云安全能力建设实践指南(2023版)

云计算技术的出现,改变了数据计算和存储的方式,它解决了在海量数据之下,传统数据存储技术的性能瓶颈,越来越受到企业组织的青睐,并得以快速普及。随着越来越多的敏感信息在线存储于云上,企业对业务和数据安全性的担忧也进一步加大。

幸运的是,在云时代,企业可以采取诸多措施和云安全最佳实践来保护自己。虽然这些措施无法完全阻止每一种攻击,但确实可以帮助企业加强防御、保护数据,并切实落实云安全实践。只要企业能够做好安全防护的基本功,实现云应用的安全性或许比想象得要更加简单。

为了帮助企业更好实现云计算应用的安全性,网络安全知识分享社区eSecurity Planet会在Kolide与Okta公司的支持下,不定期更新发布《云安全能力建设最佳实践》。在其不久前推出的2023版指南中,安全研究人员给出了以下进一步加强云安全能力建设的建议:

1. 建立安全责任共担模式

在云计算环境中,企业并不能完全依靠自身的能力来实现安全性,而安全责任共担模式,明确了企业是云安全建设的最终责任人,而云服务提供商同样需要承担一定的安全责任。当企业开启云计算应用之旅时,应该全面检查云服务商应该具备的常见安全规则,尽量消除未来合作中的误解,以免云安全控制过于宽松。只要企业做好充分的安全性防护和检查,比如实施加密、正确配置连接和设置,云上的应用和数据通常会很安全。

2. 选择信誉良好的云服务商

企业要选择信誉良好的云服务提供商。由于每家云服务提供商都不一样,所以做好研究工作、找到满足自身特定需求和安全要求的提供商很重要。企业应该向公共云供应商询问有关其现有安全措施和流程的详细问题,包括:

  • 服务商有什么样的灾难恢复计划?
  • 服务商落实了哪些措施来保护各访问组件?
  • 服务商愿意提供什么级别的安全性技术支持?
  • 服务商是否会定期进行安全性渗透测试,测试结果如何?
  • 服务商是否对传输中数据和静态数据进行加密?
  • 服务商支持哪些身份验证方法?
  • 服务商支持哪些合规需求?

3. 部署身份和访问管理解决方案

未授权访问是云计算应用安全的最大挑战之一,因此构建全面的身份和访问管理(IAM)系统非常重要:

  • 企业应能够基于最小特权和零信任概念来设计和实施访问控制。这需要限制用户只能访问完成任务所需的内容,并谨慎处理所有访问请求。特权访问管理(PAM)有助于保护最敏感账户的访问;
  • 实施根据基于角色的访问控制(RBAC)提供权限的IAM策略。这可以保证用户的访问是基于其在企业的独特岗位提供的,降低不必要访问的可能性;
  • 实施多因素身份验证(MFA)以提高安全性。即使恶意分子获得用户名和密码等凭据,MFA也要求额外的验证(比如生物特征识别扫描或短信码),从而提高了安全系数;
  • 优先部署适用于私有数据中心和云环境的IAM解决方案。这不仅简化了最终用户身份验证,还能够在各种IT环境中统一实施策略。

4. 加强员工安全意识培训

为了防止黑客获得云账户和服务的访问凭据,企业必须培训所有员工如何识别和应对网络安全风险,主要措施包括:

  • 对所有员工进行全面的网络安全意识培训,解决这类问题:识别网络安全威胁、创建强密码、识别社会工程攻击以及探讨风险管理等话题。
  • 强调影子IT的潜在风险,员工可能使用未经批准的工具和应用程序,导致隐藏的漏洞。
  • 为安全工作人员提供专门培训,使他们及时了解新出现的威胁和对策。
  • 定期讨论安全实践,鼓励员工负起责任,比如为所有员工制定安全标准,讨论数据隐私、密码管理和物理场所安全等问题,以及鼓励公开讨论安全规定和行业法规的重要性。

5. 建立统一的云安全策略

所有企业都应该制定一个统一的云安全工作指导方针,规定谁可以使用云服务、如何使用云服务以及哪些数据可以存储在云端。该策略还需要阐明员工必须使用的具体安全技术,以保护云端数据和应用程序。为了阐明有效的云安全实践,研究人员给出了一个制定云安全策略的实例:

  1. 确定范围
  2. 列出所有权和责任
  3. 界定云计算服务的安全使用
  4. 确定评估风险的范围
  5. 实施安全控制措施
  6. 制定安全事件恢复计划
  7. 通过培训增强安全意识
  8. 严格执行
  9. 相关文档
  10. 审核和修订

6. 加强端点侧安全防护

由于端点设备可以直接连接到云,因此云服务的使用加大了对有效端点安全的需求。新的云项目让企业有机会重新审视安全技术和应对新威胁。在企业实施的纵深化安全防御计划中,应该全面包括防火墙、反恶意软件、入侵检测和访问控制。在复杂的端点应用环境中,应对新型端点安全问题时可以使用自动化安全工具,例如端点检测和响应(EDR)工具以及端点保护平台(EPP),也可以考虑其他控制措施包括补丁管理、端点加密、VPN和内部威胁防护等。

7.全面的数据加密

加密是任何云安全策略的关键部分。企业不仅应该对云平台上存储的任何数据进行加密,还应该对传输中数据同样进行加密,因为传输中的数据更容易受到攻击。当前,主流的云计算服务商都会提供加密和密钥管理服务,一些第三方云应用软件公司也提供加密方案。研究人员建议企业寻找一种与现有工作流程无缝配合的加密产品,那样最终用户无须另为遵守企业加密政策而操心。

8. 使用入侵检测等基础防御技术

入侵检测和防御系统(IDPS)是当前应用最广泛的安全工具之一。它们监测、分析和响应网络流量,可以作为独立的解决方案使用,也可以作为帮助保护网络的另一种工具(比如防火墙)的一部分使用。主流的云服务商都会提供SaaS化的IDPS和防火墙服务,它们还通过各自的云应用平台有偿提供其他网络安全公司的服务。如果企业经常需要处理云端敏感数据,这类安全服务将会物有所值。

9. 严格遵守合规要求

对于需要收集个人身份信息的企业会在客户隐私和数据安全方面面临严格的监管。在某些地区经营的企业可能还会面临当地政府的特殊合规要求。

在确定使用新的云计算服务之前,企业组织应该严格审查特定的合规要求,并确保云服务提供商能够满足相关数据安全的合规要求。保持合规是云应用安全的重中之重。监管部门会要求企业对任何违规行为负责,即使安全问题源自云提供商。

10. 考虑CASB解决方案

当现有的安全方法不尽如人意时,寻求更先进的技术支持很重要。云访问安全代理(CASB)是为实施云安全标准而专门构建的解决方案,随着云的使用日益广泛,这类技术越来越受到关注。CASB可以追踪非法的云应用程序活动,非常适合应用了多种云服务的企业组织。

CASB提供众多云安全服务,包括DLP、检测恶意软件、协助合规以及控制云应用程序访问和影子IT。这类解决方案可以与各种SaaS和IaaS平台兼容,提供完整的基础设施安全。

此外,如果用户在云端运行工作负载和应用程序,云原生应用程序保护(CNAPP)和云工作负载保护平台(CWPP)也是保护云基础架构和数据的很好选择,选型新一代云安全解决方案取决于企业的云安全需求以及与现有基础设施的互操作性。

11. 进行安全性审计和渗透测试

无论企业与外部安全公司合作还是自主建设云安全能力,专家都建议落实以下安全实践:

  • 渗透测试:检查当前云安全解决方案的可靠性,识别可能危及数据和应用程序的漏洞。
  • 漏洞扫描:使用云漏洞扫描器以检测错误配置及其他漏洞,增强云环境的安全态势。
  • 定期安全审计:评估所有安全厂商和控制措施,以确定其功能,并确保遵守约定的安全条件和标准。
  • 访问日志审计:确保只有授权的人才能访问敏感数据和云应用程序,改进访问控制和数据安全措施。

12. 监控所有的安全日志

对所有的安全日志进行监控其实是如今最有效的云安全方案之一。企业应该将云服务登录数据整合到安全信息和事件管理(SIEM)系统,以便集中监控和响应。日志记录可以帮助系统管理员和安全团队监视用户活动,并检测未经批准的修改和活动。万一攻击者获得访问权限并进行篡改,完整的日志提供了其行为的清晰记录,SIEM工具便于迅速化解,以限制损害。

有效的日志记录对于处理错误配置也很重要,因为它便于跟踪可能导致漏洞的更改,以便采取预防措施。它还有助于发现访问权限过大的人,以便进行更改,从而减小可能的危险。

13. 减少云上的错误配置

云环境中的错误配置是云环境中最常见的漏洞类型之一,包括云上的网络系统和容器系统等。这会导致云计算应用出现严重安全隐患。这些错误配置将严重损害云应用的防护能力,造成相关云访问控制措施的缺失或失效。因此,企业不仅要记录错误配置数据,还要采取主动措施以减少存储桶、API、连接、敞开端口、权限和加密等方面的错误配置。为了减少云上的错误配置,企业的IT或安全团队有必要做好以下几点:

  • 准确配置每个存储桶或每组存储桶;
  • 与开发团队合作,以确保Web云地址设置正确;
  • 确保从不使用默认的访问权限;
  • 确定所需的用户访问级别(仅查看或编辑权限),并相应地配置每个存储桶;
  • 云SIEM、CWPP、CSPM和CNAPP等可以助一臂之力。

参考链接:

https://www.esecurityplanet.com/cloud/cloud-security-best-practices/

上一篇:7款热门的自动化渗透测试工具及特点分析

下一篇:2023年API安全技术发展的6个“大事件”