美国国家标准与技术研究院(NIST)网络安全框架是改进IT指标和标准的宝贵工具,尤其是数据安全保护。研究表明,近三分之二的组织认为安全是采用云技术的首要挑战,这使得NIST网络安全框架成为重视数据安全的IT领导者的宝贵工具。然而,随着越来越多的企业采用越来越复杂的多云和混合云环境,复制NIST网络安全框架却隐藏着巨大的风险,因为NIST网络安全框架忽略了很多关键的云安全问题。不幸的是,NIST标准为大量企业和组织(从小型企业到大型政府组织)制造了一种错误的安全感。因为这些企业并没有意识到,尽管NIST安全框架具有诸多优势,但也为网络内部埋下了云安全问题的巨大隐患。下面,我们简要总结了NIST安全框架遗漏的四个关键云安全问题。日志文件和审计报告许多组织会惊讶地发现没有NIST标准规定日志文件应保留30天以上。考虑到日志中存在的信息量,30天的保留期太短了,这对组织(尤其是大型企业)的安全报告提出了重大挑战。目前的30天限制根本不够,因为一般企业需要四个多月的时间才能检测到数据泄露。扩展审计日志保留可确保IT团队拥有调查安全事件来源所需的取证数据,这是遵守GDPR等数据隐私法规的关键步骤。云(数据)安全的责任共担是一个真正令人头疼的问题,尤其是在使用多云或混合云环境的企业中。SaaS等高级云平台需要大量IT驱动的安全责任。在PaaS和SaaS解决方案中,身份和访问管理是一项共同责任,需要有效的实施计划,包括身份提供者的配置、管理服务的配置、用户身份的建立和配置以及服务访问控制的实施。随着全球企业数字化转型计划的推进和远程办公在大流行期间变得更加普遍,越来越多的组织正在将业务应用程序迁移到云托管环境。尽管云计算责任分担模型明确定义了云提供商及其用户的安全义务以确保问责制,但在可见性和安全监控应用程序方面仍然存在差距需要解决。随着越来越多的企业选择云计算来节省资金和改善业务,企业比以往任何时候都更需要弥合可见性和安全监控差距,以实现最大的安全性。租户代理NIST需要确定最低权限访问的范围,但不包括租户代理或“虚拟租户”。虚拟租户将整个环境的区域隔离开来,防止管理员弄乱不属于他们的区域。通过让管理员控制其“虚拟”区域,帮助保护M365中的资源和数据。可以理解的是,在涉及私人个人信息(PII)和知识产权时,缺少租户代理会带来重大的安全挑战。因此,组织(尤其是大型、分布式组织)应该考虑采用能够对特定业务部门的访问进行分段的工具,以提高整体安全水平。管理员角色和规则Microsoft应用程序管理员(MicrosoftApplicationAdministrator)包含大约75个属性,但几乎没有人(无论是Microsoft还是企业IT人员)都知道它们的确切含义。如果您授予用户应用程序管理员权限,则几乎不可能确切知道该用户拥有何种访问权限,从而造成不必要的安全风险。尽管IT人员在工作中经常需要执行某些功能,例如创建新用户帐户和更改密码,但这些“流动”功能并不容易分配给特定角色。这种流动性使得传统的安全方法(例如基于角色的访问控制)变得不那么有效。值得注意的是,在涉及管理员角色和规则时,NIST并没有死,功能访问控制(FAC)就是其中之一。RBAC是实现最小权限访问的一种方式,功能访问控制(FAC)是实现RBAC的一种方式。作为NIST认可的方法,FAC为IT管理员分配功能权限提供了一种更细粒度的方法,使企业能够调整特定用户访问权限的大小,从而提高安全性。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
