如何保護云安全？新數據指明出路

Michael Nadeau 陳琳華

最新的研究報告顯示，公有云、私有云和混合云部署面臨的風險有著巨大的差異。以下關于工具、信息和組織結構的建議是執行一個成功的云安全策略所必須的。

將數據和服務向云端遷移，讓許多公司開始重新審視他們的網絡安全措施。他們是否需要一個云安全策略？云安全策略的區別之處在哪里？近期的調查揭示了安全策略正在如何變化，更為重要地是調查揭示了它們應當如何改變。

將更多的基礎設施部署在云端，在某種程度上比部署在本地更為安全。例如，你能夠確認系統正在運行帶有適當補丁的最新版本。云服務提供商也能夠創建如使用機器語言進行異常檢測等新功能。盡管如此，這也帶來了一些新的風險，其中一些是由于對如何管理云安全的誤解所造成的。

了解公司的IT策略（無論它們是混合云、私有托管云還是公有云）如何影響公司的網絡安全策略以及該策略的具體執行情況非常重要。

云安全風險是什么？

通過與本地數據中心對比，云安全提供商Alert Logic的數據展示了各種形式的云環境的風險性質與數量。在18個月的時間內，為了對安全事件進行量化和分類，該公司分析了來自3800多名客戶的147PB數據。在上述時間段內，他們識別了2200多萬起客戶真正積極應對的安全事件。重要發現包括：

混合云環境發生的安全事件平均數量最高，每名客戶為977起，后面依次是托管私有云（684起）、本地數據中心（612起）和公共云（405起）。

迄今為止，最常見的安全事件類型是Web應用攻擊（75%），后面依次是暴力破解攻擊（16%）、偵測（5%）和服務器端勒索軟件（2%）。

Web應用攻擊最常見的攻擊向量是SQL（47.74%）、Joomla（26.11%）、Apache Struts（10.11%）和Magento（6.98%）。

Wordpress是最常見的暴力破解攻擊目標（41%），其次是MS SQL（19%）。

無論是公有云、私有云還是混合云環境，Web應用威脅均為主要威脅。它們之間的區別是公司所面臨的風險水平。Alert Logic的聯合創始人Misha Govshteyn稱：“作為防御方，在Alert Logic，我們有效保護公有云的能力更高一籌，因為我們能夠看到一個更出色的信噪比并追獵低噪音攻擊。當我們看到在公有云環境中發生安全事件時，我們知道自己必須要提高警惕了，因為它們通常比較隱秘。”

數據顯示，一些平臺比其他平臺更加易受攻擊。Govshteyn稱：“盡管你盡了最大的努力，但平臺增加了你的受攻擊面。”他舉例稱，LAMP堆棧比基于微軟的應用堆棧更加易受攻擊。”此外，他還將PHP應用視為一個熱點。

Govshteyn稱：“內容管理系統，尤其是Wordpress、Joomla和Django被作為Web應用的平臺，其安全性的脆弱程度大大超出了大多數人的想象，并且存在著許多漏洞。確保這些系統的安全性是有可能的，但條件是你必須要清楚開發團隊傾向于使用什么Web框架和平臺。大多數安全人員很少關注這些細節，他們往往根據一些糟糕的假設做出決定。”

為了最大限度地降低云威脅的影響，Alert Logic給出了三個主要建議：

依靠應用白名單來阻止對未知程序的訪問。這其中包括對組織機構中使用的每個應用程序進行風險與價值評估。

清楚自己的打補丁程序并優先安裝補丁程序。

根據當前用戶的職責限制管理和訪問權限。這需要將應用和操作系統的權限始終保持最新狀態。

如何保護云安全

根據一份由網絡監控解決方案提供商Gigamon贊助，市場研究機構VansonBourne實施的調查顯示，73%的受訪者希望他們的大部分應用工作負載運行在公有云或私有云上。在這部分受訪者中，35%的人希望以與處理本地操作“完全相同的方式”處理網絡安全。其余的人盡管不愿意進行改變，但是他們相信自己別無選擇，只能改變他們的云安全策略。

誠然，并不是每個公司都會把敏感或關鍵的數據遷移到云端，因此對于他們來說，沒有多少理由可以讓他們改變策略。但是，大多數公司正在遷移關鍵和專有的公司信息（56%）或營銷資產（53%）。受歐盟《通用數據保護條例》（GDPR）等新隱私法規所帶來的影響，47%的人希望在云端擁有個人身份信息。

Govshteyn認為公司應將云安全策略的重點放在以下三個主要領域：

1. 工具。部署在云環境中的安全工具必須是云原生的，并且能夠保護Web應用和云工作負載。 Govshteyn稱：“針對端點保護的安全技術將重點放在了云端并不常見的攻擊向量上，并且沒有足夠的能力應對OWASP（開放式Web應用安全項目）所列出的十大威脅，而這些威脅占到所有云攻擊的75%。”他還強調稱，端點威脅針對的是Web瀏覽器和客戶端軟件，而基礎設施威脅的目標則是服務器和應用框架。

2.架構。圍繞云提供的安全和管理優勢定義你的架構，而不是使用與傳統數據中心相同的架構。Govshteyn稱：“現在我們有數據表明，純公共環境可以降低企業發生安全事件的概率，但只有使用云功能來設計更安全的基礎架構才能實現。”他建議企業將每個應用或微服務隔離在自己的虛擬私有云中，這樣可以減少任何入侵的影響范圍。“例如雅虎數據泄露等重大數據泄露事件在一開始將不起眼的Web應用作為初始入口向量，因此不重要的應用往往會成為最大的問題。”另外，不要在云部署中修補漏洞。相反，應當部署運行最新代碼的新的云基礎設施，并停用老舊的基礎設施。Govshteyn稱：“只有在部署實現自動化的情況下才能做到這一點。你將獲得的基礎設施控制級別是在傳統數據中心永遠無法實現的。”

3.連接點。確定云部署與運行傳統代碼的傳統數據中心相互連接的點。他指出：“這些很可能是最大的問題來源，因為我們看到一個明顯的趨勢，即混合云部署可能會遭遇大部分安全事件。”

企業現有的所有安全策略并非必須都要為云進行修改。Gigamon產品營銷高級經理Tom Clavel稱：“對云使用與本地部署相同的安全策略，例如用于取證的深度內容檢測和威脅檢測本身并不是一個壞主意。使用這種方式的企業通常是為了在安全架構之間尋求一致性，以減少安全狀況的差距。”

Clavel補充道：“這一工作面臨的挑戰是如何獲得網絡流量來進行這種檢測。盡管這些數據可以通過多種方式在本地獲得，但在云端卻無法做到。另外，即使他們能夠獲得流量，在沒有智能的情況下，將信息回傳至本地工具以進行檢測的成本非常高并且會適得其反。”

云的可見性問題

在VansonBourne的調查中，受訪者抱怨稱，云可能會在安全領域制造盲點。總體而言，半數的受訪者稱云會“隱藏”那些讓他們能夠識別威脅的信息。他們還表示他們在云端錯過了一些信息，如哪些東西正在被加密（48%）、不安全的應用或流量（47%）、SSL/TLS證書有效性（35%）等的信息。

在調查中，49%的受訪者表示，混合云環境進一步阻礙了可見性，因為它能夠阻止安全團隊看到數據實際存儲位置。78%的受訪者稱，孤立的數據（一些由安全操作部門掌控，另一部分由網絡操作部門掌控）使得查找數據變得更加糟糕。

并非僅僅數據如此，安全團隊的可見性也受到了限制。在VansonBourne的調查中， 67%的受訪者表示，網絡盲點阻礙了他們保護公司數據的安全。為了獲得更好的可見性，Clavel建議首先要確定自己希望如何組織和實現安全狀態。他指出，“是完全都在云端，還是從本地擴展到云端呢？在這兩種情況下，確保應用的網絡流量的完全可見性是安全策略的核心。你看到得越多，能夠保護得就越多。”

Clavel補充道：“為了解決可見性需求，找到一種方法以獲取、匯聚并優化網絡流量到你的安全工具上，無論它們是入侵檢測系統（IDS）、安全信息和事件管理（SIEM）、取證、數據丟失防護（DLP）、高級威脅檢測（ATD），亦或同時進行所有這些檢測。最后，添加SecOps程序實現可見性和安全性的自動化以抵御檢測到的威脅。”

這些盲點和低信息可見性可能會導致GDPR合規性問題。66%的受訪者表示，缺乏可見性會使得落實GDPR合規性變得困難重重。只有59%的受訪者認為他們的組織機構已經做好了在2018年5月最后期限前落實GDPR的準備。

安全策略和實踐無法跟上云部署的步伐

甲骨文與畢馬威的《2018年云威脅報告》顯示，87%的公司目前制定了云優先戰略，90%的公司表示他們在云端上的數據有一半為敏感數據。該報告的數據顯示，盡管這些公司在以一種激進的方式部署云，但是安全實踐和規章制度似乎并沒有跟上。

甲骨文/畢馬威的報告數據來自對全球450個網絡安全公司和專業人員展開的調查。受訪者明確表示對云安全感到擔憂，但是大部分受訪者還未采取顯著的措施以降低云端上敏感數據的風險。

82%的網絡主管認為他們的員工沒有遵守云安全程序。另外，86%的受訪者無法收集和分析他們的大部分安全事件數據。

僅38%的受訪者表示檢測和響應云安全事件是他們首要的網絡安全挑戰。

僅41%的受訪公司擁有專業的云安全架構師。

有一些跡象顯示，公司在不久的未來將會更加嚴肅地對待云安全。大多數受訪者（84%）希望增加他們的安全自動化水平，89%的受訪者希望明年能夠增加網絡安全預算。

機器學習能否提供幫助？

云服務提供商正在努力提高客戶識別和解決潛在威脅的能力。例如，亞馬遜網絡服務（AWS）宣布在2017年推出兩項依靠機器學習來保護客戶資產的服務。

AWS在當年8月份推出了Macie服務，該服務主要側重于PCI、HIPAA和GDPR合規。它們會根據在Amazon S3存儲桶中的用戶內容進行培訓，并在檢測到可疑活動時向客戶發出警報。在11月份發布的AWS GuardDuty使用了機器學習來分析AWS CloudTrail、VPC流日志和AWS DNS日志。與Macie一樣，GuardDuty專注于異常檢測并針對可疑活動向客戶發出警報。

機器學習的有效性取決于由算法和訓練數據組成的模型。這個模型與用于培訓的數據一樣，任何超出模型數據的事件都不會被Macie或GuardDuty等服務檢測到。

也就是說，AWS等云安全提供商將比任何單個客戶擁有更豐富的數據集。AWS擁有貫穿其整個網絡的可見性，這使得其在正常的和可能是惡意的情況下都能夠更加容易地訓練其機器學習模型。盡管如此，客戶仍需要清楚機器學習不會檢測到機器學習模型中的培訓數據之外的威脅。他們不能僅僅靠Macie和GuardDuty這樣的服務。

誰擁有云安全？

了解了其中的利害關系，62%的受訪者表示希望他們的安全運營中心（SOC）能夠控制網絡流量和數據以確保在云環境中得到充分的保護，這就一點也不奇怪了。他們中有一半人將會著手解決對網絡流量和數據的感知。

管理云環境的群組結構導致獲得控制權甚至獲得完全可見性對于許多組織機構來說可能是一個挑戰。雖然在69%的受訪者的公司中云安全由安全操作負責，但云操作（54%）或網絡操作也會涉及云安全。這導致對于誰應當主導云安全以及團隊間應當如何協作出現了混亂。事實上，48%的受訪者表示，團隊之間缺乏協作是識別和報告違規行為的最大障礙。

Clavel指出：“公司通常將網絡、安全和云的責任分開。每個部門都有不同的預算和不同的所有權，甚至是不同的管理工具。獲得對云端的可見性以確保其安全需要打破這三個部門之間的溝通障礙。部署在本地的同樣的安全工具也將能夠保護云端，因此云團隊和安全團隊需要溝通。”

哪些人應該關注公司的云安全？這需要具有專業技能和能夠長期負責的人員或團隊。 Govshteyn稱：“需要找到能夠最快地轉向新的云計算安全模式的人員或團隊，并敦促他們制定未來三到五年的安全策略。”

Govshteyn表示：“在過去的幾年中，這些往往是由IT運營團隊或企業安全團隊負責，但在這一努力的核心中總是有一個架構師級別的個人貢獻者或專門的云計算安全團隊。這個新的安全專業人員能夠編寫代碼，花費超過80%的時間實現工作的自動化，并將開發團隊視為同行而不是對手。”。他還補充道，在科技公司，安全有時是工程團隊的工作。

盡管目前很多公司的董事會對安全問題非常感興趣，但他們不會提供具體的幫助。他指出：“事實上，涉及云安全的許多關鍵決策都是由那些能夠跟上公有云快速發展步伐的技術人員所做出來的。”

超過半數的受訪者（53%）認為保護云安全的任務將變得更加復雜，原因在于他們的公司并沒有落實云策略或相關框架。雖然幾乎所有這些公司都打算在未來這么做，但誰領導這些工作卻不明確。

Clavel稱：“安全和監控工具也將能夠通過利用同一安全交付平臺提供更大的靈活性，因此網絡、安全和云部門需要同意共同承擔安全交付平臺的職責。正在將安全與監控整合起來作為SOC的一部分，或是建立共同預算和共享所有權的安全交付平臺的公司將獲得更高的靈活性、更快的決策能力，以及本地部署和云部署相一致安全性。”

本文作者Michael Nadeau為CSO Online的資深編輯，他同時還擔任一些介紹公司如何充分利用ERP系統的雜志、書籍和知識庫的發行人與編輯。

原文網址 http：//www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html