云计算的主要优势之一是它为托管资源提供的高可用性。他们可以从任何地方进入。那太棒了。但这也意味着您的云基础设施不可避免地受到影响——面向互联网。这使得任何威胁行为者都可以轻松地尝试连接到您的服务器和服务以进行端口扫描、字典攻击和侦察活动。云基础设施需要解决一些与传统本地基础设施相同的安全问题。有些是不同的,或者包括额外的挑战。第一步是识别与云基础设施相关的风险。您需要实施对策和其他对策来减少或缓解这些风险。确保您确实记录了它们,并与所有在场和参与的利益相关者进行了排练。这将形成您的整体云安全策略。没有云安全策略就像忽视地面网络的网络安全。事实上,情况可能更糟,因为云本质上是面向互联网的。企业面临的具体风险略有不同,具体取决于云的使用方式和所使用的云产品组合:基础架构即服务、平台即服务、软件即服务、容器-即服务,等等。有不同的风险分类方法。我们将它们归为一个连贯但通用的风险组。可能有一些不适用于企业的确切用例,但在放弃它们之前,您需要确保情况确实如此。配置错误和人为错误由于疏忽、过度工作或根本不知道更好的方法而导致的错误在各种规模的组织中仍然比比皆是。忘记项目和错过设置会导致每周系统故障。2017年的大规模Equifax漏洞暴露了超过1.6亿人的个人数据,利用了过时的SSL证书。如果有管理可再生项目的流程,并明确指导谁负责该流程,则证书很可能会更新,并且不会发生违规行为。安全研究人员几乎每周都会使用Shodan(一种用于设备、端口和服务的搜索引擎)等工具来发现不安全的容器。其中一些违约和风险敞口的产生是因为人们希望事情不会发生违约,但事实并非如此。启动远程服务器后,它需要执行与其他服务器相同的强化步骤和安全改进。打补丁也很重要。为了保持服务器防御的完整性,需要及时应用安全和维护补丁。应用程序,尤其是Elasticsearch等数据存储和数据库,也需要在安装后进行加固。默认帐户需要更改其凭据并使用所提供的最高安全级别来保护API。在可用的情况下,应使用双因素或多因素身份验证。避免基于SMS的双因素身份验证,这很容易受到威胁。如果不需要,应关闭未使用的API,或者使用未发布的API密钥和私有API密钥阻止它们的使用。Web应用程序防火墙将提供针对SQL注入攻击和跨站点脚本等威胁的保护。缺乏变更控制与配置错误相关联的是在更改或更新工作系统时引入的漏洞。它应该以可控和可预测的方式进行。这意味着计划和同意更改、审查代码、将更改应用到沙盒系统、测试它们并将它们推广到实时系统。这是非常适合自动化的东西,只要开发到部署的管道足够健壮,并且实际测试你认为它做了什么,尽可能彻底地测试你需要的东西。您需要注意的其他变化是在威胁环境中。您无法控制新漏洞的发现和添加到威胁参与者可用的漏洞列表中。您可以做的是确保扫描您的云基础架构以查找任何当前已知的漏洞。应针对您的云基础架构运行频繁且彻底的渗透扫描。查找和纠正漏洞是确保云投资安全的核心要素。渗透扫描可以搜索被遗忘的开放端口、薄弱或未受保护的API、过时的协议栈、常见的错误配置、常见的漏洞和暴露数据库中的所有漏洞等等。它们可以自动化并设置为在找到可操作的项目时发出警报。帐户劫持帐户劫持是指通过获取授权人的电子邮件帐户、登录凭据或任何其他需要对计算机系统或服务进行身份验证的信息来破坏计算机系统或服务的行为。然后威胁行为者有权更改帐户密码并进行恶意和非法活动。如果他们破坏了管理员的帐户,他们可以为自己创建一个新帐户并登录该帐户,使管理员的帐户看起来没有受到影响。网络钓鱼或字典攻击是获取凭据的常用方法。除了使用通常用数字和字母替换的字典单词和排列外,字典攻击还使用来自其他数据泄露的密码数据库。如果任何帐户持有人在另一个系统上发现先前的违规行为并在您的系统上重新使用泄露的密码,他们就在您的系统上造成了违规行为。不应在其他系统上重复使用密码。双因素和多因素身份验证在这里可以提供帮助,自动扫描日志以查找失败的访问尝试也可以。但一定要检查您的托管服务提供商的政策和程序。你以为他们会遵循行业最佳实践,但在2019年,有消息称谷歌已经以纯文本形式存储GSuite密码14年了。在能见度降低的雾中驾驶是一项吃力不讨好的工作。在没有安全专业人员用来监控和验证网络安全的低级细粒度信息的情况下管理系统的前景与此类似。如果你能看到你需要什么,你就不会做得很好。大多数云服务器通常支持多种连接方式,例如远程桌面协议、安全外壳和内置门户网站等。所有这些都可以被攻击。如果发生攻击,您需要知道。一些托管服务提供商可以为您提供更好的日志记录或更透明的日志访问,但您必须提出要求。他们默认不这样做。访问日志只是第一步。您需要分析它们,寻找可疑行为或异常事件。聚合来自许多不同系统的日志并在一个时间轴上查看它们可能比单独查看每个日志更有启发性。真正做到这一点的唯一方法是使用自动化工具来查找无法解释或可疑的事件。更好的工具还将匹配和发现可能是攻击结果的事件模式,这当然值得进一步调查。不遵守数据保护法规不遵守数据保护和数据隐私等同于系统配置错误。未能执行法律要求的政策和程序以确保合法收集、处理和传输个人数据是另一种类型的漏洞,但它仍然是一个漏洞。这也是一个容易落入的陷阱。数据保护显然是一件好事,因为立法要求组织以保护和保护人们数据的方式运作。但是,如果没有专家的帮助或具有足够技能和经验的内部资源,跟踪立法本身是非常困难的。新的立法一直在颁布,现有的立法也在不断修正。当英国于2020年1月31日离开欧洲经济联盟(EEU)时,英国公司发现自己处于一种奇怪的境地。他们必须遵守他们持有的任何英国公民数据的第2章中包含的英国特定版本的一般数据保护条例。如果他们持有的任何个人数据属于居住在欧洲其他地方的人,那么欧盟GDPR就会发挥作用。GDPR适用于所有组织,无论它们位于何处。如果您收集、处理或存储属于英国或欧洲公民的个人数据,则其中一项GDPR将适用于您,而不仅仅是英国和欧盟组织必须处理此问题。相同的模型适用于加州消费者隐私法(CCPA)。无论数据处理发生在何处,它都会保护加州居民。所以这不是加州组织独有的问题。重要的不是你的位置。重要的是您正在处理其数据的人的位置。加州并不是唯一通过立法解决数据隐私问题的州。内华达州和缅因州也有立法,纽约、马里兰、马萨诸塞、夏威夷和北达科他州正在执行他们自己的数据隐私法。这是垂直集中的联邦立法的补充,例如健康保险流通与责任法案(HIPAA)、儿童在线隐私保护规则(COPPA)和格雷姆-里奇-比利利法案(GLBA)立法,如果其中任何一项为您的活动。如果您通过云基础设施中的门户网站或网站收集信息,或在托管服务器上处理数据,那么大部分法律将适用于您。在数据泄露的情况下,不合规可能会招致严重的经济处罚,以及声誉损害和潜在的集体诉讼。正确地做事是一项全职工作。安全是一项永无止境的挑战,而云计算带来了其独特的关注点。仔细选择托管或服务提供商是一个关键因素。确保在正式接触他们之前进行彻底的尽职调查。?他们认真对待安全吗?他们的往绩如何??他们提供指导和支持,还是向您推销服务??作为服务的一部分,他们提供哪些安全工具和措施??可以使用哪些日志?在讨论云计算时,人们通常会说一句谚语:“云只是其他人的计算机。”像所有的声音一样,这是一种严重的过度简化。但它有一些道理。这是一个清醒的想法。
