不管怎样,云基础设施已经牢固地确立了自己作为几乎每个组织的关键组成部分的地位,并且公共云支出预计在未来五年内将继??续飙升。与任何组织范围内的采用计划一样,云基础架构计划需要广泛的规划才能成功安全地采用和扩展。缺乏对云基础设施计划的规划会产生复杂性和风险,最终为攻击者渗透组织的攻击面打开大门。该领域最常见的并发症是错误配置问题和误解默认设置与安全最佳实践之间的区别。配置错误一直是业内一些最大漏洞的根源,包括万豪2020年的第二次漏洞。从共同责任到管理不善的默认设置,云配置错误的根本原因增加了巨大的网络安全风险。好消息是,有几个关键领域可以帮助组织取得成功。识别和验证所有用户在云中,人员、设备和应用程序的安全和验证通常很困难。安全专业人员必须强制对访问组织云网络的任何实体进行识别和验证,即使“身份”似乎来自可信来源。如果攻击者在未经进一步检查的情况下获得对经过验证的数字身份或隐含信任的基础设施区域的访问权限,他们就可以在不被注意和检测到的情况下长时间提取公司数据。这就是身份和访问管理(IAM)是三大云服务提供商(CSP)最关键和最复杂的架构之一的原因。IAM控制谁有权访问特定资源,根据需要了解这些人的权限,并包括按角色和技术授予访问权限的组织策略。在实施IAM的同时采用适当的政策至关重要;如果IAM处理不当,组织可能会遭受不安全凭证和跨角色无处不在的访问的后果。请注意,安全组默认云安全组用作传统IT环境的控制和执行点。他们根据规则控制入口(入站)和出口(出站)流量并做出相应响应,将可疑、恶意或其他活动通知安全和IT团队。不幸的是,安全和IT专业人员可能会被警报、通知和请求淹没,这促进了速度和质量的文化。团队可以创建两个或三个安全组,并在整个基础架构中为不同目的重用它们。虽然这听起来很有效,但这类似于授予您的用户帐户域管理员权限,并且是一种经常被利用的错误配置。它会给攻击者留下机会并增加攻击面,因为默认情况下,所有主要CSP都会阻止所有入站流量并允许所有出站流量。跨多个CSP的组织面临的风险最大,因为跨CSP的通用配置很少,因此组织需要相应地自定义每个平台,以确保所有云基础设施的应用程序安全。定义“经过身份验证的”用户并相应地对其进行记录在讨论云时,术语“经过身份验证的用户”可能会产生误导。认为该术语严格适用于组织内经过身份验证的人员是一个有效的假设。不幸的是,这在管理主流CSP时并不准确。任何拥有“经过身份验证的用户”权限的人都可以访问您的云,无论他们是在您的组织内部还是外部。通过更好地了解用户可访问性和相应的规划来防止未经授权的访问是至关重要的。尽管看起来很乏味,但管理和跟踪对您的云基础架构进行更改的大量用户正变得越来越重要。日志可能是识别可疑活动和快速修复安全状况的关键。在充满外部威胁的环境中,基本的云卫生没有妥协的余地。最初可能是默认设置的错误最终可能会给企业领导、员工和客户带来代价高昂的危机。通过明确关注云卫生和定期安全审查,组织可以走上战略云路径,以支持结束网络安全风险的使命。
