如今,越来越多的组织正在将其运营从本地基础设施迁移到云平台。据研究机构Gartner预测,到2022年,云计算服务行业的增速将是整体IT服务增速的三倍。典型的企业依赖于公共云和私有云以及传统的本地基础设施的组合。随着越来越多的企业将关键操作转移到云计算应用程序(例如,选择Salesforce进行客户关系管理或使用MicrosoftAzure托管他们的数据库),网络攻击媒介不断演变。然而,随着混合云和多云战略的不断采用,仅保护云中的资产是不够的。组织还需要保护进出云以及云之间和云内的数据路径。外部托管的服务和应用程序不是孤立的,它们可以连接到企业的运行环境。扩展生态系统的一部分的风险会危及整体。此外,主要的云计算提供商仅提供有限的本地安全控制。这些通常包括安全组、Web应用程序防火墙和日志流。但是,仅靠这些安全控制不足以抵御网络攻击和高级持续性威胁(APT)。存在许多漏洞,尤其是那些允许网络攻击者几乎完全不受阻碍地在云平台内和云平台之间横向移动的漏洞。全方位的威胁然而,组织可以跨混合生态系统保护业务,在网络攻击者到达关键业务资产之前阻止他们的恶意攻击。云计算安全策略需要解决四个潜在问题:从一个云平台过渡到另一个云平台:网络攻击者破坏一个云平台环境后,他们的目标可能是切换到另一个云平台或在同一云计算基础设施内。设施中分割的其他系统。云平台资产之间:例如,试图获得更高的权限以访问存储或配置资产等关键服务;或破坏应用程序服务器(如Tomcat)以攻击其各自连接的云计算数据库。从组织网络到云计算网络:恶意行为者可能会尝试获取内部DevOps团队使用的MicrosoftAzure凭据,以提升对云计算系统的访问权限。在此之前,可能需要在组织网络内进行大量横向移动才能到达DevOps机器。一旦进入Azure环境,网络攻击者就可以开始在系统和服务之间移动以搜索有价值的数据以及特权用户和角色。从云到本地资产:在这种情况下,恶意行为者使用各种技术(例如暴力攻击)来破坏面向公众的Web应用程序服务器,并将它们用作获取后端企业系统凭据的工具.一旦网络攻击者获得访问权限,他最终可能会以本地数据库为目标,并希望从云端连接到本地环境,或者可能有一个可以访问Azure的恶意内部人员试图转移到另一个目标。为了打击网络攻击者,这种方法仍然很常见:发现、监控和消除连接和凭证违规,同时提倡基于端点的欺骗策略,在整个网络的端点和服务器上传播对网络攻击者有用的虚假对象。现在还有一些新功能可以解决云计算环境中的许多挑战,防止网络攻击者移动到任何地方。广泛的欺骗和更大的可见性以下最佳实践将使安全团队能够在云生态系统中获得更大的可见性和潜在漏洞。发现并纠正特权凭证违规:查看所有常见SaaS应用程序(包括GSuite、Box、Salesforce等)上的不安全使用情况和用户,可以在未启用多因素身份验证的情况下减轻影子IT经理的攻击。违反用户、外部帐户和禁用帐户创建。管理云攻击面:可视化并自动发现哪些云计算数据是需要保护的关键资产,并找到并消除该数据的常见攻击途径。将特权访问和违规行为链接到云端并返回。映射和连接云计算服务提供商的高特权用户,并将他们连接到本地目录服务中的信息。发现并识别与凭证和SaaS应用程序的缓存连接,以及来自权威机构的SaaS应用程序凭证信息的存在。这为安全团队提供了云内外的全面可见性和补救功能。创建监控和补救规则:实施程序来识别应用于云计算用户和应用程序的错误配置或保护层不足,并纠正这些违规行为。随着组织看到提高效率和降低成本的潜力,云迁移仍在继续。但也确实有可能扩大组织必须评估和利用当今能力的风险范围,以提高云计算环境的可见性和监控。欺骗技术在使网络攻击者远离关键数据方面发挥着至关重要的作用,无论他们如何尝试访问这些数据。这种广泛的安全性将使组织有信心跨本地数据中心和云平台扩展业务活动。
