Michael+Nadeau

編譯 Charles

兩份新報(bào)告顯示，公有、私有和混合云部署風(fēng)險(xiǎn)有很大差異。本文為成功實(shí)現(xiàn)云安全策略所需的工具、信息和組織結(jié)構(gòu)提供了一些建議。

數(shù)據(jù)和服務(wù)向云端的遷移促使很多企業(yè)重新考慮他們的網(wǎng)絡(luò)安全方法。他們需要云安全策略嗎？云安全策略有什么不同？最近的兩項(xiàng)調(diào)查揭示了安全策略是怎樣改變的，更重要的是，應(yīng)該怎樣改變。

把更多的IT基礎(chǔ)設(shè)施放到云中在某些方面要比放在本地更安全。例如，您能夠比較有把握地確定系統(tǒng)正在運(yùn)行最新版本，而且打上了適當(dāng)?shù)难a(bǔ)丁。然而，這也帶來(lái)了新的風(fēng)險(xiǎn)，其中一些是由于不能正確理解怎樣管理云安全造成的。

重要的是要知道一個(gè)公司的云IT策略——無(wú)論是混合型的，私有托管的，還是公有的，都會(huì)影響其網(wǎng)絡(luò)安全策略以及策略的具體執(zhí)行。

什么是云安全風(fēng)險(xiǎn)？

來(lái)自云安全提供商Alert Logic的數(shù)據(jù)揭示了每種形式的云環(huán)境與本地?cái)?shù)據(jù)中心相比所具有的風(fēng)險(xiǎn)特點(diǎn)和風(fēng)險(xiǎn)大小。18個(gè)月來(lái)，該公司分析了3，800多家客戶的147拍字節(jié)數(shù)據(jù)，對(duì)安全事件進(jìn)行量化和分類。在此期間，確定了220多萬(wàn)個(gè)真正的安全事件。主要發(fā)現(xiàn)包括：

● 每名客戶平均經(jīng)歷最多的事件是在混合云環(huán)境下，數(shù)量達(dá)到977，其次是托管私有云（684）、本地?cái)?shù)據(jù)中心（612）和公有云（405）。

● 迄今為止，最常見(jiàn)的事件類型是Web應(yīng)用程序攻擊（75%），其次是暴力破解攻擊（16%）、偵察（5%），以及服務(wù)器端勒索攻擊（2%）。

● Web應(yīng)用程序攻擊最常見(jiàn)的途徑是SQL（47.74%）、Joomla（26.11%）、Apache Struts（10.11%），以及Magento（6.98%）。

● WordPress是最常見(jiàn)的暴力破解對(duì)象，達(dá)到41%，其次是MS SQL，為19%。

無(wú)論是公有的、私有的還是混合云環(huán)境，Web應(yīng)用程序威脅都是最主要的攻擊，它們之間的不同之處在于所面臨的風(fēng)險(xiǎn)等級(jí)。Alert Logic的聯(lián)合創(chuàng)始人Misha Govshteyn說(shuō)：“作為防御方，Alert Logic在高效地保護(hù)公有云方面有很強(qiáng)的能力，因?yàn)槲覀兡軌蚯宄乜吹侥切┰噲D隱藏起來(lái)的攻擊，并一舉抓獲它們。當(dāng)我們發(fā)現(xiàn)公有云環(huán)境中的安全事件時(shí)，我們知道必須非常小心，因?yàn)樗鼈兺ǔ?huì)非常安靜?！?/p>

數(shù)據(jù)表明，某些平臺(tái)要比其他平臺(tái)更容易受到攻擊。Govshteyn說(shuō)：“雖然您盡了最大努力，這也會(huì)使您容易遭受攻擊?！弊鳛橐粋€(gè)例子，他指出，與流行的看法不同，LAMP堆棧要比基于微軟的應(yīng)用程序堆棧更容易受到攻擊。他認(rèn)為PHP應(yīng)用程序也是一個(gè)熱點(diǎn)。

Govshteyn說(shuō)：“內(nèi)容管理系統(tǒng)，特別是WordPress、Joomla和Django，作為Web應(yīng)用程序平臺(tái)，很多人對(duì)此并不了解，這些系統(tǒng)有很多漏洞。只有當(dāng)您了解開(kāi)發(fā)團(tuán)隊(duì)要使用哪種Web框架和平臺(tái)時(shí)，才有可能保持這些系統(tǒng)安全。大多數(shù)安全人員很少注意到這些細(xì)節(jié)，而是根據(jù)糟糕的假設(shè)來(lái)做出決定?！?/p>

為了減少云威脅的影響，Alert Logic提出了三個(gè)關(guān)鍵建議：

● 依靠應(yīng)用程序白名單來(lái)阻止未知程序。這包括對(duì)企業(yè)中使用的每一應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)與價(jià)值評(píng)估。

● 了解自己打補(bǔ)丁的過(guò)程，并考慮哪些補(bǔ)丁應(yīng)優(yōu)先部署。

● 限制基于當(dāng)前用戶職責(zé)的管理和訪問(wèn)權(quán)限。這需要為應(yīng)用程序和操作系統(tǒng)更新保留權(quán)限。

怎樣保護(hù)云

據(jù)市場(chǎng)研究公司VansonBourne的調(diào)查（由網(wǎng)絡(luò)監(jiān)控解決方案提供商Gigamon提供贊助），73%的受訪者預(yù)計(jì)他們的大部分應(yīng)用程序工作負(fù)載將在公有云或者私有云中。然而，35%的受訪者希望以“完全相同的方式”來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，即就像在本地操作一樣。其余受訪者雖然不愿意改變，但他們知道除了改為云安全策略之外別無(wú)選擇。

當(dāng)然，并非所有公司都會(huì)把敏感或者關(guān)鍵的數(shù)據(jù)遷移到云端，因此，對(duì)他們來(lái)說(shuō)，沒(méi)有太多的理由去改變策略。然而，很多公司都在遷移關(guān)鍵的和私有的公司信息（56%）和營(yíng)銷(xiāo)資產(chǎn)（53%）。47%希望在云上有個(gè)人身份信息，這也是由于受到歐盟GDPR等新的隱私法規(guī)的影響。

據(jù)Govshteyn，企業(yè)應(yīng)從以下三個(gè)主要方面關(guān)注自己的云安全策略：

1. 工具。部署在云環(huán)境中的安全工具必須是云原生的，能夠保護(hù)Web應(yīng)用程序和云工作負(fù)載。Govshteyn說(shuō)：“設(shè)計(jì)用于端點(diǎn)保護(hù)的安全技術(shù)重點(diǎn)都集中在云中并不常見(jiàn)的一些攻擊途徑上，不能很好地應(yīng)對(duì)OWASP 10大威脅——這些威脅占據(jù)了所有云攻擊的75%。”他指出，端點(diǎn)威脅主要針對(duì)Web瀏覽器和客戶端軟件，而基礎(chǔ)設(shè)施威脅的目標(biāo)則是服務(wù)器和應(yīng)用程序框架。

2. 架構(gòu)。考慮云帶來(lái)的安全和管理優(yōu)勢(shì)，重新定義您的架構(gòu)，而不要采用與傳統(tǒng)數(shù)據(jù)中心相同的架構(gòu)。Govshteyn說(shuō)：“現(xiàn)在我們有數(shù)據(jù)表明，純公有環(huán)境能夠讓企業(yè)降低安全事件發(fā)生率，但只有使用云功能來(lái)設(shè)計(jì)更安全的基礎(chǔ)設(shè)施后，才能實(shí)現(xiàn)這一點(diǎn)?！彼ㄗh在自己的虛擬私有云中隔離每一應(yīng)用程序或者微服務(wù)，從而盡可能限制入侵影響范圍?！跋裱呕⒊霈F(xiàn)的泄露事件，就是從簡(jiǎn)單Web應(yīng)用程序作為初始入侵途徑開(kāi)始的，所以最不重要的應(yīng)用程序常常會(huì)成為您最大的問(wèn)題?！绷硗猓灰谠撇渴鹬薪o漏洞打補(bǔ)丁。相反，部署新的云基礎(chǔ)設(shè)施，運(yùn)行最新的代碼，逐步拆除老的基礎(chǔ)設(shè)施。Govshteyn說(shuō)：“只有自動(dòng)部署才能做到這一點(diǎn)，您能夠加強(qiáng)對(duì)基礎(chǔ)設(shè)施的控制，而這在傳統(tǒng)數(shù)據(jù)中心是無(wú)法實(shí)現(xiàn)的?！?/p>

3. 連接點(diǎn)。找到您的云部署與運(yùn)行老代碼的傳統(tǒng)數(shù)據(jù)中心的連接點(diǎn)。他說(shuō)：“這些可能是問(wèn)題的最大來(lái)源，因?yàn)槲覀兛吹阶蠲黠@的趨勢(shì)是，混合云部署更有可能出現(xiàn)安全事件?！?/p>

企業(yè)并沒(méi)有必要針對(duì)云去改變現(xiàn)有的所有安全策略。Gigamon產(chǎn)品營(yíng)銷(xiāo)高級(jí)經(jīng)理Tom Clavel說(shuō)：“在云端和本地使用相同的安全策略——例如，用于取證和威脅檢測(cè)的深度內(nèi)容檢查功能，這是不錯(cuò)的主意。企業(yè)之所以這樣，主要是為了保持他們安全架構(gòu)之間的一致性，盡量避免安全狀況出現(xiàn)缺陷?！?

Clavel補(bǔ)充說(shuō)：“難點(diǎn)在于他們?cè)鯓釉L問(wèn)網(wǎng)絡(luò)數(shù)據(jù)流以便進(jìn)行這類監(jiān)測(cè)。雖然在本地可以采用各種方式訪問(wèn)這些數(shù)據(jù)，但在云中卻不行。而且，即使他們能夠訪問(wèn)數(shù)據(jù)流，通過(guò)管道把信息回傳給本地工具進(jìn)行監(jiān)測(cè)，如果沒(méi)有智能化，這會(huì)極其昂貴，而且適得其反?！?/p>

云的可視化問(wèn)題

VansonBourne受訪者抱怨的是，云的安全環(huán)境中有可能出現(xiàn)盲點(diǎn)?？傮w上，一半的人認(rèn)為云會(huì)“隱藏”有助于他們發(fā)現(xiàn)威脅的信息。他們還說(shuō)，采用云之后，他們不能掌握很多信息，例如，哪些數(shù)據(jù)被加密了（48%），不安全的應(yīng)用程序和數(shù)據(jù)流（47%），以及SSL/TLS證書(shū)有效性等（35%）。

49%的調(diào)查受訪者認(rèn)為，混合云環(huán)境更不利于可視化，因?yàn)樵谶@種環(huán)境下，安全部門(mén)看不到數(shù)據(jù)實(shí)際存儲(chǔ)在哪里。78%的受訪者聲稱，一些孤立的數(shù)據(jù)，有的掌握在安全運(yùn)營(yíng)部門(mén)那里，而有的在網(wǎng)絡(luò)運(yùn)營(yíng)部門(mén)那里，這加大了數(shù)據(jù)尋找工作的難度。

安全部門(mén)的可視化受限不僅體現(xiàn)在數(shù)據(jù)上。67%的VansonBourne受訪者表示，網(wǎng)絡(luò)盲點(diǎn)阻礙了他們保護(hù)自己的企業(yè)。為增強(qiáng)可視化，Clavel建議首先確定您希望怎樣組織和實(shí)施您的安全環(huán)境。他說(shuō)：“全部在云中，還是從本地部署延伸到云中？在這兩種情況下，確保完全能夠看到應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)流是您安全策略的核心?？吹降脑蕉啵驮桨踩??！?/p>

Clavel補(bǔ)充說(shuō)：“為滿足可視化需求，應(yīng)找到一種方法來(lái)采集、匯集和優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)流，將其發(fā)送給您的安全工具——無(wú)論它們是入侵檢測(cè)系統(tǒng)（IDS）、安全信息和事件管理（SIEM）、取證、數(shù)據(jù)丟失防護(hù)（DLP）、高級(jí)威脅檢測(cè)（ATD）等工具，或者同時(shí)所有這些。最后，添加SecOps進(jìn)程，即使您的云部署規(guī)模不斷增長(zhǎng)，也能夠自動(dòng)進(jìn)行可視化操作，對(duì)檢測(cè)到的威脅做好防護(hù)?！?/p>

這些盲點(diǎn)和較差的信息可視化問(wèn)題會(huì)帶來(lái)GDPR合規(guī)問(wèn)題。66%的受訪者表示，缺少可視化功能將導(dǎo)致很難遵守GDPR。只有59%的受訪者認(rèn)為他們的企業(yè)在2018年5月之前能夠準(zhǔn)備好GDPR。

誰(shuí)擁有云安全？

考慮到所面臨的威脅，也就能夠理解為什么62%的受訪者希望他們的安全運(yùn)營(yíng)中心（SOC）能夠控制好網(wǎng)絡(luò)流量和數(shù)據(jù)，以確保在云環(huán)境中保護(hù)好數(shù)據(jù)。有一半的受訪者認(rèn)為應(yīng)加強(qiáng)網(wǎng)絡(luò)流量和數(shù)據(jù)方面的安全意識(shí)。

很多企業(yè)由于管理云環(huán)境的部門(mén)結(jié)構(gòu)問(wèn)題，導(dǎo)致很難實(shí)現(xiàn)控制或者全面可視化。在69%的受訪者中，由安全運(yùn)營(yíng)部門(mén)負(fù)責(zé)企業(yè)的云安全，這些部門(mén)也涉及云運(yùn)營(yíng)（54%）和網(wǎng)絡(luò)運(yùn)營(yíng)。這帶來(lái)的問(wèn)題是，到底由誰(shuí)負(fù)責(zé)云安全，部門(mén)之間應(yīng)怎樣協(xié)作。事實(shí)上，48%的受訪者表示，部門(mén)之間缺乏協(xié)作是發(fā)現(xiàn)并報(bào)告泄露事件的最大障礙。

Clavel說(shuō)：“通常，企業(yè)把責(zé)任分?jǐn)偨o網(wǎng)絡(luò)、安全和云部門(mén)。但每一部門(mén)都有不同的預(yù)算、不同的所有權(quán)，甚至有不同的工具來(lái)管理安全問(wèn)題。如果希望通過(guò)增強(qiáng)云的可視化以保證其安全，則需要破除這三個(gè)部門(mén)之間的交流障礙。本地部署的同樣的安全工具也能保證云的安全——因此，云部門(mén)和安全部門(mén)之間應(yīng)進(jìn)行溝通。”

什么類型的人才能負(fù)起企業(yè)的云安全責(zé)任？需要的是有合適的技能和能力而且能長(zhǎng)期工作的人才或者團(tuán)隊(duì)。Govshteyn說(shuō)：“找到能讓您盡快實(shí)現(xiàn)云安全的人才或者團(tuán)隊(duì)，支持他們規(guī)劃好未來(lái)三到五年的安全策略。”

Govshteyn說(shuō)：“在過(guò)去的幾年中，這往往是IT運(yùn)維部門(mén)或者企業(yè)安全部門(mén)的工作，但總有架構(gòu)師級(jí)的個(gè)人或者專業(yè)的云安全團(tuán)隊(duì)成為這項(xiàng)工作的核心。這些新一代的安全專業(yè)人員能夠編寫(xiě)代碼，花費(fèi)80%以上的時(shí)間實(shí)現(xiàn)其工作的自動(dòng)化，把研發(fā)部門(mén)看成是自己的同事，而不是對(duì)手”，他還補(bǔ)充說(shuō)，在科技公司，安全有時(shí)是工程部門(mén)的職能。

盡管董事會(huì)現(xiàn)在對(duì)安全非常感興趣，但從根本上看，他們還是幫不上忙。他說(shuō)：“事實(shí)上，目前涉及到云安全問(wèn)題的大部分關(guān)鍵決策是由技術(shù)人員做出的，只有他們能夠跟上公有云的快速發(fā)展?！?/p>

超過(guò)一半（53%）的受訪者認(rèn)為，企業(yè)沒(méi)有實(shí)施云策略或者框架的原因是云安全工作太復(fù)雜了。雖然幾乎所有這些企業(yè)都計(jì)劃未來(lái)會(huì)加強(qiáng)安全工作，但還不清楚應(yīng)該由誰(shuí)來(lái)負(fù)責(zé)。

Clavel說(shuō)：“安全和監(jiān)測(cè)工具也可以利用相同的安全交付平臺(tái)來(lái)提高靈活性——那么，網(wǎng)絡(luò)、安全和云部門(mén)也應(yīng)同意共同承擔(dān)安全交付平臺(tái)的責(zé)任。企業(yè)把鞏固自己的安全和監(jiān)控活動(dòng)作為SOC的一部分工作，或者至少為安全交付平臺(tái)建立共同預(yù)算，共享所有權(quán)，這類企業(yè)能夠更靈活、更快的做出決策，保證本地部署和云部署同樣安全。”

Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書(shū)籍和知識(shí)庫(kù)出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html