技術(shù)
導(dǎo)讀:以下將重點(diǎn)介紹云安全的基本概念,并提出改善云安全性的10條規(guī)則
據(jù)估計(jì),全球50%的企業(yè)已經(jīng)將數(shù)據(jù)存儲(chǔ)在云中,這充分說(shuō)明了這個(gè)相對(duì)年輕的行業(yè)呈爆炸性增長(zhǎng)的原因。人們都知道推動(dòng)云采用的好處:提高靈活性、易于擴(kuò)展和成本效益。
但在安全性方面,事情更加微妙:對(duì)于一些人來(lái)說(shuō),將企業(yè)最有價(jià)值的資產(chǎn)交給第三方進(jìn)行存儲(chǔ)或處理是一種瘋狂的想法,但對(duì)于其他人(絕大多數(shù))來(lái)說(shuō),這是有道理的。企業(yè)可以從云計(jì)算提供商為保護(hù)其數(shù)據(jù)而部署的大量安全資源中受益,云計(jì)算提供商的工程師需要全天候工作以完成他們的使命。盡管如此,這還不是故事的結(jié)局。
以下將重點(diǎn)介紹云安全的基本概念,并提出改善云安全性的10條規(guī)則
責(zé)任共擔(dān)模型
云中的安全性遵循一種稱為責(zé)任共擔(dān)模型的模式,該模式規(guī)定云計(jì)算提供商只對(duì)云平臺(tái)安全負(fù)責(zé),而客戶則對(duì)云中的數(shù)據(jù)安全負(fù)責(zé)。
這實(shí)質(zhì)上意味著要在云中運(yùn)行,企業(yè)自己仍然需要進(jìn)行安全配置和管理。企業(yè)的承諾范圍可能會(huì)有很大差異,因?yàn)樗Q于企業(yè)使用的服務(wù):如果訂閱了基礎(chǔ)設(shè)施即服務(wù)(IaaS)產(chǎn)品,則需要負(fù)責(zé)操作系統(tǒng)補(bǔ)丁和更新。如果只需要對(duì)象存儲(chǔ),其職責(zé)范圍將僅限于數(shù)據(jù)丟失防護(hù)。
盡管存在如此巨大的多樣性,但無(wú)論情況如何,都有一些適用的準(zhǔn)則。其原因很簡(jiǎn)單,因?yàn)樗性朴?jì)算漏洞本質(zhì)上都?xì)w結(jié)為一件事:錯(cuò)誤配置。云計(jì)算提供商已經(jīng)為企業(yè)提供了強(qiáng)大的安全工具,但人們知道它們?cè)谀承r(shí)候會(huì)失效。人類會(huì)犯錯(cuò)誤,很容易錯(cuò)誤配置。這就是為什么需要采用安全策略的原因,以幫助減少發(fā)生錯(cuò)誤的可能性和影響。
以下列出了在其安全策略中設(shè)置安全措施的10個(gè)最重要領(lǐng)域的列表,但首先需要解釋云安全與傳統(tǒng)的信息安全的不同之處。
了解云安全的3個(gè)基本概念
云計(jì)算平臺(tái)是一個(gè)不斷變化的動(dòng)態(tài)環(huán)境,但安全目標(biāo)保持不變:確保系統(tǒng)按預(yù)期工作,并且僅按預(yù)期工作。因此,許多基本概念需要重新定義:
邊界:傳統(tǒng)的安全性本質(zhì)上是基于保護(hù)一個(gè)受信任的邊界,即所謂的“堡壘”。然而,云計(jì)算環(huán)境的特點(diǎn)是分布在互聯(lián)網(wǎng)上,具有動(dòng)態(tài)發(fā)展的端點(diǎn)和許多互連層。然后,任何云安全模型都應(yīng)該以身份和訪問(wèn)管理為中心,并專注于加強(qiáng)對(duì)可疑帳戶的授權(quán)(這是行為建模等技術(shù)特別強(qiáng)大的地方)。
可擴(kuò)展性:數(shù)據(jù)的存儲(chǔ)和處理是動(dòng)態(tài)的,因此云安全框架也應(yīng)該能夠考慮到基礎(chǔ)設(shè)施的演變。換句話說(shuō),它需要了解系統(tǒng)狀態(tài)并相應(yīng)地調(diào)整其策略。
監(jiān)控:隨著新的云計(jì)算資源的堆積和新的攻擊媒介的發(fā)現(xiàn),威脅形勢(shì)正在迅速發(fā)展。動(dòng)態(tài)系統(tǒng)增加的復(fù)雜性是一種負(fù)擔(dān):安全漏洞可能會(huì)激增,并且更難發(fā)現(xiàn),網(wǎng)絡(luò)攻擊也更復(fù)雜。保持最新狀態(tài)需要對(duì)快速變化的安全環(huán)境做出反應(yīng)。
改善云安全的10條規(guī)則
(1)規(guī)則1:不要忽視開發(fā)人員的憑證
作為每天掃描數(shù)以百萬(wàn)計(jì)的公共和私人代碼存儲(chǔ)庫(kù)的企業(yè),再怎么強(qiáng)調(diào)健全的憑證策略的重要性也不為過(guò)。企業(yè)應(yīng)該確保其開發(fā)人員至少只使用短期憑證,并最終投入所需的時(shí)間來(lái)完成一個(gè)完整的設(shè)置,其中包括管理(如保險(xiǎn)庫(kù))和檢測(cè)。而一位安全工程師說(shuō):“如果另一家公司的員工對(duì)我說(shuō),機(jī)密檢測(cè)不是優(yōu)先事項(xiàng),我會(huì)問(wèn)什么是更重要的優(yōu)先事項(xiàng),然后我會(huì)指出是采用快速的谷歌搜索,其中包含大量因泄露機(jī)密而發(fā)生的問(wèn)題和數(shù)據(jù)泄露?!?/p>
這就是這一規(guī)則在這個(gè)規(guī)則列表中排名首位的原因。
(2)規(guī)則2:始終查看默認(rèn)配置
云計(jì)算提供商預(yù)先配置了通用的訪問(wèn)控制策略。這些策略很方便,但經(jīng)常會(huì)發(fā)生變化,因?yàn)檎谝胄路?wù),它們不一定符合企業(yè)的需求。企業(yè)可以通過(guò)選擇退出不必要或未使用的服務(wù)來(lái)減少網(wǎng)絡(luò)攻擊面。
(3)規(guī)則3:列出可公開訪問(wèn)的存儲(chǔ)
很多人在新聞中了解到一些云存儲(chǔ)被開放并公開訪問(wèn)的消息。無(wú)論企業(yè)為對(duì)象和數(shù)據(jù)選擇哪種存儲(chǔ)方法,需要檢查是否只有預(yù)期的組件可以公開訪問(wèn)。
(4)規(guī)則4:定期審核訪問(wèn)控制
如上所述,云安全與企業(yè)的身份和訪問(wèn)管理策略一樣強(qiáng)大?;谏矸莸陌踩到y(tǒng)逐漸占據(jù)主導(dǎo)地位,形成了所謂的“零信任”策略的基礎(chǔ)。但就像其他事情一樣,這些政策將被修改。實(shí)施最小特權(quán)原則是一個(gè)積極的過(guò)程,涉及微調(diào)對(duì)服務(wù)、系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)。企業(yè)應(yīng)該定期安排人工檢查和自動(dòng)檢查并嚴(yán)格執(zhí)行。
(5)規(guī)則5:利用網(wǎng)絡(luò)結(jié)構(gòu)
同樣的規(guī)則也適用于網(wǎng)絡(luò):企業(yè)應(yīng)該利用云計(jì)算提供商的控制來(lái)構(gòu)建更好的、細(xì)粒度的策略來(lái)仔細(xì)劃分流量。
(6)規(guī)則6:預(yù)防性記錄和監(jiān)控
如果沒(méi)有強(qiáng)大的監(jiān)控和日志記錄,就無(wú)法實(shí)現(xiàn)良好的安全性?;陲L(fēng)險(xiǎn)的日志記錄策略是必須的,但最重要的是,企業(yè)應(yīng)該確保警報(bào)不僅已啟用且正常工作,而且是可操作的,而不是在安全事件發(fā)生后查看的內(nèi)容。在理想情況下,企業(yè)應(yīng)該能夠通過(guò)API或其他機(jī)制在其日志系統(tǒng)上聚合云日志。
(7)規(guī)則7:豐富資產(chǎn)清單
使用供應(yīng)商的API來(lái)減輕庫(kù)存管理的艱巨任務(wù)固然不錯(cuò),但是通過(guò)有關(guān)所有權(quán)、用例和敏感性的額外信息來(lái)豐富這一點(diǎn)會(huì)更好。企業(yè)需要在策略中考慮它。
(8)規(guī)則8:防止域名劫持
云服務(wù)和DNS條目之間經(jīng)常存在傳遞信任。企業(yè)需要定期檢查其DNS和云配置,以防止出現(xiàn)接管情況。
(9)規(guī)則9:災(zāi)難恢復(fù)計(jì)劃不是可選的
云計(jì)算環(huán)境不會(huì)自動(dòng)解決災(zāi)難恢復(fù)(DR)問(wèn)題。企業(yè)考慮什么級(jí)別的投資適合其云計(jì)算環(huán)境中的災(zāi)難性事件,并且設(shè)計(jì)一個(gè)災(zāi)難恢復(fù)(DR程序以從外部帳戶、提供商或語(yǔ)言環(huán)境中恢復(fù)。
(10)規(guī)則10:限制人工配置
利用云原生安全工具和控制意味著自動(dòng)化。需要記住,漏洞源于錯(cuò)誤配置,而錯(cuò)誤配置就是一種錯(cuò)誤。需要完成的人工工作越多,錯(cuò)誤潛入的漏洞就越多。企業(yè)需要推動(dòng)其團(tuán)隊(duì)實(shí)現(xiàn)更多自動(dòng)化,盡可能使用安全即代碼并逐步強(qiáng)制執(zhí)行不變性(不再可能人工配置)。
結(jié)論
即使對(duì)于專家來(lái)說(shuō),云服務(wù)也很難管理,但它會(huì)一直存在。對(duì)于安全專業(yè)人員來(lái)說(shuō),這是一個(gè)特別大的挑戰(zhàn),因?yàn)樨?zé)任范圍不再是靜態(tài)的,而是不斷發(fā)展,以滿足基礎(chǔ)設(shè)施的需求和應(yīng)對(duì)新的威脅。但這對(duì)企業(yè)來(lái)說(shuō)也是一個(gè)激動(dòng)人心的時(shí)刻,因?yàn)樗麄兛梢岳盟麄兊莫?dú)創(chuàng)性來(lái)構(gòu)建非常有效的解決方案,利用現(xiàn)有的云計(jì)算提供商的工具集,在安全要求和靈活性之間取得平衡。以上提供了10條規(guī)則來(lái)構(gòu)建更好的云安全性,企業(yè)也可以自己制定防護(hù)措施。