云计算因其与生俱来的可扩展性和灵活性,以及高性能计算能力,获得了大量企业用户的青睐,成为企业关键任务负载的首选项。云原生安全作为一种新兴的安全理念,不仅解决云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算深度融合。以下是需要关注的6个云原生安全重点能力,这些领域对于安全专业人员、软件开发人员和信息技术专家来说非常重要。
1. 身份和访问管理
如今的信息技术世界需要身份和访问管理(IAM)。企业使用IAM系统,通过为人员及其设备创建身份,可以轻松管理和跟踪每个身份,并仅授予相关权限以支持他们的工作。在云上实施IAM有助于确保企业开发人员、客户、供应商和其他合作伙伴高效、安全地访问服务和数据。
特别是使用多因素身份验证和行为分析(例如预期登录时间和位置),可以帮助企业通过IAM识别个人和设备之间的可疑活动,利用人工智能和自动化IAM来帮助企业更快地识别这些问题。随着企业面临的监管压力越来越大,这些自动化解决方案将越来越有可能发挥更大作用。
此外,设备和云的通信(无论是通过蓝牙还是 Wi-Fi)越来越多。未实施IAM的设备很容易受到攻击,从而导致数据被盗、企业形象受损或发生违规行为。
2. 供应链安全
与IAM和第三方访问相关的是供应链安全。通常,供应链由许多供应商和第三方组成。供应链安全的关键问题之一是供应链具有很大的攻击面,这意味着需要在供应链中建立安全性来保护它们。由于现代供应链日趋复杂和一体化,这一问题将进一步加剧。
当攻击者成功入侵供应链时,他们可能会访问整个供应链中的数据。这意味着他们可以注入恶意代码或篡改硬件并访问私人数据。如果供应商的系统不安全,那么授予这样的供应商访问企业系统势必会带来严重危害。
解决此问题的最简单方法之一是取消供应商对数据的访问权限。实际上,大多数供应商可能也并不需要访问云上企业数据。通过消除该攻击向量,企业可以消除攻击者使用供应商系统访问数据的能力。在所有供应商中实施标准化的基线安全模型,将帮助企业在基于云的环境中变得更加安全。
3. API安全
API安全与供应链安全密切相关。通常,供应商可能会利用API与企业应用程序集成。API对于现代云应用程序至关重要。微服务也依赖API相互交互并执行工作。一些工作负载可能有数千个API,但API本身可能并不安全,它们可能会成为一种负担。因为在攻击者看来,API是一个特别诱人的目标,因为它们的漏洞通常有据可查且可以公开访问。攻击者可以使用开放文档对API进行逆向工程,以进入企业系统并在不被发现的情况下窃取数据。
提高API安全性是云原生安全的重要发展趋势,企业安全团队应努力将API安全性集成到Web和基于云的应用程序开发过程中。API安全性也应该是自动化的,因为自动化API安全性可减少人为错误,并最大限度地降低工作量。目前,市场上有许多可用的API安全工具都可以与企业的CI/CD管道集成,并在软件开发生命周期中增强可见性和安全性。
4. 秘密凭证管理
基于云的应用程序使用许多工具、微服务和特权账户来支撑其运行。在许多情况下,每个区域都需要从应用程序到应用程序,以及从应用程序到数据库通信所需的密钥和密码。但是,如果缺乏强大的秘密凭证管理策略,管理员和开发人员在面对安全事件时可能就会感到措手不及。秘密凭证可以涵盖普通、特殊的密码规则,以及安全密钥、令牌、访问代码,甚至是物理秘密。虽然通用业务计划对于支持和发展业务而言至关重要,但包含技术信息安全性的安全计划(例如密钥和密码管理)将能够有效地降低风险。
在管理秘密时,请务必记住,第三方软件可能需要访问这些秘密才能正确集成到企业的工作流程中。因此,即便企业内部所有工具都是安全的,不安全的第三方工具也同样会酿造巨大的安全威胁。此外,DevOps工具可以访问多种资源和编排软件,这也可能带来巨大的安全问题。试想一下,如果攻击者成功访问DevOps工具,他们将很容易接触到敏感信息。因此,企业的所有团队都应接受有关处理密钥和密码的最佳实践培训。
秘密管理可能很复杂,但企业内所有人员都必须了解其重要性,企业应利用工具来管理其秘密,并为其基于云的工作负载提供安全性。值得注意的是,秘密凭证管理应该是自动化的,而非手动的,因为手动生成密码可能会导致人为错误,并为网络犯罪分子留下可以利用的安全漏洞。另外,管理员应该创建复杂的密钥或密码,因为网络犯罪分子能够很容易猜到简单的密钥或密码。
5. 云安全态势管理
云配置错误是数据泄露的主要原因之一。云安全态势管理(CSPM)是确保云配置正确的有用工具,它将扫描企业的云配置和应用程序组件,并突出显示任何可能导致数据泄露的错误配置,CSPM通过自动化手段正确配置云中的服务和资源,有效阻止攻击者侵入系统,帮助企业保护系统安全。
6. 社会工程安全
在安全方面,一个经常被忽略的存在就是社会工程。在社会工程场景中,攻击者会操纵他们的目标输入可能导致数据泄露的信息。网络犯罪分子甚至可以直接通过企业的系统工程师或软件开发人员,了解现有的安全协议,再使用这些信息来查找系统中的安全漏洞。为避免这种情况,请考虑为员工制定社交媒体政策。
社交媒体政策需要明确规定:企业信息不得发布在个人社交媒体账户上。此外,还需要为组织内的各个级别员工创建信息和培训计划,以便他们了解在公司内部和外部共享信息的风险;隔离和分类团队间的信息,以帮助企业确定安全漏洞的来源等。
请记住,企业可以使用任意数量的自动保护和预防工具,但如果有人泄露了他们的密码,检测“冒名顶替者”的任务可能会非常困难。
小结
云安全正在不断演进,更新的技术将进一步增强安全性。但是,通过践行最佳安全实践并创建集成的安全策略,企业将更加安全。继续监控行业发展趋势并实施上述一些策略,将能够解决基于云的组织所面临的诸多现代威胁。
原文链接: