云安全涉及保護云計算環境免受外部和內部網絡安全威脅的程序和技術。云計算是通過互聯網提供信息技術服務,已成為尋求加速創新和協作的企業和政府的必需品。需要旨在防止未經授權的訪問的云安全和安全管理最佳實踐,以保護云中的數據和應用程序免受當前和新出現的網絡安全威脅。
一、云計算類別
云安全性因所使用的云計算類別而異。云計算主要分為四類:
- 由公共云提供商運營的公共云服務——包括軟件即服務 (SaaS)、基礎設施即服務 (IaaS) 和平臺即服務 (PaaS)。
- 由公共云提供商運營的私有云服務——這些服務提供了一個專用于一個客戶的計算環境,由第三方運營。
- 由內部員工操作的私有云服務——這些服務是傳統數據中心的演變,內部員工在其中操作他們控制的虛擬環境。
- 混合云服務——私有云和公共云計算配置可以結合起來,根據成本、安全性、運營和訪問等優化因素托管工作負載和數據。操作將涉及內部員工,以及可選的公共云提供商。
當使用公共云提供商提供的云計算服務時,數據和應用程序由第三方托管,這標志著云計算與傳統 IT 的根本區別,傳統 IT 大部分數據保存在一個自我控制的網絡中。了解您的安全責任是構建云安全策略的第一步。
二、云安全職責的細分
大多數云提供商都試圖為客戶創建安全的云。他們的商業模式取決于防止違規和維護公眾和客戶的信任。云提供商可以嘗試避免他們提供的服務出現云安全問題,但無法控制客戶如何使用該服務、他們添加了哪些數據以及誰有權訪問。客戶可以通過他們的配置、敏感數據和訪問策略削弱云中的網絡安全。在每種公共云服務類型中,云提供商和云客戶分擔不同級別的安全責任。按服務類型,這些是:
- 軟件即服務 (SaaS) — 客戶負責保護他們的數據和用戶訪問。
- 平臺即服務 (PaaS) — 客戶負責保護他們的數據、用戶訪問和應用程序。
- 基礎設施即服務 (IaaS) — 客戶負責保護他們的數據、用戶訪問、應用程序、操作系統和虛擬網絡流量。
在所有類型的公共云服務中,客戶負責保護他們的數據并控制誰可以訪問這些數據。云計算中的數據安全是成功采用和獲得云優勢的基礎。考慮流行的 SaaS 產品(如 Microsoft Office 365 或 Salesforce)的組織需要規劃他們將如何履行共同的責任來保護云中的數據。那些考慮提供像 Amazon Web Services (AWS) 或 Microsoft Azure 這樣的 IaaS 產品的人需要一個更全面的計劃,該計劃從數據開始,但也涵蓋云應用程序安全、操作系統和虛擬網絡流量——每一個都可能帶來數據安全問題.
三、云安全挑戰
由于公共云中的數據由第三方存儲并通過互聯網訪問,因此在維護安全云的能力方面出現了一些挑戰。這些是:
- 對云數據的可見性——在許多情況下,云服務是在企業網絡之外和不受 IT 管理的設備上訪問的。這意味著 IT 團隊需要能夠深入了解云服務本身,以全面了解數據,而不是傳統的網絡流量監控方式。
- 控制云數據——在第三方云服務提供商的環境中,與在自己的場所控制服務器和應用程序相比,IT 團隊對數據的訪問更少。默認情況下,云客戶的控制權有限,無法訪問底層物理基礎設施。
- 訪問云數據和應用——用戶可以通過互聯網訪問云應用和數據,使得基于傳統數據中心網絡邊界的訪問控制不再有效。用戶可以從任何位置或設備訪問,包括自帶設備 (BYOD) 技術。此外,云提供商人員的特權訪問可以繞過您自己的安全控制。
- 合規性——云計算服務的使用為監管和內部合規性增加了另一個維度。您的云環境可能需要遵守 HIPAA、PCI 和 Sarbanes-Oxley 等法規要求,以及內部團隊、合作伙伴和客戶的要求。云提供商基礎設施以及內部系統和云之間的接口也包含在合規和風險管理流程中。
- 云-本地泄露——云中的數據泄露與本地泄露不同,因為數據盜竊通常使用云的本地功能發生。云原生漏洞是攻擊者采取的一系列行動,他們通過在不使用惡意軟件的情況下利用云部署中的錯誤或漏洞“登陸”攻擊,通過弱配置或受保護的接口“擴展”他們的訪問權限以定位有價值的數據,并將該數據“滲透”到他們自己的存儲位置。
- 錯誤配置——云原生漏洞通常歸于云客戶的安全責任,其中包括云服務的配置。研究表明,目前只有 26% 的公司可以審核其 IaaS 環境中的配置錯誤。IaaS 的錯誤配置通常充當云原生漏洞的前門,允許攻擊者成功登陸,然后繼續擴展和泄露數據。研究還表明,云客戶在 IaaS 中沒有注意到 99% 的錯誤配置。以下是這項研究的摘錄,顯示了這種級別的錯誤配置斷開:
- 災難恢復——需要網絡安全規劃來保護重大負面漏洞的影響。災難恢復計劃包括旨在支持數據恢復并允許組織繼續運營和業務的策略、程序和工具。
- 內部威脅——流氓員工能夠使用云服務將組織暴露于網絡安全漏洞。最近的 McAfee Cloud 采用和風險報告顯示,85% 的組織中存在表明內部威脅的不規則活動。
四、云安全解決方案
尋求云安全解決方案的組織應考慮以下標準,以解決云數據可見性和控制等主要云安全挑戰。
1、云數據的可見性
云數據的完整視圖需要直接訪問云服務。云安全解決方案通過與云服務的應用程序編程接口 (API) 連接來實現這一點。通過 API 連接,可以查看:
- 哪些數據存儲在云中。
- 誰在使用云數據?
- 有權訪問云數據的用戶的角色。
- 云用戶與誰共享數據。
- 云數據所在的位置。
- 從哪里訪問和下載云數據,包括從哪個設備。
2、控制云數據
一旦您了解云數據,就可以應用最適合您的組織的控制。這些控制包括:
- 數據分類——在云中創建的數據在多個級別上進行分類,例如敏感、受監管或公共。分類后,可以阻止數據進入或離開云服務。
- 數據丟失防護 (DLP)——實施云 DLP 解決方案以保護數據免受未經授權的訪問,并在檢測到可疑活動時自動禁用數據訪問和傳輸。
- 協作控制——管理云服務中的控制,例如將指定用戶的文件和文件夾權限降級為編輯者或查看者、刪除權限以及撤銷共享鏈接。
- 加密——云數據加密可用于防止未經授權訪問數據,即使該數據被泄露或被盜。
3、訪問云數據和應用程序
與內部安全一樣,訪問控制是云安全的重要組成部分。典型的控制包括:
- 用戶訪問控制——實施系統和應用程序訪問控制,確保只有授權用戶才能訪問云數據和應用程序。云訪問安全代理(CASB)可用于實施訪問控制
- 設備訪問控制——當未經授權的個人設備試圖訪問云數據時阻止訪問。
- 惡意行為識別——使用用戶行為分析 (UBA) 檢測受損帳戶和內部威脅,以免發生惡意數據泄露。
- 惡意軟件預防——使用文件掃描、應用程序白名單、基于機器學習的惡意軟件檢測和網絡流量分析等技術防止惡意軟件進入云服務。
- 特權訪問——確定特權帳戶可能對您的數據和應用程序擁有的所有可能的訪問形式,并實施控制以減少風險。
4、合規性
應增強現有的合規性要求和實踐,以包括駐留在云中的數據和應用程序。
- 風險評估——審查和更新風險評估以包括云服務。識別并解決云環境和提供商引入的風險因素。云提供商的風險數據庫可用于加快評估過程。
- 合規性評估——審查和更新 PCI、HIPAA、Sarbanes-Oxley 和其他應用程序監管要求的合規性評估。
