據(jù)估計(jì),全球50%的企業(yè)已經(jīng)將數(shù)據(jù)存儲(chǔ)在云中����,這充分說(shuō)明了這個(gè)相對(duì)年輕的行業(yè)呈爆炸性增長(zhǎng)的原因。人們都知道推動(dòng)云采用的好處:提高靈活性、易于擴(kuò)展和成本效益��。
但在安全性方面���,事情更加微妙:對(duì)于一些人來(lái)說(shuō)�,將企業(yè)最有價(jià)值的資產(chǎn)交給第三方進(jìn)行存儲(chǔ)或處理是一種瘋狂的想法�,但對(duì)于其他人(絕大多數(shù))來(lái)說(shuō),這是有道理的��。企業(yè)可以從云計(jì)算提供商為保護(hù)其數(shù)據(jù)而部署的大量安全資源中受益�����,云計(jì)算提供商的工程師需要全天候工作以完成他們的使命����。盡管如此���,這還不是故事的結(jié)局��。
以下將重點(diǎn)介紹云安全的基本概念����,并提出改善云安全性的10條規(guī)則
責(zé)任共擔(dān)模型
云中的安全性遵循一種稱(chēng)為責(zé)任共擔(dān)模型的模式,該模式規(guī)定云計(jì)算提供商只對(duì)云平臺(tái)安全負(fù)責(zé)�����,而客戶(hù)則對(duì)云中的數(shù)據(jù)安全負(fù)責(zé)��。
這實(shí)質(zhì)上意味著要在云中運(yùn)行�,企業(yè)自己仍然需要進(jìn)行安全配置和管理。企業(yè)的承諾范圍可能會(huì)有很大差異��,因?yàn)樗Q于企業(yè)使用的服務(wù):如果訂閱了基礎(chǔ)設(shè)施即服務(wù)(IaaS)產(chǎn)品����,則需要負(fù)責(zé)操作系統(tǒng)補(bǔ)丁和更新。如果只需要對(duì)象存儲(chǔ)��,其職責(zé)范圍將僅限于數(shù)據(jù)丟失防護(hù)���。
盡管存在如此巨大的多樣性��,但無(wú)論情況如何��,都有一些適用的準(zhǔn)則����。其原因很簡(jiǎn)單,因?yàn)樗性朴?jì)算漏洞本質(zhì)上都?xì)w結(jié)為一件事:錯(cuò)誤配置�����。云計(jì)算提供商已經(jīng)為企業(yè)提供了強(qiáng)大的安全工具��,但人們知道它們?cè)谀承r(shí)候會(huì)失效��。人類(lèi)會(huì)犯錯(cuò)誤���,很容易錯(cuò)誤配置�。這就是為什么需要采用安全策略的原因��,以幫助減少發(fā)生錯(cuò)誤的可能性和影響���。
以下列出了在其安全策略中設(shè)置安全措施的10個(gè)最重要領(lǐng)域的列表�,但首先需要解釋云安全與傳統(tǒng)的信息安全的不同之處���。
了解云安全的3個(gè)基本概念
云計(jì)算平臺(tái)是一個(gè)不斷變化的動(dòng)態(tài)環(huán)境,但安全目標(biāo)保持不變:確保系統(tǒng)按預(yù)期工作���,并且僅按預(yù)期工作���。因此��,許多基本概念需要重新定義:
邊界:傳統(tǒng)的安全性本質(zhì)上是基于保護(hù)一個(gè)受信任的邊界����,即所謂的“堡壘”�。然而,云計(jì)算環(huán)境的特點(diǎn)是分布在互聯(lián)網(wǎng)上�����,具有動(dòng)態(tài)發(fā)展的端點(diǎn)和許多互連層���。然后����,任何云安全模型都應(yīng)該以身份和訪(fǎng)問(wèn)管理為中心�,并專(zhuān)注于加強(qiáng)對(duì)可疑帳戶(hù)的授權(quán)(這是行為建模等技術(shù)特別強(qiáng)大的地方)。
可擴(kuò)展性:數(shù)據(jù)的存儲(chǔ)和處理是動(dòng)態(tài)的�����,因此云安全框架也應(yīng)該能夠考慮到基礎(chǔ)設(shè)施的演變���。換句話(huà)說(shuō)��,它需要了解系統(tǒng)狀態(tài)并相應(yīng)地調(diào)整其策略�。
監(jiān)控:隨著新的云計(jì)算資源的堆積和新的攻擊媒介的發(fā)現(xiàn),威脅形勢(shì)正在迅速發(fā)展�����。動(dòng)態(tài)系統(tǒng)增加的復(fù)雜性是一種負(fù)擔(dān):安全漏洞可能會(huì)激增���,并且更難發(fā)現(xiàn)�,網(wǎng)絡(luò)攻擊也更復(fù)雜��。保持最新?tīng)顟B(tài)需要對(duì)快速變化的安全環(huán)境做出反應(yīng)���。
改善云安全的10條規(guī)則
(1)規(guī)則1:不要忽視開(kāi)發(fā)人員的憑證
作為每天掃描數(shù)以百萬(wàn)計(jì)的公共和私人代碼存儲(chǔ)庫(kù)的企業(yè)��,再怎么強(qiáng)調(diào)健全的憑證策略的重要性也不為過(guò)�����。企業(yè)應(yīng)該確保其開(kāi)發(fā)人員至少只使用短期憑證�����,并最終投入所需的時(shí)間來(lái)完成一個(gè)完整的設(shè)置���,其中包括管理(如保險(xiǎn)庫(kù))和檢測(cè)。而一位安全工程師說(shuō):“如果另一家公司的員工對(duì)我說(shuō)�����,機(jī)密檢測(cè)不是優(yōu)先事項(xiàng)�,我會(huì)問(wèn)什么是更重要的優(yōu)先事項(xiàng),然后我會(huì)指出是采用快速的谷歌搜索��,其中包含大量因泄露機(jī)密而發(fā)生的問(wèn)題和數(shù)據(jù)泄露�����?���!?/p>
這就是這一規(guī)則在這個(gè)規(guī)則列表中排名首位的原因。
(2)規(guī)則2:始終查看默認(rèn)配置
云計(jì)算提供商預(yù)先配置了通用的訪(fǎng)問(wèn)控制策略����。這些策略很方便,但經(jīng)常會(huì)發(fā)生變化�����,因?yàn)檎谝胄路?wù),它們不一定符合企業(yè)的需求��。企業(yè)可以通過(guò)選擇退出不必要或未使用的服務(wù)來(lái)減少網(wǎng)絡(luò)攻擊面�。
(3)規(guī)則3:列出可公開(kāi)訪(fǎng)問(wèn)的存儲(chǔ)
很多人在新聞中了解到一些云存儲(chǔ)被開(kāi)放并公開(kāi)訪(fǎng)問(wèn)的消息。無(wú)論企業(yè)為對(duì)象和數(shù)據(jù)選擇哪種存儲(chǔ)方法��,需要檢查是否只有預(yù)期的組件可以公開(kāi)訪(fǎng)問(wèn)�����。
(4)規(guī)則4:定期審核訪(fǎng)問(wèn)控制
如上所述��,云安全與企業(yè)的身份和訪(fǎng)問(wèn)管理策略一樣強(qiáng)大��?;谏矸莸陌踩到y(tǒng)逐漸占據(jù)主導(dǎo)地位,形成了所謂的“零信任”策略的基礎(chǔ)���。但就像其他事情一樣���,這些政策將被修改。實(shí)施最小特權(quán)原則是一個(gè)積極的過(guò)程,涉及微調(diào)對(duì)服務(wù)���、系統(tǒng)和網(wǎng)絡(luò)的訪(fǎng)問(wèn)。企業(yè)應(yīng)該定期安排人工檢查和自動(dòng)檢查并嚴(yán)格執(zhí)行��。
(5)規(guī)則5:利用網(wǎng)絡(luò)結(jié)構(gòu)
同樣的規(guī)則也適用于網(wǎng)絡(luò):企業(yè)應(yīng)該利用云計(jì)算提供商的控制來(lái)構(gòu)建更好的���、細(xì)粒度的策略來(lái)仔細(xì)劃分流量�。
(6)規(guī)則6:預(yù)防性記錄和監(jiān)控
如果沒(méi)有強(qiáng)大的監(jiān)控和日志記錄�,就無(wú)法實(shí)現(xiàn)良好的安全性?��;陲L(fēng)險(xiǎn)的日志記錄策略是必須的�,但最重要的是����,企業(yè)應(yīng)該確保警報(bào)不僅已啟用且正常工作,而且是可操作的�����,而不是在安全事件發(fā)生后查看的內(nèi)容��。在理想情況下�����,企業(yè)應(yīng)該能夠通過(guò)API或其他機(jī)制在其日志系統(tǒng)上聚合云日志。
(7)規(guī)則7:豐富資產(chǎn)清單
使用供應(yīng)商的API來(lái)減輕庫(kù)存管理的艱巨任務(wù)固然不錯(cuò)��,但是通過(guò)有關(guān)所有權(quán)����、用例和敏感性的額外信息來(lái)豐富這一點(diǎn)會(huì)更好。企業(yè)需要在策略中考慮它�����。
(8)規(guī)則8:防止域名劫持
云服務(wù)和DNS條目之間經(jīng)常存在傳遞信任�。企業(yè)需要定期檢查其DNS和云配置,以防止出現(xiàn)接管情況�����。
(9)規(guī)則9:災(zāi)難恢復(fù)計(jì)劃不是可選的
云計(jì)算環(huán)境不會(huì)自動(dòng)解決災(zāi)難恢復(fù)(DR)問(wèn)題�。企業(yè)考慮什么級(jí)別的投資適合其云計(jì)算環(huán)境中的災(zāi)難性事件,并且設(shè)計(jì)一個(gè)災(zāi)難恢復(fù)(DR程序以從外部帳戶(hù)���、提供商或語(yǔ)言環(huán)境中恢復(fù)���。
(10)規(guī)則10:限制人工配置
利用云原生安全工具和控制意味著自動(dòng)化���。需要記住,漏洞源于錯(cuò)誤配置���,而錯(cuò)誤配置就是一種錯(cuò)誤。需要完成的人工工作越多���,錯(cuò)誤潛入的漏洞就越多���。企業(yè)需要推動(dòng)其團(tuán)隊(duì)實(shí)現(xiàn)更多自動(dòng)化,盡可能使用安全即代碼并逐步強(qiáng)制執(zhí)行不變性(不再可能人工配置)����。
結(jié)論
即使對(duì)于專(zhuān)家來(lái)說(shuō),云服務(wù)也很難管理����,但它會(huì)一直存在。對(duì)于安全專(zhuān)業(yè)人員來(lái)說(shuō)�����,這是一個(gè)特別大的挑戰(zhàn),因?yàn)樨?zé)任范圍不再是靜態(tài)的��,而是不斷發(fā)展�,以滿(mǎn)足基礎(chǔ)設(shè)施的需求和應(yīng)對(duì)新的威脅。但這對(duì)企業(yè)來(lái)說(shuō)也是一個(gè)激動(dòng)人心的時(shí)刻��,因?yàn)樗麄兛梢岳盟麄兊莫?dú)創(chuàng)性來(lái)構(gòu)建非常有效的解決方案���,利用現(xiàn)有的云計(jì)算提供商的工具集��,在安全要求和靈活性之間取得平衡����。以上提供了10條規(guī)則來(lái)構(gòu)建更好的云安全性�,企業(yè)也可以自己制定防護(hù)措施。
