云环境中的安全性怎么保障？专家推荐6种方法帮企业完善

导语：云服务已经变得很是普及，但这并不意味着云安全的威胁已经消失。那么，企业在多云或混合云环境下该如何加强安全性呢，看这些研究机构给出什么样的安全策略。

　　本文译者：“开源村OSV”微信公众号

　　多年以来，因为对安全威胁的担心，许多企业和IT高管一直对公共云持怀疑态度，甚至彻底避免了使用这些服务。

　　随着云服务市场的成熟以及领先的云提供商构建高度安全的基础架构，这些担心在很大程度上获得缓解。但这并不意味着云安全的威胁已经消失，也不意味着云客户应该假定他们再也不负责确保其数据受到保护。

　　“云配置错误是攻击者首先要检查的...小小的疏忽，例如没法删除旧账户，可能会在几秒钟内引发问题。”云安全联盟（CSA）指出：“全球云采用率的上升带来了新的云安全威胁，黑客能够在其中研究公司的弱点并得到未经受权的访问以窃取机密信息。”

　　CSA说：“咱们须要更智能，更敏捷的控件来应对此类威胁，而这正是云服务提供商[CSP]的传统安全措施失败的地方。”该组织根据CSA最高威胁工做组对其成员的调查和问卷调查，肯定了云计算的最高威胁，其中包括数据泄露；缺少云安全架构和策略；身份，凭证，访问和密钥管理不足；帐号劫持；内部威胁；不安全的接口和应用程序编程接口（API）；而且云使用状况的可见性有限。

　　如今依赖多个或混合云环境来支持其业务流程的组织须要保持警戒，以确保其数据和应用程序安全—就像这些资源位于内部时同样。

　　知名国际研究公司Gartner对云安全作出了许多预测，这些预测应该引发CISO和其余安全主管的关注，包括：第一是到2025年，没法控制公共云使用的组织中有90％将不恰当地共享敏感数据；第二是到2024年，大多数组织将继续努力以适当地衡量云安全风险。第三是到2025年，有99％的云安全故障将是客户的错，而不是云提供商的错。

　　如下是针对企业客户如何在云环境中加强安全性的一些具体建议。

　　1.部署身份和访问管理工具

　　Gartner云安全高级总监兼分析师Steve Riley说，管理谁有权访问云中的哪些数据和服务应该是云网络安全计划的基础。

　　在公共云中，“在单个资源和数据对象级别的逻辑访问控制变得相当重要。” “身份也许是虚拟边界的最重要形式，能够有效地减小潜在漏洞的攻击面。”

　　Riley说，任何拥有互联网链接的人均可以访问云管理控制台和驻留于云的应用程序。结果，用于维持对组织云服务部分的任何基础策略的控制，都是有效的身份和访问管理（IAM）策略。

　　“当组织设计一个既能实现业务又能保护业务的IAM策略时，请记住，最小特权原则仍然是有用的基础。” “习惯性强，可是实施了一个过程，能够快速，轻松地请求和授予其余特权，而对我的工做流程的干扰最小。”

　　Riley说，当特权分配太窄时，系统就会“安全失效”，错误每每不会形成安全问题。可是“当任务分配过于普遍时（一般是因为权利的攀升而引发的），状况偏偏相反：错误每每会形成真正的安全问题。”

　　如今大多数公共云服务都提供基于角色的管理，内置的多因素身份验证（MFA）和普遍的日志记录功能。“有些能够与特权访问管理工具集成。大多数服务还提供某种形式的“有效权限”评估程序，这有助于消除猜想是否能够肯定用户或服务账户的权限范围是否过大。”

　　Riley说，的权限太广和对象的访问权限太广表明了最多见，最危险的云安全问题。

　　2.防止安全配置错误

　　研究公司IDC安全与信任项目副总裁Frank Dickson说，对云环境的最大威胁是配置错误。

　　Dickson说，例如，开放的Amazon Web Services（AWS）的简单存储服务（S3）存储桶已成为引发人们高度关注的漏洞的源头，但一些组织选择将公共云存储资源保持开放状态。

　　“尽管默认状况下不打开S3存储桶；他们是封闭的，”Dickson说。“客户必须决定打开存储桶并使其暴露在外。古老的格言说，一盎司的预防赛过一磅的治疗。好吧，在适当的云配置上进行的一盎司投资至关于20磅的云安全工具。”

　　根据CSA的说法，云配置错误是攻击者首先要检查的内容，而小的安全疏忽（例如没法删除旧账户）可能会在几秒钟内引发问题。能够错误配置云的常见方法之一是缺少访问限制。而且缺少数据保护，尤为是对于以纯文本形式上传到云中的我的信息。

　　CSA说，配置错误的另外一个缘由是没法审核和验证云资源。该组织报告说，缺少对资源和配置的按期审核可能会致使安全漏洞，随时可能被恶意攻击者利用。

　　公司还能够忽略日志记录和监视。及时检查数据和访问日志对于识别和标记与安全相关的事件相当重要。

　　最后，组织能够为用户提供“过分受权”访问权限。CSA说，用户访问应仅限于我的容许使用的应用程序和数据。

　　3.下降云管理的复杂性

　　为单个云服务提供足够的安全性对于组织来讲多是一个巨大的挑战。在组合中添加的云服务和云提供商会愈来愈多，保护数据的挑战变得愈来愈大。

　　对于愈来愈多的组织而言，向云的迁移最终意味着拥有多云或混合云环境。这可能会致使高度复杂的基础架构，其中包含各类公共云服务提供商和各类类型的云服务，而且可能带来许多安全风险。

　　Dickson说，在以云为主的环境中解决网络安全的早期步骤之一应该是下降复杂性。IDC估计，有80％的公司拥有不止一个基础架构即服务（IaaS）提供商。

　　许多组织还但愿使用来自不一样提供商的多种软件即服务（SaaS）和平台即服务（PaaS）产品，由于它们但愿减小运营支出并在为用户和用户提供服务时得到更大的敏捷性。顾客。

　　拥有多个云，每一个云都有本身的特色，可能很难保护。“若是可能，请尽可能减小云提供商的数量，” Dickson说。“更少的云提供商一般意味着更少的安全提供商。供应商合并进一步下降了复杂性。”

　　4.将重点更多地放在检测和响应上

　　Riley说，因为放弃了对云的某些控制，组织应该指望对云活动进行更多的监视，以证实治理程序已经到位并正在被遵照。

　　“大多数CSP提供了必要的工具来检测资源，工做负载和应用程序，以收集原始日志数据，但可能会限制日志数据的存储位置。” “将这些数据转换为有用的信息带来了挑战，而且可能须要CSP提供的或第三方的产品或服务，尤为是在须要将日志数据从一个地理区域转移到另外一个地理区域的状况下。”

　　Riley说，一些Gartner客户更喜欢依靠现有的安全信息和事件管理（SIEM）工具，而且许多云服务都支持更流行的服务。其余客户报告说，SIEM工具笨拙且嘈杂，更喜欢云原生服务。

　　“可是，在投资另外一种产品以前，组织应该首先研究云服务的内置日志记录，报告和分析功能。”

　　SaaS应用程序倾向于提供汇总，关联和分析行为的各类报告的集合。Riley说：“对于仅使用一个或几个SaaS应用程序的组织来讲，这些可能就足够了。” 对于订阅了许多SaaS应用程序的组织而言，云访问安全代理（CASB）或SaaS管理平台（SMP）多是评估SaaS安全情况以及标准化控制和治理的更好选择。

　　Riley说：“ IaaS和PaaS提供商提供了仪器所需的原语，并指望其客户将输出收集到能够理解数据的服务中。” “愈来愈多的IaaS和PaaS CSP提供本机事件分析和调查功能。”

　　此外，云安全状态管理（CSPM）工具提供了高效的机制，可用于评估工做负载的配置以及检测和补救不合规设置。

　　5.部署数据加密

　　若是数据落入不法之徒的手中，数据加密是组织能够用来保护数据的更强大的安全工具之一。

　　Dickson说：“默认状况下，数据会离开场所，所以数据的保护在云中变得很是重要。” “必须对运动中的数据和静止数据进行加密。

　　Riley说，加密提供了额外的逻辑隔离层。他说：“对于许多安全团队来讲，围绕是否默认加密全部内容的争论一直都在继续着。” 对于IaaS和PaaS中的大容量存储，合理的方法可能就是这样作。它简化了配置过程，避免了敏感数据被无心公开的状况，而且对于仅删除密钥就破坏数据颇有用。”

　　加密还能够做为访问控制策略的双重检查。“要读取加密的对象，必须在两个访问控制列表上存在一个账户：对象自己的账户和对对象进行加密的密钥的账户。” “授予访问权限时必须达成共识的机制表明着一种有效的纵深防护方式。”

　　Riley说，对于SaaS和PaaS中的应用层数据，这一决定更为复杂。“在PaaS / SaaS应用程序的上下文以外加密数据会下降应用程序的功能，组织必须权衡功能和隔离之间该如何平衡。”

　　加密不能替代信任。他说：“对加密数据进行任何有用的处理都须要先对其进行解密，而后将其读入内存，从而使其容易遭受基于内存的攻击。”

　　6.将培训和教育做为优先事项

　　与任何其余网络安全计划同样，对用户进行安全风险教育相当重要。对于许多组织和员工来讲，迁移到云仍然是一个相对较新的概念，所以须要优先考虑培训和程序编写指南。

　　CSA全球研究副总裁John Yeoh表示：“开始对本身和您的员工进行有关云安全的教育。” “有许多教育性文件和课程可供您学习有关云中的安全基础知识。”

　　CSA的基础文档名为“云计算关键领域的安全指南”，还有一个培训课程，名为“云安全知识证书”。

　　Yeoh说：“对于那些使用特定云服务和工具的人来讲，了解这些工具很是重要。” “提供商不断在其服务中添加和更改功能。正确使用这些功能并了解标准配置对于安全使用这些服务相当重要。”

　　创建具备基本云知识的安全文化“是经过减小人为错误因素并提升对云最佳实践的认识来改善公司安全情况的重要一步。”教育还应该扩展到确切地了解云提供商在安全性方面提供了什么。CSA的云控制矩阵使您能够查看和比较云服务提供商如何达到或超过基线安全要求。

　　Yeoh表示：“拥有业界正在实施的通用云安全控制框架，能够为该云服务提供商及其服务创造信任和保证。” “肯定对于组织对该服务的使用相当重要的安全性要求，并确保经过框架中提供的控件知足这些要求。这种作法能够加快采购流程并改善您的安全情况。”