怎樣確保云的安全？新的數(shù)據(jù)指出了一條路

Michael+Nadeau

編譯 Charles

兩份新報告顯示，公有、私有和混合云部署風(fēng)險有很大差異。本文為成功實(shí)現(xiàn)云安全策略所需的工具、信息和組織結(jié)構(gòu)提供了一些建議。

數(shù)據(jù)和服務(wù)向云端的遷移促使很多企業(yè)重新考慮他們的網(wǎng)絡(luò)安全方法。他們需要云安全策略嗎？云安全策略有什么不同？最近的兩項調(diào)查揭示了安全策略是怎樣改變的，更重要的是，應(yīng)該怎樣改變。

把更多的IT基礎(chǔ)設(shè)施放到云中在某些方面要比放在本地更安全。例如，您能夠比較有把握地確定系統(tǒng)正在運(yùn)行最新版本，而且打上了適當(dāng)?shù)难a(bǔ)丁。然而，這也帶來了新的風(fēng)險，其中一些是由于不能正確理解怎樣管理云安全造成的。

重要的是要知道一個公司的云IT策略——無論是混合型的，私有托管的，還是公有的，都會影響其網(wǎng)絡(luò)安全策略以及策略的具體執(zhí)行。

什么是云安全風(fēng)險？

來自云安全提供商Alert Logic的數(shù)據(jù)揭示了每種形式的云環(huán)境與本地數(shù)據(jù)中心相比所具有的風(fēng)險特點(diǎn)和風(fēng)險大小。18個月來，該公司分析了3，800多家客戶的147拍字節(jié)數(shù)據(jù)，對安全事件進(jìn)行量化和分類。在此期間，確定了220多萬個真正的安全事件。主要發(fā)現(xiàn)包括：

● 每名客戶平均經(jīng)歷最多的事件是在混合云環(huán)境下，數(shù)量達(dá)到977，其次是托管私有云（684）、本地數(shù)據(jù)中心（612）和公有云（405）。

● 迄今為止，最常見的事件類型是Web應(yīng)用程序攻擊（75%），其次是暴力破解攻擊（16%）、偵察（5%），以及服務(wù)器端勒索攻擊（2%）。

● Web應(yīng)用程序攻擊最常見的途徑是SQL（47.74%）、Joomla（26.11%）、Apache Struts（10.11%），以及Magento（6.98%）。

● WordPress是最常見的暴力破解對象，達(dá)到41%，其次是MS SQL，為19%。

無論是公有的、私有的還是混合云環(huán)境，Web應(yīng)用程序威脅都是最主要的攻擊，它們之間的不同之處在于所面臨的風(fēng)險等級。Alert Logic的聯(lián)合創(chuàng)始人Misha Govshteyn說：“作為防御方，Alert Logic在高效地保護(hù)公有云方面有很強(qiáng)的能力，因?yàn)槲覀兡軌蚯宄乜吹侥切┰噲D隱藏起來的攻擊，并一舉抓獲它們。當(dāng)我們發(fā)現(xiàn)公有云環(huán)境中的安全事件時，我們知道必須非常小心，因?yàn)樗鼈兺ǔ浅０察o。”

數(shù)據(jù)表明，某些平臺要比其他平臺更容易受到攻擊。Govshteyn說：“雖然您盡了最大努力，這也會使您容易遭受攻擊。”作為一個例子，他指出，與流行的看法不同，LAMP堆棧要比基于微軟的應(yīng)用程序堆棧更容易受到攻擊。他認(rèn)為PHP應(yīng)用程序也是一個熱點(diǎn)。

Govshteyn說：“內(nèi)容管理系統(tǒng)，特別是WordPress、Joomla和Django，作為Web應(yīng)用程序平臺，很多人對此并不了解，這些系統(tǒng)有很多漏洞。只有當(dāng)您了解開發(fā)團(tuán)隊要使用哪種Web框架和平臺時，才有可能保持這些系統(tǒng)安全。大多數(shù)安全人員很少注意到這些細(xì)節(jié)，而是根據(jù)糟糕的假設(shè)來做出決定。”

為了減少云威脅的影響，Alert Logic提出了三個關(guān)鍵建議：

● 依靠應(yīng)用程序白名單來阻止未知程序。這包括對企業(yè)中使用的每一應(yīng)用程序進(jìn)行風(fēng)險與價值評估。

● 了解自己打補(bǔ)丁的過程，并考慮哪些補(bǔ)丁應(yīng)優(yōu)先部署。

● 限制基于當(dāng)前用戶職責(zé)的管理和訪問權(quán)限。這需要為應(yīng)用程序和操作系統(tǒng)更新保留權(quán)限。

怎樣保護(hù)云

據(jù)市場研究公司VansonBourne的調(diào)查（由網(wǎng)絡(luò)監(jiān)控解決方案提供商Gigamon提供贊助），73%的受訪者預(yù)計他們的大部分應(yīng)用程序工作負(fù)載將在公有云或者私有云中。然而，35%的受訪者希望以“完全相同的方式”來處理網(wǎng)絡(luò)安全問題，即就像在本地操作一樣。其余受訪者雖然不愿意改變，但他們知道除了改為云安全策略之外別無選擇。

當(dāng)然，并非所有公司都會把敏感或者關(guān)鍵的數(shù)據(jù)遷移到云端，因此，對他們來說，沒有太多的理由去改變策略。然而，很多公司都在遷移關(guān)鍵的和私有的公司信息（56%）和營銷資產(chǎn)（53%）。47%希望在云上有個人身份信息，這也是由于受到歐盟GDPR等新的隱私法規(guī)的影響。

據(jù)Govshteyn，企業(yè)應(yīng)從以下三個主要方面關(guān)注自己的云安全策略：

1. 工具。部署在云環(huán)境中的安全工具必須是云原生的，能夠保護(hù)Web應(yīng)用程序和云工作負(fù)載。Govshteyn說：“設(shè)計用于端點(diǎn)保護(hù)的安全技術(shù)重點(diǎn)都集中在云中并不常見的一些攻擊途徑上，不能很好地應(yīng)對OWASP 10大威脅——這些威脅占據(jù)了所有云攻擊的75%。”他指出，端點(diǎn)威脅主要針對Web瀏覽器和客戶端軟件，而基礎(chǔ)設(shè)施威脅的目標(biāo)則是服務(wù)器和應(yīng)用程序框架。

2. 架構(gòu)。考慮云帶來的安全和管理優(yōu)勢，重新定義您的架構(gòu)，而不要采用與傳統(tǒng)數(shù)據(jù)中心相同的架構(gòu)。Govshteyn說：“現(xiàn)在我們有數(shù)據(jù)表明，純公有環(huán)境能夠讓企業(yè)降低安全事件發(fā)生率，但只有使用云功能來設(shè)計更安全的基礎(chǔ)設(shè)施后，才能實(shí)現(xiàn)這一點(diǎn)。”他建議在自己的虛擬私有云中隔離每一應(yīng)用程序或者微服務(wù)，從而盡可能限制入侵影響范圍。“像雅虎出現(xiàn)的泄露事件，就是從簡單Web應(yīng)用程序作為初始入侵途徑開始的，所以最不重要的應(yīng)用程序常常會成為您最大的問題。”另外，不要在云部署中給漏洞打補(bǔ)丁。相反，部署新的云基礎(chǔ)設(shè)施，運(yùn)行最新的代碼，逐步拆除老的基礎(chǔ)設(shè)施。Govshteyn說：“只有自動部署才能做到這一點(diǎn)，您能夠加強(qiáng)對基礎(chǔ)設(shè)施的控制，而這在傳統(tǒng)數(shù)據(jù)中心是無法實(shí)現(xiàn)的。”

3. 連接點(diǎn)。找到您的云部署與運(yùn)行老代碼的傳統(tǒng)數(shù)據(jù)中心的連接點(diǎn)。他說：“這些可能是問題的最大來源，因?yàn)槲覀兛吹阶蠲黠@的趨勢是，混合云部署更有可能出現(xiàn)安全事件。”

企業(yè)并沒有必要針對云去改變現(xiàn)有的所有安全策略。Gigamon產(chǎn)品營銷高級經(jīng)理Tom Clavel說：“在云端和本地使用相同的安全策略——例如，用于取證和威脅檢測的深度內(nèi)容檢查功能，這是不錯的主意。企業(yè)之所以這樣，主要是為了保持他們安全架構(gòu)之間的一致性，盡量避免安全狀況出現(xiàn)缺陷。”

Clavel補(bǔ)充說：“難點(diǎn)在于他們怎樣訪問網(wǎng)絡(luò)數(shù)據(jù)流以便進(jìn)行這類監(jiān)測。雖然在本地可以采用各種方式訪問這些數(shù)據(jù)，但在云中卻不行。而且，即使他們能夠訪問數(shù)據(jù)流，通過管道把信息回傳給本地工具進(jìn)行監(jiān)測，如果沒有智能化，這會極其昂貴，而且適得其反。”

云的可視化問題

VansonBourne受訪者抱怨的是，云的安全環(huán)境中有可能出現(xiàn)盲點(diǎn)。總體上，一半的人認(rèn)為云會“隱藏”有助于他們發(fā)現(xiàn)威脅的信息。他們還說，采用云之后，他們不能掌握很多信息，例如，哪些數(shù)據(jù)被加密了（48%），不安全的應(yīng)用程序和數(shù)據(jù)流（47%），以及SSL/TLS證書有效性等（35%）。

49%的調(diào)查受訪者認(rèn)為，混合云環(huán)境更不利于可視化，因?yàn)樵谶@種環(huán)境下，安全部門看不到數(shù)據(jù)實(shí)際存儲在哪里。78%的受訪者聲稱，一些孤立的數(shù)據(jù)，有的掌握在安全運(yùn)營部門那里，而有的在網(wǎng)絡(luò)運(yùn)營部門那里，這加大了數(shù)據(jù)尋找工作的難度。

安全部門的可視化受限不僅體現(xiàn)在數(shù)據(jù)上。67%的VansonBourne受訪者表示，網(wǎng)絡(luò)盲點(diǎn)阻礙了他們保護(hù)自己的企業(yè)。為增強(qiáng)可視化，Clavel建議首先確定您希望怎樣組織和實(shí)施您的安全環(huán)境。他說：“全部在云中，還是從本地部署延伸到云中？在這兩種情況下，確保完全能夠看到應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)流是您安全策略的核心。看到的越多，就越安全。”

Clavel補(bǔ)充說：“為滿足可視化需求，應(yīng)找到一種方法來采集、匯集和優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)流，將其發(fā)送給您的安全工具——無論它們是入侵檢測系統(tǒng)（IDS）、安全信息和事件管理（SIEM）、取證、數(shù)據(jù)丟失防護(hù)（DLP）、高級威脅檢測（ATD）等工具，或者同時所有這些。最后，添加SecOps進(jìn)程，即使您的云部署規(guī)模不斷增長，也能夠自動進(jìn)行可視化操作，對檢測到的威脅做好防護(hù)。”

這些盲點(diǎn)和較差的信息可視化問題會帶來GDPR合規(guī)問題。66%的受訪者表示，缺少可視化功能將導(dǎo)致很難遵守GDPR。只有59%的受訪者認(rèn)為他們的企業(yè)在2018年5月之前能夠準(zhǔn)備好GDPR。

誰擁有云安全？

考慮到所面臨的威脅，也就能夠理解為什么62%的受訪者希望他們的安全運(yùn)營中心（SOC）能夠控制好網(wǎng)絡(luò)流量和數(shù)據(jù)，以確保在云環(huán)境中保護(hù)好數(shù)據(jù)。有一半的受訪者認(rèn)為應(yīng)加強(qiáng)網(wǎng)絡(luò)流量和數(shù)據(jù)方面的安全意識。

很多企業(yè)由于管理云環(huán)境的部門結(jié)構(gòu)問題，導(dǎo)致很難實(shí)現(xiàn)控制或者全面可視化。在69%的受訪者中，由安全運(yùn)營部門負(fù)責(zé)企業(yè)的云安全，這些部門也涉及云運(yùn)營（54%）和網(wǎng)絡(luò)運(yùn)營。這帶來的問題是，到底由誰負(fù)責(zé)云安全，部門之間應(yīng)怎樣協(xié)作。事實(shí)上，48%的受訪者表示，部門之間缺乏協(xié)作是發(fā)現(xiàn)并報告泄露事件的最大障礙。

Clavel說：“通常，企業(yè)把責(zé)任分?jǐn)偨o網(wǎng)絡(luò)、安全和云部門。但每一部門都有不同的預(yù)算、不同的所有權(quán)，甚至有不同的工具來管理安全問題。如果希望通過增強(qiáng)云的可視化以保證其安全，則需要破除這三個部門之間的交流障礙。本地部署的同樣的安全工具也能保證云的安全——因此，云部門和安全部門之間應(yīng)進(jìn)行溝通。”

什么類型的人才能負(fù)起企業(yè)的云安全責(zé)任？需要的是有合適的技能和能力而且能長期工作的人才或者團(tuán)隊。Govshteyn說：“找到能讓您盡快實(shí)現(xiàn)云安全的人才或者團(tuán)隊，支持他們規(guī)劃好未來三到五年的安全策略。”

Govshteyn說：“在過去的幾年中，這往往是IT運(yùn)維部門或者企業(yè)安全部門的工作，但總有架構(gòu)師級的個人或者專業(yè)的云安全團(tuán)隊成為這項工作的核心。這些新一代的安全專業(yè)人員能夠編寫代碼，花費(fèi)80%以上的時間實(shí)現(xiàn)其工作的自動化，把研發(fā)部門看成是自己的同事，而不是對手”，他還補(bǔ)充說，在科技公司，安全有時是工程部門的職能。

盡管董事會現(xiàn)在對安全非常感興趣，但從根本上看，他們還是幫不上忙。他說：“事實(shí)上，目前涉及到云安全問題的大部分關(guān)鍵決策是由技術(shù)人員做出的，只有他們能夠跟上公有云的快速發(fā)展。”

超過一半（53%）的受訪者認(rèn)為，企業(yè)沒有實(shí)施云策略或者框架的原因是云安全工作太復(fù)雜了。雖然幾乎所有這些企業(yè)都計劃未來會加強(qiáng)安全工作，但還不清楚應(yīng)該由誰來負(fù)責(zé)。

Clavel說：“安全和監(jiān)測工具也可以利用相同的安全交付平臺來提高靈活性——那么，網(wǎng)絡(luò)、安全和云部門也應(yīng)同意共同承擔(dān)安全交付平臺的責(zé)任。企業(yè)把鞏固自己的安全和監(jiān)控活動作為SOC的一部分工作，或者至少為安全交付平臺建立共同預(yù)算，共享所有權(quán)，這類企業(yè)能夠更靈活、更快的做出決策，保證本地部署和云部署同樣安全。”

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢。

原文網(wǎng)址：

http：//www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html