云安全是需要企业和云供应商共同承担的责任,也是一项巨大的挑战,以下是设置高效护栏时需要牢记的基本规则。
根据数据预估,全球 50%的企业已经将数据存储在云中,这足以证明这个相对年轻的行业仍在进行爆炸性增长。现在大家都已经了解采用云计算的好处:提高敏捷性、易于扩展和成本效益。
但在安全方面,采用云计算也有不太乐观的一面:对于部分企业而言,将其最有价值的大部分资产交给第三方的想法可能有些疯狂,但对于其他(绝大多数)企业来说,这样做完全有道理。
企业可以从云提供商为保护其数据而部署的大量安全资源中受益。本文将重点介绍云安全的基本概念,并提供十个规则以提高安全性。
责任共担模型
云中的安全遵循一种名为“共享责任模型”的模式,这意味着,要在云中操作,企业仍然需要分担安全配置和管理的工作。企业的承担范围可能会有很大的不同,因为这取决于使用的服务:如果企业订阅了基础设施即服务(IaaS)产品,则需负责操作系统补丁和更新。如果只需要对象存储,那么职责范围将局限于防止数据丢失。
基本上所有的云漏洞本都可以归结为一件事:配置错误。云提供商已经提供了强大的安全工具,但这些安全工具有时也会失效。员工的错误不可避免,因此很容易造成错误配置。这就是为什么我们需要护栏,以帮助减少发生错误的可能性或在错误发生时减少影响。
下面一起了解一下云安全与“传统”信息安全相比的不同之处。
了解云安全的 3 个关键
云是一个动态的环境,在这个环境中,一切都在不断变化,但安全性的目标保持不变:确保系统按预期工作,并且仅按预期工作。因此,许多基本概念需要重新定义:
周界:传统安全本质上是基于保护可信周界,即所谓的“堡垒”。然而,云环境的特点是分布在互联网上,具有动态发展的端点和许多互连层。任何云安全模型都应该以身份和访问管理为中心,并专注于加强对可疑帐户的授权(这是行为建模等技术特别强大的地方)。
可扩展性:存储和处理是动态的,因此云安全框架也要考虑到基础设施的演变。换句话说,它需要了解系统状态并相应地调整其策略。
监控:随着新的云资源的堆积和新的攻击媒介的发现,威胁格局正在迅速发展。动态系统增加的复杂性是一个不利因素:安全漏洞可能会激增,更难发现,攻击也更加复杂。要跟上时代,就需要对快速变化的安全形势做出反应。
提高云安全性的 10 条规则
1、不要忽视开发人员凭据
作为一家每天扫描数百万公共和私有代码存储库的公司,强调健全凭证政策的重要性极其重要。企业应该确保开发人员至少只使用短期凭据,并花费时间来进行完整的设置,包括管理和检测。
2、始终查看默认配置
云提供商预先配置通用访问控制策略。这些服务很方便,但经常会发生变化,因为新服务的引入并不一定符合企业需求。通过选择退出不必要或未使用的服务来减少攻击的可能性。
3、列出可公开访问的存储
一些云存储被完全开放并可公开访问的情况并不少见。无论您为对象和数据选择何种存储方法,请检查是否只有预期的组件可公开访问。
4、定期审计访问控制
云安全性可能取决于企业的身份和访问管理策略。基于身份的安全系统逐渐成为主导,形成了所谓的“零信任”策略的基础。但这些政策将被修改。实施最低特权原则是一个主动过程,涉及对服务、系统和网络的访问进行微调。应定期安排并严格执行手动和自动检查。
5、利用网络结构
同样的规则适用于网络:企业应该利用云提供商的控制来构建更好的、更精细的策略,以周到地划分流量。
6、使日志记录和监控具有预防性
良好的安全性离不开健全的监控和日志记录。基于风险的日志记录策略是必须的,但最重要的是,企业应该确保警报不仅已启用且有效,而且是可操作的,而不是在事件发生才查看。理想情况下,企业应该能够通过 API 或其他机制在自己的日志记录系统上聚合云日志。
7、充实资产清单
使用云供应商的 API 来减轻库存管理的艰巨任务是很好的选择,但是通过有关所有权、用例和敏感性的附加信息来丰富它会更好。
8、防止域名劫持
云服务和 DNS 条目之间通常存在可传递信任。定期检查您的 DNS 和云配置,以防止出现接管情况。
9、灾难恢复计划不是可选的
云环境不能自动解决灾难恢复 (DR) 问题。考虑适合云环境中灾难性事件的投资级别。设计一个 DR 程序以从外部帐户、提供商或区域设置中进行恢复。
10、限制手动配置
利用云原生安全工具和控件意味着自动化。漏洞源于错误配置,而错误配置就是错误。需要完成的手动工作越多,就越容易出现错误。企业需要推动其团队更加自动化,尽可能使用安全即代码并逐步增强不可变性(不可能再手动配置)。
结论
即使对于专家而言,云管理也很复杂。对于安全人员而言,这是一个巨大挑战,因为职责范围不再是静态的,而是不断发展以满足基础设施的需求和应对新威胁。但这对他们来说也是一个激动人心的时刻,因为他们可以利用他们所有的独创性来构建非常有效的解决方案,利用现有的云提供商的工具集,在安全要求和灵活性之间取得平衡。
企业及业务负责人可以根据以上云安全的规则构建自身防护措施,以提高在使用云计算时的安全性。