维护公共云环境是企业和云计算提供商的共同责任。云计算用户应使用互联网安全中心(CIS)基准来确保其帐户级云安全。CIS为独立于云计算提供商的云平台提供基于共识的配置标准。这些称为CIS基准的最佳实践旨在帮助组织在帐户级别保护公共云环境。安全领导者和云工程团队可以通过两种方式将CIS基准用于云安全:首先,参考最佳实践安全控制和配置的独立标准可以帮助定义安全云部署的内部要求。在定义和批准所有业务部门和IT运营团队在其自己的云帐户和订阅中应遵守的政策和标准时,这一点至关重要。其次,这些基准可以帮助组织为云计算控制平面和资产合规性制定持续的监控和报告策略。实施CIS基准如何提高安全性公有云客户可以通过实施CIS基准来提高云安全性,从而获得短期和长期收益。短期回报包括改善安全状况和减少常见云计算资产类别(例如虚拟机和其他工作负载)中的漏洞数量。实施此框架还可以减少与数据泄露和可能配置错误的云控制平面服务相关的直接攻击面。长期回报包括改善企业云计算环境的整体安全状况,以及增强配置的监控和报告。这允许开发更准确的指标和漏洞报告,提高安全性和运营效率。许多人质疑CIS云安全框架应该被视为高级最终目标还是安全起点。在许多方面,答案是两者兼而有之。CIS基准是通过两个级别的项目创建的:级别1项目旨在提供直接的安全优势。它们相对实用、易于实施,并且很少以任何方式抑制或破坏云服务或资产功能。第1层基准测试项目应该是所有企业的起点,并且被广泛认为是几乎所有企业都可以快速轻松实施的基准测试最佳实践。但是,Tier2程序提供了更强大的安全功能和更深入的纵深防御态势。这种级别的CIS云安全控制可能会导致某些服务或资产在某些情况下性能不佳甚至中断。具有更严格安全要求的组织可以将2级CIS基准项目视为短期目标,但大多数组织会将其作为长期战略的一部分。CIS公有云基础的范围CIS基准目前可供以下公有云环境下载:阿里云AWS谷歌云平台GoogleWorkspaceIBM云MicrosoftAzureOracle云计算基础设施尽管给定平台的CIS基准可能与其他平台的不同平台不同,但还是有明显的共性。公共云的所有CIS基准测试都有类似类别的控制建议,从虚拟机工作负载安全到存储和数据安全设置再到特权访问控制。CIS云安全控制建议常见且可操作的建议如下:创建符合行业最佳实践的安全云工作负载,并强化存储和监控这些新图像的标准。通过AWSCloudTrail或谷歌云的操作套件(以前称为Stackdriver)等工具启用云控制平面日志记录,以提供对云服务帐户内进行的所有API调用的可见性。此外,还应配置和启用云原生监控和警报。对任何云管理界面启用强身份验证,包括Web门户或命令行。为不同的云计算操作角色实施最小特权身份策略。为云存储服务启用加密和其他数据保护措施。保护云原生网络访问控制,以最大限度地减少访问并启用网络流量数据来监控网络行为。CIS云安全框架如何改进大规模云服务环境正在以越来越快的速度发展。尽管CIS基准涵盖了云安全控制和配置的核心基础,但更频繁地更新基于共识的指南将有助于通过提供更新的指南更好地为企业服务。此外,将基准与行业攻击模型和框架(例如MitreATT&CKforCloudComputing)相结合,将有助于教育利益相关者了解在真实世界的云攻击场景中应采用哪些控制措施来保护他们。
