Michael Nadeau 陳琳華

最新的研究報告顯示，公有云、私有云和混合云部署面臨的風(fēng)險有著巨大的差異。以下關(guān)于工具、信息和組織結(jié)構(gòu)的建議是執(zhí)行一個成功的云安全策略所必須的。

將數(shù)據(jù)和服務(wù)向云端遷移，讓許多公司開始重新審視他們的網(wǎng)絡(luò)安全措施。他們是否需要一個云安全策略？云安全策略的區(qū)別之處在哪里？近期的調(diào)查揭示了安全策略正在如何變化，更為重要地是調(diào)查揭示了它們應(yīng)當(dāng)如何改變。

將更多的基礎(chǔ)設(shè)施部署在云端，在某種程度上比部署在本地更為安全。例如，你能夠確認(rèn)系統(tǒng)正在運行帶有適當(dāng)補丁的最新版本。云服務(wù)提供商也能夠創(chuàng)建如使用機器語言進(jìn)行異常檢測等新功能。盡管如此，這也帶來了一些新的風(fēng)險，其中一些是由于對如何管理云安全的誤解所造成的。

了解公司的IT策略（無論它們是混合云、私有托管云還是公有云）如何影響公司的網(wǎng)絡(luò)安全策略以及該策略的具體執(zhí)行情況非常重要。

云安全風(fēng)險是什么？

通過與本地數(shù)據(jù)中心對比，云安全提供商Alert Logic的數(shù)據(jù)展示了各種形式的云環(huán)境的風(fēng)險性質(zhì)與數(shù)量。在18個月的時間內(nèi)，為了對安全事件進(jìn)行量化和分類，該公司分析了來自3800多名客戶的147PB數(shù)據(jù)。在上述時間段內(nèi)，他們識別了2200多萬起客戶真正積極應(yīng)對的安全事件。重要發(fā)現(xiàn)包括：

混合云環(huán)境發(fā)生的安全事件平均數(shù)量最高，每名客戶為977起，后面依次是托管私有云（684起）、本地數(shù)據(jù)中心（612起）和公共云（405起）。

迄今為止，最常見的安全事件類型是Web應(yīng)用攻擊（75%），后面依次是暴力破解攻擊（16%）、偵測（5%）和服務(wù)器端勒索軟件（2%）。

Web應(yīng)用攻擊最常見的攻擊向量是SQL（47.74%）、Joomla（26.11%）、Apache Struts（10.11%）和Magento（6.98%）。

Wordpress是最常見的暴力破解攻擊目標(biāo)（41%），其次是MS SQL（19%）。

無論是公有云、私有云還是混合云環(huán)境，Web應(yīng)用威脅均為主要威脅。它們之間的區(qū)別是公司所面臨的風(fēng)險水平。Alert Logic的聯(lián)合創(chuàng)始人Misha Govshteyn稱：“作為防御方，在Alert Logic，我們有效保護(hù)公有云的能力更高一籌，因為我們能夠看到一個更出色的信噪比并追獵低噪音攻擊。當(dāng)我們看到在公有云環(huán)境中發(fā)生安全事件時，我們知道自己必須要提高警惕了，因為它們通常比較隱秘?！?/p>

數(shù)據(jù)顯示，一些平臺比其他平臺更加易受攻擊。Govshteyn稱：“盡管你盡了最大的努力，但平臺增加了你的受攻擊面?！彼e例稱，LAMP堆棧比基于微軟的應(yīng)用堆棧更加易受攻擊?！贝送?，他還將PHP應(yīng)用視為一個熱點。

Govshteyn稱：“內(nèi)容管理系統(tǒng)，尤其是Wordpress、Joomla和Django被作為Web應(yīng)用的平臺，其安全性的脆弱程度大大超出了大多數(shù)人的想象，并且存在著許多漏洞。確保這些系統(tǒng)的安全性是有可能的，但條件是你必須要清楚開發(fā)團隊傾向于使用什么Web框架和平臺。大多數(shù)安全人員很少關(guān)注這些細(xì)節(jié)，他們往往根據(jù)一些糟糕的假設(shè)做出決定?！?/p>

為了最大限度地降低云威脅的影響，Alert Logic給出了三個主要建議：

依靠應(yīng)用白名單來阻止對未知程序的訪問。這其中包括對組織機構(gòu)中使用的每個應(yīng)用程序進(jìn)行風(fēng)險與價值評估。

清楚自己的打補丁程序并優(yōu)先安裝補丁程序。

根據(jù)當(dāng)前用戶的職責(zé)限制管理和訪問權(quán)限。這需要將應(yīng)用和操作系統(tǒng)的權(quán)限始終保持最新狀態(tài)。

如何保護(hù)云安全

根據(jù)一份由網(wǎng)絡(luò)監(jiān)控解決方案提供商Gigamon贊助，市場研究機構(gòu)VansonBourne實施的調(diào)查顯示，73%的受訪者希望他們的大部分應(yīng)用工作負(fù)載運行在公有云或私有云上。在這部分受訪者中，35%的人希望以與處理本地操作“完全相同的方式”處理網(wǎng)絡(luò)安全。其余的人盡管不愿意進(jìn)行改變，但是他們相信自己別無選擇，只能改變他們的云安全策略。

誠然，并不是每個公司都會把敏感或關(guān)鍵的數(shù)據(jù)遷移到云端，因此對于他們來說，沒有多少理由可以讓他們改變策略。但是，大多數(shù)公司正在遷移關(guān)鍵和專有的公司信息（56%）或營銷資產(chǎn)（53%）。受歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等新隱私法規(guī)所帶來的影響，47%的人希望在云端擁有個人身份信息。

Govshteyn認(rèn)為公司應(yīng)將云安全策略的重點放在以下三個主要領(lǐng)域：

1. 工具。部署在云環(huán)境中的安全工具必須是云原生的，并且能夠保護(hù)Web應(yīng)用和云工作負(fù)載。 Govshteyn稱：“針對端點保護(hù)的安全技術(shù)將重點放在了云端并不常見的攻擊向量上，并且沒有足夠的能力應(yīng)對OWASP（開放式Web應(yīng)用安全項目）所列出的十大威脅，而這些威脅占到所有云攻擊的75%?！彼€強調(diào)稱，端點威脅針對的是Web瀏覽器和客戶端軟件，而基礎(chǔ)設(shè)施威脅的目標(biāo)則是服務(wù)器和應(yīng)用框架。

2.架構(gòu)。圍繞云提供的安全和管理優(yōu)勢定義你的架構(gòu)，而不是使用與傳統(tǒng)數(shù)據(jù)中心相同的架構(gòu)。Govshteyn稱：“現(xiàn)在我們有數(shù)據(jù)表明，純公共環(huán)境可以降低企業(yè)發(fā)生安全事件的概率，但只有使用云功能來設(shè)計更安全的基礎(chǔ)架構(gòu)才能實現(xiàn)。”他建議企業(yè)將每個應(yīng)用或微服務(wù)隔離在自己的虛擬私有云中，這樣可以減少任何入侵的影響范圍?！袄缪呕?shù)據(jù)泄露等重大數(shù)據(jù)泄露事件在一開始將不起眼的Web應(yīng)用作為初始入口向量，因此不重要的應(yīng)用往往會成為最大的問題?！绷硗?，不要在云部署中修補漏洞。相反，應(yīng)當(dāng)部署運行最新代碼的新的云基礎(chǔ)設(shè)施，并停用老舊的基礎(chǔ)設(shè)施。Govshteyn稱：“只有在部署實現(xiàn)自動化的情況下才能做到這一點。你將獲得的基礎(chǔ)設(shè)施控制級別是在傳統(tǒng)數(shù)據(jù)中心永遠(yuǎn)無法實現(xiàn)的?！?/p>

3.連接點。確定云部署與運行傳統(tǒng)代碼的傳統(tǒng)數(shù)據(jù)中心相互連接的點。他指出：“這些很可能是最大的問題來源，因為我們看到一個明顯的趨勢，即混合云部署可能會遭遇大部分安全事件。”

企業(yè)現(xiàn)有的所有安全策略并非必須都要為云進(jìn)行修改。Gigamon產(chǎn)品營銷高級經(jīng)理Tom Clavel稱：“對云使用與本地部署相同的安全策略，例如用于取證的深度內(nèi)容檢測和威脅檢測本身并不是一個壞主意。使用這種方式的企業(yè)通常是為了在安全架構(gòu)之間尋求一致性，以減少安全狀況的差距?！?/p>

Clavel補充道：“這一工作面臨的挑戰(zhàn)是如何獲得網(wǎng)絡(luò)流量來進(jìn)行這種檢測。盡管這些數(shù)據(jù)可以通過多種方式在本地獲得，但在云端卻無法做到。另外，即使他們能夠獲得流量，在沒有智能的情況下，將信息回傳至本地工具以進(jìn)行檢測的成本非常高并且會適得其反。”

云的可見性問題

在VansonBourne的調(diào)查中，受訪者抱怨稱，云可能會在安全領(lǐng)域制造盲點?？傮w而言，半數(shù)的受訪者稱云會“隱藏”那些讓他們能夠識別威脅的信息。他們還表示他們在云端錯過了一些信息，如哪些東西正在被加密（48%）、不安全的應(yīng)用或流量（47%）、SSL/TLS證書有效性（35%）等的信息。

在調(diào)查中，49%的受訪者表示，混合云環(huán)境進(jìn)一步阻礙了可見性，因為它能夠阻止安全團隊看到數(shù)據(jù)實際存儲位置。78%的受訪者稱，孤立的數(shù)據(jù)（一些由安全操作部門掌控，另一部分由網(wǎng)絡(luò)操作部門掌控）使得查找數(shù)據(jù)變得更加糟糕。

并非僅僅數(shù)據(jù)如此，安全團隊的可見性也受到了限制。在VansonBourne的調(diào)查中， 67%的受訪者表示，網(wǎng)絡(luò)盲點阻礙了他們保護(hù)公司數(shù)據(jù)的安全。為了獲得更好的可見性，Clavel建議首先要確定自己希望如何組織和實現(xiàn)安全狀態(tài)。他指出，“是完全都在云端，還是從本地擴展到云端呢？在這兩種情況下，確保應(yīng)用的網(wǎng)絡(luò)流量的完全可見性是安全策略的核心。你看到得越多，能夠保護(hù)得就越多。”

Clavel補充道：“為了解決可見性需求，找到一種方法以獲取、匯聚并優(yōu)化網(wǎng)絡(luò)流量到你的安全工具上，無論它們是入侵檢測系統(tǒng)（IDS）、安全信息和事件管理（SIEM）、取證、數(shù)據(jù)丟失防護(hù)（DLP）、高級威脅檢測（ATD），亦或同時進(jìn)行所有這些檢測。最后，添加SecOps程序?qū)崿F(xiàn)可見性和安全性的自動化以抵御檢測到的威脅?！?/p>

這些盲點和低信息可見性可能會導(dǎo)致GDPR合規(guī)性問題。66%的受訪者表示，缺乏可見性會使得落實GDPR合規(guī)性變得困難重重。只有59%的受訪者認(rèn)為他們的組織機構(gòu)已經(jīng)做好了在2018年5月最后期限前落實GDPR的準(zhǔn)備。

安全策略和實踐無法跟上云部署的步伐

甲骨文與畢馬威的《2018年云威脅報告》顯示，87%的公司目前制定了云優(yōu)先戰(zhàn)略，90%的公司表示他們在云端上的數(shù)據(jù)有一半為敏感數(shù)據(jù)。該報告的數(shù)據(jù)顯示，盡管這些公司在以一種激進(jìn)的方式部署云，但是安全實踐和規(guī)章制度似乎并沒有跟上。

甲骨文/畢馬威的報告數(shù)據(jù)來自對全球450個網(wǎng)絡(luò)安全公司和專業(yè)人員展開的調(diào)查。受訪者明確表示對云安全感到擔(dān)憂，但是大部分受訪者還未采取顯著的措施以降低云端上敏感數(shù)據(jù)的風(fēng)險。

82%的網(wǎng)絡(luò)主管認(rèn)為他們的員工沒有遵守云安全程序。另外，86%的受訪者無法收集和分析他們的大部分安全事件數(shù)據(jù)。

僅38%的受訪者表示檢測和響應(yīng)云安全事件是他們首要的網(wǎng)絡(luò)安全挑戰(zhàn)。

僅41%的受訪公司擁有專業(yè)的云安全架構(gòu)師。

有一些跡象顯示，公司在不久的未來將會更加嚴(yán)肅地對待云安全。大多數(shù)受訪者（84%）希望增加他們的安全自動化水平，89%的受訪者希望明年能夠增加網(wǎng)絡(luò)安全預(yù)算。

機器學(xué)習(xí)能否提供幫助？

云服務(wù)提供商正在努力提高客戶識別和解決潛在威脅的能力。例如，亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）宣布在2017年推出兩項依靠機器學(xué)習(xí)來保護(hù)客戶資產(chǎn)的服務(wù)。

AWS在當(dāng)年8月份推出了Macie服務(wù)，該服務(wù)主要側(cè)重于PCI、HIPAA和GDPR合規(guī)。它們會根據(jù)在Amazon S3存儲桶中的用戶內(nèi)容進(jìn)行培訓(xùn)，并在檢測到可疑活動時向客戶發(fā)出警報。在11月份發(fā)布的AWS GuardDuty使用了機器學(xué)習(xí)來分析AWS CloudTrail、VPC流日志和AWS DNS日志。與Macie一樣，GuardDuty專注于異常檢測并針對可疑活動向客戶發(fā)出警報。

機器學(xué)習(xí)的有效性取決于由算法和訓(xùn)練數(shù)據(jù)組成的模型。這個模型與用于培訓(xùn)的數(shù)據(jù)一樣，任何超出模型數(shù)據(jù)的事件都不會被Macie或GuardDuty等服務(wù)檢測到。

也就是說，AWS等云安全提供商將比任何單個客戶擁有更豐富的數(shù)據(jù)集。AWS擁有貫穿其整個網(wǎng)絡(luò)的可見性，這使得其在正常的和可能是惡意的情況下都能夠更加容易地訓(xùn)練其機器學(xué)習(xí)模型。盡管如此，客戶仍需要清楚機器學(xué)習(xí)不會檢測到機器學(xué)習(xí)模型中的培訓(xùn)數(shù)據(jù)之外的威脅。他們不能僅僅靠Macie和GuardDuty這樣的服務(wù)。

誰擁有云安全？

了解了其中的利害關(guān)系，62%的受訪者表示希望他們的安全運營中心（SOC）能夠控制網(wǎng)絡(luò)流量和數(shù)據(jù)以確保在云環(huán)境中得到充分的保護(hù)，這就一點也不奇怪了。他們中有一半人將會著手解決對網(wǎng)絡(luò)流量和數(shù)據(jù)的感知。

管理云環(huán)境的群組結(jié)構(gòu)導(dǎo)致獲得控制權(quán)甚至獲得完全可見性對于許多組織機構(gòu)來說可能是一個挑戰(zhàn)。雖然在69%的受訪者的公司中云安全由安全操作負(fù)責(zé)，但云操作（54%）或網(wǎng)絡(luò)操作也會涉及云安全。這導(dǎo)致對于誰應(yīng)當(dāng)主導(dǎo)云安全以及團隊間應(yīng)當(dāng)如何協(xié)作出現(xiàn)了混亂。事實上，48%的受訪者表示，團隊之間缺乏協(xié)作是識別和報告違規(guī)行為的最大障礙。

Clavel指出：“公司通常將網(wǎng)絡(luò)、安全和云的責(zé)任分開。每個部門都有不同的預(yù)算和不同的所有權(quán)，甚至是不同的管理工具。獲得對云端的可見性以確保其安全需要打破這三個部門之間的溝通障礙。部署在本地的同樣的安全工具也將能夠保護(hù)云端，因此云團隊和安全團隊需要溝通。”

哪些人應(yīng)該關(guān)注公司的云安全？這需要具有專業(yè)技能和能夠長期負(fù)責(zé)的人員或團隊。 Govshteyn稱：“需要找到能夠最快地轉(zhuǎn)向新的云計算安全模式的人員或團隊，并敦促他們制定未來三到五年的安全策略。”

Govshteyn表示：“在過去的幾年中，這些往往是由IT運營團隊或企業(yè)安全團隊負(fù)責(zé)，但在這一努力的核心中總是有一個架構(gòu)師級別的個人貢獻(xiàn)者或?qū)ｉT的云計算安全團隊。這個新的安全專業(yè)人員能夠編寫代碼，花費超過80%的時間實現(xiàn)工作的自動化，并將開發(fā)團隊視為同行而不是對手。”。他還補充道，在科技公司，安全有時是工程團隊的工作。

盡管目前很多公司的董事會對安全問題非常感興趣，但他們不會提供具體的幫助。他指出：“事實上，涉及云安全的許多關(guān)鍵決策都是由那些能夠跟上公有云快速發(fā)展步伐的技術(shù)人員所做出來的?！?/p>

超過半數(shù)的受訪者（53%）認(rèn)為保護(hù)云安全的任務(wù)將變得更加復(fù)雜，原因在于他們的公司并沒有落實云策略或相關(guān)框架。雖然幾乎所有這些公司都打算在未來這么做，但誰領(lǐng)導(dǎo)這些工作卻不明確。

Clavel稱：“安全和監(jiān)控工具也將能夠通過利用同一安全交付平臺提供更大的靈活性，因此網(wǎng)絡(luò)、安全和云部門需要同意共同承擔(dān)安全交付平臺的職責(zé)。正在將安全與監(jiān)控整合起來作為SOC的一部分，或是建立共同預(yù)算和共享所有權(quán)的安全交付平臺的公司將獲得更高的靈活性、更快的決策能力，以及本地部署和云部署相一致安全性。”

本文作者M(jìn)ichael Nadeau為CSO Online的資深編輯，他同時還擔(dān)任一些介紹公司如何充分利用ERP系統(tǒng)的雜志、書籍和知識庫的發(fā)行人與編輯。

原文網(wǎng)址 http：//www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html