方案之一��。企業(yè)應(yīng)該將云服務(wù)登錄數(shù)據(jù)整合到安全信息和事件管理(SIEM)系統(tǒng)�����,以便集中監(jiān)控和響應(yīng)���。日志記錄可以幫助系統(tǒng)管理員和安全團(tuán)隊(duì)監(jiān)視用戶活動����,并檢測未經(jīng)批準(zhǔn)的修改和活動�����。萬一攻擊者獲得訪問權(quán)限并進(jìn)行篡改����,完整的日志提供了其行為的清晰記錄�,SIEM工具便于迅速化解����,以限制損害。
有效的日志記錄對于處理錯誤配置也很重要�,因?yàn)樗阌诟櫩赡軐?dǎo)致漏洞的更改,以便采取預(yù)防措施��。它還有助于發(fā)現(xiàn)訪問權(quán)限過大的人�,以便進(jìn)行更改,從而減小可能的危險���。
13. 減少云上的錯誤配置
云環(huán)境中的錯誤配置是云環(huán)境中最常見的漏洞類型之一�����,包括云上的網(wǎng)絡(luò)系統(tǒng)和容器系統(tǒng)等��。這會導(dǎo)致云計(jì)算應(yīng)用出現(xiàn)嚴(yán)重安全隱患����。這些錯誤配置將嚴(yán)重?fù)p害云應(yīng)用的防護(hù)能力����,造成相關(guān)云訪問控制措施的缺失或失效。因此��,企業(yè)不僅要記錄錯誤配置數(shù)據(jù)����,還要采取主動措施以減少存儲桶、API�、連接、敞開端口�、權(quán)限和加密等方面的錯誤配置。為了減少云上的錯誤配置��,企業(yè)的IT或安全團(tuán)隊(duì)有必要做好以下幾點(diǎn):
準(zhǔn)確配置每個存儲桶或每組存儲桶�����;
與開發(fā)團(tuán)隊(duì)合作�����,以確保Web云地址設(shè)置正確���;
確保從不使用默認(rèn)的訪問權(quán)限�����;
確定所需的用戶訪問級別(僅查看或編輯權(quán)限)���,并相應(yīng)地配置每個存儲桶���;
云SIEM、CWPP��、CSPM和CNAPP等可以助一臂之力�。
