云安全涉及保護(hù)云計算環(huán)境免受外部和內(nèi)部網(wǎng)絡(luò)安全威脅的程序和技術(shù)。云計算是通過互聯(lián)網(wǎng)提供信息技術(shù)服務(wù),已成為尋求加速創(chuàng)新和協(xié)作的企業(yè)和政府的必需品。需要旨在防止未經(jīng)授權(quán)的訪問的云安全和安全管理最佳實踐,以保護(hù)云中的數(shù)據(jù)和應(yīng)用程序免受當(dāng)前和新出現(xiàn)的網(wǎng)絡(luò)安全威脅。
一、云計算類別
云安全性因所使用的云計算類別而異。云計算主要分為四類:
- 由公共云提供商運營的公共云服務(wù)——包括軟件即服務(wù) (SaaS)、基礎(chǔ)設(shè)施即服務(wù) (IaaS) 和平臺即服務(wù) (PaaS)。
- 由公共云提供商運營的私有云服務(wù)——這些服務(wù)提供了一個專用于一個客戶的計算環(huán)境,由第三方運營。
- 由內(nèi)部員工操作的私有云服務(wù)——這些服務(wù)是傳統(tǒng)數(shù)據(jù)中心的演變,內(nèi)部員工在其中操作他們控制的虛擬環(huán)境。
- 混合云服務(wù)——私有云和公共云計算配置可以結(jié)合起來,根據(jù)成本、安全性、運營和訪問等優(yōu)化因素托管工作負(fù)載和數(shù)據(jù)。操作將涉及內(nèi)部員工,以及可選的公共云提供商。
當(dāng)使用公共云提供商提供的云計算服務(wù)時,數(shù)據(jù)和應(yīng)用程序由第三方托管,這標(biāo)志著云計算與傳統(tǒng) IT 的根本區(qū)別,傳統(tǒng) IT 大部分?jǐn)?shù)據(jù)保存在一個自我控制的網(wǎng)絡(luò)中。了解您的安全責(zé)任是構(gòu)建云安全策略的第一步。
二、云安全職責(zé)的細(xì)分
大多數(shù)云提供商都試圖為客戶創(chuàng)建安全的云。他們的商業(yè)模式取決于防止違規(guī)和維護(hù)公眾和客戶的信任。云提供商可以嘗試避免他們提供的服務(wù)出現(xiàn)云安全問題,但無法控制客戶如何使用該服務(wù)、他們添加了哪些數(shù)據(jù)以及誰有權(quán)訪問。客戶可以通過他們的配置、敏感數(shù)據(jù)和訪問策略削弱云中的網(wǎng)絡(luò)安全。在每種公共云服務(wù)類型中,云提供商和云客戶分擔(dān)不同級別的安全責(zé)任。按服務(wù)類型,這些是:
- 軟件即服務(wù) (SaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)和用戶訪問。
- 平臺即服務(wù) (PaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)、用戶訪問和應(yīng)用程序。
- 基礎(chǔ)設(shè)施即服務(wù) (IaaS) — 客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)、用戶訪問、應(yīng)用程序、操作系統(tǒng)和虛擬網(wǎng)絡(luò)流量。
在所有類型的公共云服務(wù)中,客戶負(fù)責(zé)保護(hù)他們的數(shù)據(jù)并控制誰可以訪問這些數(shù)據(jù)。云計算中的數(shù)據(jù)安全是成功采用和獲得云優(yōu)勢的基礎(chǔ)。考慮流行的 SaaS 產(chǎn)品(如 Microsoft Office 365 或 Salesforce)的組織需要規(guī)劃他們將如何履行共同的責(zé)任來保護(hù)云中的數(shù)據(jù)。那些考慮提供像 Amazon Web Services (AWS) 或 Microsoft Azure 這樣的 IaaS 產(chǎn)品的人需要一個更全面的計劃,該計劃從數(shù)據(jù)開始,但也涵蓋云應(yīng)用程序安全、操作系統(tǒng)和虛擬網(wǎng)絡(luò)流量——每一個都可能帶來數(shù)據(jù)安全問題.
三、云安全挑戰(zhàn)
由于公共云中的數(shù)據(jù)由第三方存儲并通過互聯(lián)網(wǎng)訪問,因此在維護(hù)安全云的能力方面出現(xiàn)了一些挑戰(zhàn)。這些是:
- 對云數(shù)據(jù)的可見性——在許多情況下,云服務(wù)是在企業(yè)網(wǎng)絡(luò)之外和不受 IT 管理的設(shè)備上訪問的。這意味著 IT 團(tuán)隊需要能夠深入了解云服務(wù)本身,以全面了解數(shù)據(jù),而不是傳統(tǒng)的網(wǎng)絡(luò)流量監(jiān)控方式。
- 控制云數(shù)據(jù)——在第三方云服務(wù)提供商的環(huán)境中,與在自己的場所控制服務(wù)器和應(yīng)用程序相比,IT 團(tuán)隊對數(shù)據(jù)的訪問更少。默認(rèn)情況下,云客戶的控制權(quán)有限,無法訪問底層物理基礎(chǔ)設(shè)施。
- 訪問云數(shù)據(jù)和應(yīng)用——用戶可以通過互聯(lián)網(wǎng)訪問云應(yīng)用和數(shù)據(jù),使得基于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)邊界的訪問控制不再有效。用戶可以從任何位置或設(shè)備訪問,包括自帶設(shè)備 (BYOD) 技術(shù)。此外,云提供商人員的特權(quán)訪問可以繞過您自己的安全控制。
- 合規(guī)性——云計算服務(wù)的使用為監(jiān)管和內(nèi)部合規(guī)性增加了另一個維度。您的云環(huán)境可能需要遵守 HIPAA、PCI 和 Sarbanes-Oxley 等法規(guī)要求,以及內(nèi)部團(tuán)隊、合作伙伴和客戶的要求。云提供商基礎(chǔ)設(shè)施以及內(nèi)部系統(tǒng)和云之間的接口也包含在合規(guī)和風(fēng)險管理流程中。
- 云-本地泄露——云中的數(shù)據(jù)泄露與本地泄露不同,因為數(shù)據(jù)盜竊通常使用云的本地功能發(fā)生。云原生漏洞是攻擊者采取的一系列行動,他們通過在不使用惡意軟件的情況下利用云部署中的錯誤或漏洞“登陸”攻擊,通過弱配置或受保護(hù)的接口“擴(kuò)展”他們的訪問權(quán)限以定位有價值的數(shù)據(jù),并將該數(shù)據(jù)“滲透”到他們自己的存儲位置。
- 錯誤配置——云原生漏洞通常歸于云客戶的安全責(zé)任,其中包括云服務(wù)的配置。研究表明,目前只有 26% 的公司可以審核其 IaaS 環(huán)境中的配置錯誤。IaaS 的錯誤配置通常充當(dāng)云原生漏洞的前門,允許攻擊者成功登陸,然后繼續(xù)擴(kuò)展和泄露數(shù)據(jù)。研究還表明,云客戶在 IaaS 中沒有注意到 99% 的錯誤配置。以下是這項研究的摘錄,顯示了這種級別的錯誤配置斷開:
- 災(zāi)難恢復(fù)——需要網(wǎng)絡(luò)安全規(guī)劃來保護(hù)重大負(fù)面漏洞的影響。災(zāi)難恢復(fù)計劃包括旨在支持?jǐn)?shù)據(jù)恢復(fù)并允許組織繼續(xù)運營和業(yè)務(wù)的策略、程序和工具。
- 內(nèi)部威脅——流氓員工能夠使用云服務(wù)將組織暴露于網(wǎng)絡(luò)安全漏洞。最近的 McAfee Cloud 采用和風(fēng)險報告顯示,85% 的組織中存在表明內(nèi)部威脅的不規(guī)則活動。
四、云安全解決方案
尋求云安全解決方案的組織應(yīng)考慮以下標(biāo)準(zhǔn),以解決云數(shù)據(jù)可見性和控制等主要云安全挑戰(zhàn)。
1、云數(shù)據(jù)的可見性
云數(shù)據(jù)的完整視圖需要直接訪問云服務(wù)。云安全解決方案通過與云服務(wù)的應(yīng)用程序編程接口 (API) 連接來實現(xiàn)這一點。通過 API 連接,可以查看:
- 哪些數(shù)據(jù)存儲在云中。
- 誰在使用云數(shù)據(jù)?
- 有權(quán)訪問云數(shù)據(jù)的用戶的角色。
- 云用戶與誰共享數(shù)據(jù)。
- 云數(shù)據(jù)所在的位置。
- 從哪里訪問和下載云數(shù)據(jù),包括從哪個設(shè)備。
2、控制云數(shù)據(jù)
一旦您了解云數(shù)據(jù),就可以應(yīng)用最適合您的組織的控制。這些控制包括:
- 數(shù)據(jù)分類——在云中創(chuàng)建的數(shù)據(jù)在多個級別上進(jìn)行分類,例如敏感、受監(jiān)管或公共。分類后,可以阻止數(shù)據(jù)進(jìn)入或離開云服務(wù)。
- 數(shù)據(jù)丟失防護(hù) (DLP)——實施云 DLP 解決方案以保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問,并在檢測到可疑活動時自動禁用數(shù)據(jù)訪問和傳輸。
- 協(xié)作控制——管理云服務(wù)中的控制,例如將指定用戶的文件和文件夾權(quán)限降級為編輯者或查看者、刪除權(quán)限以及撤銷共享鏈接。
- 加密——云數(shù)據(jù)加密可用于防止未經(jīng)授權(quán)訪問數(shù)據(jù),即使該數(shù)據(jù)被泄露或被盜。
3、訪問云數(shù)據(jù)和應(yīng)用程序
與內(nèi)部安全一樣,訪問控制是云安全的重要組成部分。典型的控制包括:
- 用戶訪問控制——實施系統(tǒng)和應(yīng)用程序訪問控制,確保只有授權(quán)用戶才能訪問云數(shù)據(jù)和應(yīng)用程序。云訪問安全代理(CASB)可用于實施訪問控制
- 設(shè)備訪問控制——當(dāng)未經(jīng)授權(quán)的個人設(shè)備試圖訪問云數(shù)據(jù)時阻止訪問。
- 惡意行為識別——使用用戶行為分析 (UBA) 檢測受損帳戶和內(nèi)部威脅,以免發(fā)生惡意數(shù)據(jù)泄露。
- 惡意軟件預(yù)防——使用文件掃描、應(yīng)用程序白名單、基于機(jī)器學(xué)習(xí)的惡意軟件檢測和網(wǎng)絡(luò)流量分析等技術(shù)防止惡意軟件進(jìn)入云服務(wù)。
- 特權(quán)訪問——確定特權(quán)帳戶可能對您的數(shù)據(jù)和應(yīng)用程序擁有的所有可能的訪問形式,并實施控制以減少風(fēng)險。
4、合規(guī)性
應(yīng)增強(qiáng)現(xiàn)有的合規(guī)性要求和實踐,以包括駐留在云中的數(shù)據(jù)和應(yīng)用程序。
- 風(fēng)險評估——審查和更新風(fēng)險評估以包括云服務(wù)。識別并解決云環(huán)境和提供商引入的風(fēng)險因素。云提供商的風(fēng)險數(shù)據(jù)庫可用于加快評估過程。
- 合規(guī)性評估——審查和更新 PCI、HIPAA、Sarbanes-Oxley 和其他應(yīng)用程序監(jiān)管要求的合規(guī)性評估。
