COVID-19大流行如何改变了传统的云安全保护策略流行改变了一些云用户的使用策略。一半的云调查受访者表示,由于远程工作的需求不断增长,他们的云使用量将比原计划大得多。其他受访者表示,鉴于难以访问遗留数据中心和供应链延迟,他们的组织可能会加快迁移计划。令人担忧的是,由于云保护的脆弱性,大多数迁移到云的组织已经在努力应对安全问题。在网络安全业内人士发布的《2020年云安全报告》中,75%的受访者表示对公有云安全“非常关注”或“极度关注”。考虑到68%的受访者表示他们的雇主使用两个或更多公共云提供商进行安全备份,这意味着安全团队需要使用多种本地工具来尝试在他们雇主的云基础设施中实施安全。这些担忧共同引发了一些重要问题,例如为什么组织在保护云环境方面遇到了如此困难的时期?他们面临的挑战是什么?为此,本文重点介绍了组织在保护云环境时通常面临的三个挑战:配置错误、网络安全监控功能有限以及未受保护的云运行时环境。在对每个问题进行简短讨论后,我们就组织如何应对这些挑战并增强其云安全性提供了建议。1.云和容器错误配置云错误配置是指管理员无意中为云系统部署了与组织安全策略不一致的设置,错误配置有可能危及组织基于云的数据的安全性,但是,危害程序特定于受影响的资产或系统。用更专业的术语来说,攻击者可以利用其环境中的证书或软件漏洞,并最终传播到受害者环境的其他区域。攻击者利用受感染节点内的提升权限来远程访问其他节点、探测不安全的应用程序和数据库,或者只是滥用薄弱的网络控制。然后,他们可以通过将数据复制到Web上的匿名节点或创建存储网关以从远程位置访问数据来在没有监视的情况下窃取组织的数据。防御者可能难以检测到错误配置。更重要的是,大多数企业只能使用手动方式来管理云配置,而攻击者会使用自动化方式来寻找组织云防御中的漏洞。需要注意的是,这种威胁不仅仅是理论上的。DivvyCloud(云基础设施自动化平台)在其2020年云错误配置报告中写道,2018年至2019年间,公开报告的主要由云错误配置引起的数据泄露事件有196起。这些事件总共暴露了超过330亿条记录,并使受害组织损失了总计5万亿美元。2.有限的网络安全监控能力网络安全监控能力意味着组织知道网络中发生了什么,包括连接到网络的硬件和软件以及正在发生的网络事件。然而,由于网络安全监控能力有限,组织往往缺乏对潜在或现有威胁的认识,例如攻击者利用错误配置事件渗透网络、安装恶意软件或横向移动受感染目标以获取对敏感数据的访问权限。然而,在云端实现全面的网络安全监控并不总是那么容易。正如HelpNetSecurity指出的那样,管理员无法像通过数据中心的交换机或防火墙那样轻松地访问其环境的网络流量,因为他们无法直接访问CSP提供的云基础设施。相反,他们需要浏览CSP的产品列表。这些工具可能包括也可能不包括提供有关设备如何互连的有价值(或完整)洞察力的工具。这并不是云与传统数据中心安全性之间唯一明显的区别。默认情况下,计算资源是分段的,这意味着管理员有时需要比IP地址更多的数据点来跟踪基于云的对象。.它还要求管理员使用角色和策略来启用特定连接,而不是依赖防火墙来阻止某些连接尝试。3.未受保护的云运行环境除了配置错误和网络安全监控不佳之外,还有运行环境问题。如果不加以保护,云运行时环境会为恶意行为者提供大量机会,攻击者可以通过这些机会危害组织。例如,他们可以利用组织自己的代码中的漏洞,或者在运行时环境中执行的应用程序使用的软件包中的漏洞来渗透网络。保护云运行时环境的第一个问题是组织有时不知道他们在云中的安全职责是什么,或者缺乏相关的安全管理技能。在公共云中拥有资产的组织与CSP共同承担云安全责任。前者负责“云端”的安全,后者负责保障“云端”的安全。有时组织不理解这种责任共担模型的含义,或者他们将难以履行这些责任,这意味着他们可能无法加强云安全或实施CSP可用的措施。了解什么类型的安全工具适用于云计算也是一个问题,确保本地IT安全的工具、方法和技能通常在云计算中不起作用,在云计算中网络安全受到攻击技术的挑战要领先安全防护技术。最重要的是,从内部部署到云计算的快速转变催生了大量针对特定点的解决方案,这些解决方案通常具有重叠的功能,这使得保护云实例的工作变得非常复杂。在某些情况下,组织可能认为他们可以应用传统的防病毒解决方案来覆盖他们的云系统和数据,但这些解决方案无法解决通常针对云工作负载的威胁。如何应对这些威胁虽然未来不确定,但保护云工作负载的工作簿相对简单。为了帮助解决错误配置问题,组织可以遵循Gartner的《云工作负载保护平台市场指南》并使用安全配置管理来为连接到网络的资产建立基线,监控这些资产是否偏离该基线,并在偏离时将其资产恢复到批准的基线。.此外,组织需要自动防御来保护他们的系统免受可能滥用错误配置或其他安全漏洞的自动攻击。至于网络安全的监控能力,重要的是不仅要知道网络上有什么,还要知道哪些资产可能受到攻击。这可以通过SentinelOne的Ranger技术等资产发现工具来实现,该工具可以通过将受保护的端口用作传感器来提供设备发现和跨网络的恶意设备隔离,而不会增加资源消耗或需要额外的硬件。最后,组织可以使用包含工作负载的运行时保护和EDR主动实时应对数字威胁,从而保护云运行时环境。这可能包括诸如应用程序控制引擎之类的工具,它可以锁定容器并保护它们免受未经授权的安装和滥用攻击者工具,无论是合法的LOLBins还是自定义恶意软件。本文翻译自:https://www.sentinelone.com/blog/three-key-challenges-for-cloud-security-in-a-world-changed-by-covid-19/如有转载请注明原地址。
