多年来,由于担心安全威胁,许多组织和IT主管一直对采用公共云服务持怀疑态度,甚至避免使用它们。随着云计算服务市场的成熟和行业领先的云计算提供商构建高度安全的云计算基础设施,这些担忧在很大程度上得到了缓解。但这并不意味着威胁消失了,云计算客户仍然需要保护他们的数据安全。云计算的错误配置是网络攻击者寻求攻击的第一个漏洞,例如用户没有删除旧帐户,这可能会导致问题。云安全联盟(CSA)定义了标准、认证和最佳实践,以帮助确保安全的云计算环境。并指出:“全球云计算采用率的上升带来了新的云安全威胁,黑客可以在其中研究组织弱点并获得未经授权的访问权限以窃取机密信息。我们需要更智能、更敏捷的控制措施来应对传统安全措施所采取的措施云计算服务提供商失败了。”该组织根据云安全联盟(CSA)顶级威胁工作组对其成员的调查确定了云计算面临的最大威胁。这些威胁包括数据泄露;缺乏云安全架构和策略;身份、凭证、访问权限不足和密钥管理;帐户劫持;内部威胁;不安全的接口和应用程序编程接口(API);以及对云使用的可见性有限。现在依赖多云或混合云环境来支持其业务流程的组织需要在以下方面保持警惕保持数据和应用程序的安全——就像这些资源位于本地数据中心一样。研究公司Gartner对云计算安全性做出了许多预测,这些预测应该引起组织首席信息安全官(CISO)的注意,并且其他安全主管。一个是到2025年,90%无法控制公共云使用的组织可能会使用故意共享敏感数据。另一个原因是,到2024年,大多数组织将继续努力正确衡量云计算风险。第三,到2025年,99%的云计算安全故障将是客户的错,而不是云提供商的错。以下是增强云计算环境安全性的一些最佳实践建议:1.Gartner云安全高级总监兼分析师SteveRiley表示,部署身份和访问管理工具以管理谁可以访问云中的哪些数据和服务.应该是云计算网络安全计划的基础。“在公共云中,单个资源和数据对象级别的逻辑访问控制变得至关重要,”Riley说。“身份可能是最重要的虚拟边界形式,可以有效减少潜在漏洞的攻击面。”“任何有互联网连接的人都可以访问驻留在云平台上的云管理控制台和应用程序,”Riley说。因此,任何维持对组织云计算部分的控制的策略的基础都是有效的身份和访问管理(IAM)策略。“当组织设计既支持又保护业务的身份和访问管理(IAM)策略时,需要记住最小特权原则仍然有用,”他说。这个过程使得请求和授予额外的权限变得快速和容易,同时对个人工作流的干扰最小。当权限分配得太窄时,系统安全性就会失效,而错误往往不会引起安全问题。当授权范围太广时(通常是因为权利蔓延),情况恰恰相反:错误通常会造成真正的安全问题。如今,大多数公共云服务都提供基于角色的管理、内置的多因素身份验证(MFA)和广泛的日志记录功能。有些可以与特权访问管理工具集成。大多数服务还提供某种形式的有效权限评估器,这有助于消除对用户或服务帐户是否拥有过于广泛的权限的猜测。根据Riley的说法,太宽的帐户权限和太宽的对象访问控制列表是最常见和最危险的云安全问题。2.防止安全错误配置对环境的最大威胁是错误配置。Dickson指出,开放的AWSS3存储桶一直是一个备受瞩目的漏洞来源,但一些组织选择保持公共云存储资源开放。Dickson说,“虽然默认情况下不可用,但S3存储桶是打开的;它们是关闭的,客户必须决定是否打开S3存储桶并可能公开它。俗话说,预防胜于治疗。小额投资正确的云计算配置等同于更多的云安全工具。根据云安全联盟(CSA)的说法,云的错误配置是攻击者首先寻找的东西,而一些小的安全疏忽,例如未能删除旧帐户,可能会在几秒钟内导致问题。其中一个错误是缺乏访问限制。并且缺乏数据保护,特别是对于以明文形式上传到云平台的个人信息。另一个错误配置的原因是无法对云计算资源进行审计和认证。该组织报告说缺乏保护定期审核资源和配置可能会导致安全漏洞,恶意攻击者可以随时利用该漏洞时间。组织也可以忽略日志记录和监控,而及时检查数据和访问日志对于识别和标记安全相关事件至关重要。最后,组织可以为用户提供“过度特权”访问。云安全联盟(CSA)指出,用户访问应仅限于个人允许的应用程序和数据。3.降低云计算管理的复杂性为个人云计算服务提供足够的安全性对组织来说可能是一个巨大的挑战。添加更多的云计算服务和更多的云计算提供商,保护数据的挑战变得更大。对于越来越多的组织而言,组织迁移到云最终意味着拥有多云或混合云环境。这可能导致具有各种公共云服务提供商和各种类型的云计算服务的高度复杂的基础设施,以及潜在的许多安全风险。迪克森说,在云主导的环境中解决网络安全问题的早期步骤之一应该是降低复杂性。IDC估计,80%的公司拥有来自不止一家基础设施即服务(IaaS)提供商的云平台,他说。许多组织还希望使用来自不同提供商的多种软件即服务(SaaS)和平台即服务(PaaS)产品,因为他们希望降低运营费用并在向用户提供服务时获得更大的灵活性。许多组织拥有多个云,每个云都有自己的特性,可能难以保护。Dickson说,“如果可能的话,组织需要尽量减少云提供商的数量。云提供商越少通常意味着安全提供商越少。云提供商的整合将进一步降低复杂性。”4更加关注检测和响应对云平台的一些控制Riley表示,组织应该期望对云计算活动进行更多监控,以证明治理程序已经到位并得到遵守。“大多数云计算提供商(CSP)都提供必要的工具来检测资源、工作负载和应用程序以收集原始日志数据,但可能会限制日志数据的存储位置,”Riley说。将这些数据转换成有用的信息具有挑战性,可能需要云计算提供商(CSP)或第三方产品或服务,尤其是当日志数据需要从一个地理区域转移到另一个地理区域时,”Gartner公司的一些客户Riley说更愿意依赖现有的安全信息和事件管理(SIEM)工具,许多云计算服务支持更受欢迎的服务。其他客户报告说,一些安全信息和事件管理(SIEM)工具笨重且嘈杂,并且更喜欢云原生服务。“然而,在投资其他产品之前,组织应该首先调查云计算服务的内置日志记录、报告和分析功能,”Riley说。SaaS应用程序倾向于提供聚合、关联和分析行为的各种报告的集合。“对于只使用一个或几个SaaS应用程序的组织来说,这些可能就足够了,”Riley说。对于订阅了许多SaaS应用程序的组织,云访问安全代理(CASB)或SaaS管理平台(SMP)可能是评估SaaS安全态势以及标准化控制和治理的更好选择。”Riley说:“IaaS和PaaS提供商提供一些工具,并期望他们的客户将输出收集到可以理解数据的服务中。越来.部署数据加密数据加密是一种更强大的安全工具,如果数据落入坏人之手,组织可以使用它来保护数据。迪克森说:“默认情况下,数据会离开组织的工作场所,因此保护数据变得非常重要在云平台中,数据必须在动态和静止时进行加密。”Riley说,加密措施提供了一层额外的逻辑隔离。“对于许多安全团队来说,围绕是否默认加密所有内容存在争论,”他说“对于IaaS和PaaS中的海量存储,加密可能是合乎逻辑的方法。它简化了配置并防止敏感数据受到损害。“无意泄露,并且对于通过删除密钥简单地销毁数据很有用。”Riley说:“加密也可以作为访问控制策略的双重检查。组织需要读取加密的对象,他们的账户必须同时出现在两个访问控制列表中:对象本身的账户和对象的关键账户。加密对象。授予访问权限时必须同意的机制是一种有效的纵深防御形式。”Riley指出,对于SaaS和PaaS中的应用层数据,决策更为复杂。他说:“在PaaS/SaaS应用程序的上下文之外加密数据会降低应用程序的功能。组织必须权衡功能和隔离之间的权衡。加密不能替代信任。对加密数据进行任何有用的处理都需要首先对其进行解密,然后将其读入内存,这使得它容易受到基于内存的攻击。”6.将培训和教育放在首位最后,与任何其他网络安全计划一样,对用户进行安全风险教育是迁移到云对于许多组织和员工来说仍然是一个相对较新的概念,因此需要优先考虑培训和编程指南。云安全联盟(CSA)全球研究副总裁JohnYeoh表示:“组织需要对员工进行云安全方面的教育。组织员工可以使用许多教育文档和课程来了解云安全的基础知识。”).CloudSecurityTheAlliance(CSA)提供了名为《云计算关键领域安全指南》的基础文档,以及名为《云安全知识证书》的培训课程。“对于那些使用特定云计算服务和工具的组织来说,了解这些工具非常重要,”Yeoh说。云计算提供商不断在其服务中添加和更改功能。正确使用这些功能并了解标准配置对于安全性至关重要使用这些服务至关重要。云计算安全联盟(CSA的云计算控制矩阵使组织能够查看和比较云计算服务提供商如何满足或超过基线安全要求。Yeoh说:“拥有行业正在实施的云安全控制通用框架可以为云计算服务提供商及其服务创造信任和保障。”对组织使用服务至关重要并确保遵守框架这些要求通过中提供的控制得到满足。这种方法可以加快采购过程并改善组织的安全状况。”
