老陈小安 2020-11-25
随着越来越多组织的员工在家远程工作,他们通过云计算服务可以轻松访问公司数据和应用程序。组织对云计算的依赖也使云安全得到了新的重视。
但是,云安全仍然是许多组织的事后考虑事项。对于谁负责公共云或混合云的安全性,组织的管理者可能会感到困惑,但总的来说,云计算服务提供商(CSP)需要保护云计算基础设施和物理网络。组织需要负责保护其在云平台中的所有资产,其中包括数据、应用程序、用户访问以及支持基础设施。
近年来,对问责制的这种困惑导致了许多令人关注的网络安全和数据泄露事件。尽管云安全始终应该是一项共同的任务,但是组织需要加大努力以识别潜在的云安全威胁,并以最佳实践和更好的网络安全措施做出响应。
在实施云安全最佳实践之前,组织的相关人员必须认识到安全威胁来自何处以及它们所带来的挑战。在云平台,最大的挑战之一是缺乏真正的边界。另一个问题来自有关谁负责云安全哪些方面的问题。
IBM公司安全服务主管Luis Castro指出,“尽管AWS、Microsoft Azure和谷歌云平台等主要云计算提供商提供了一些云原生的安全控制措施,但可能不足以满足用户的安全性和合规性需求,用户并不总是清楚他们的安全责任在哪里开始和结束。”
随着黑客和其他网络威胁行为者迅速利用云系统中的开放端口,采用云计算技术扩展了对于组织的攻击面,它还会让组织对谁有权访问感到困惑。云计算提供商需要提供对基础设施的安全性,而在云计算提供商和客户拥有可信的凭证方面,其制衡机制比较薄弱。因此,组织对云计算设置的控制权越少,风险就越大。
人们无法解决不知道的问题。发现云计算设置面临的较大安全威胁是第一步措施。一旦了解哪些类型的挑战正在威胁组织的云安全,就可以采取措施以进行优秀实践来减轻风险。
(1)数据泄露
挑战:数据泄露是组织可怕的噩梦。它会导致客户信息、知识产权和员工个人识别信息(PII)的泄露或丢失,进而损害组织声誉,并可能导致财务损失。这也可能意味着组织将无法遵守政府或行业数据隐私规则或其合同中规定的规则。
优秀实践:防止数据泄露的合适方法是加密。数据泄露行为仍然可能发生,但其关键数据不会受到损害。虽然云平台的微分段也无法防止数据泄露,但会限制泄露的数据量。此外,定期审核和检查可以评估的潜在风险,并且首先评估最敏感的数据。
(2)云泄漏和配置错误
挑战:有时数据会从云平台中泄漏出来并最终泄露在互联网上。这通常是由于云存储桶中的配置错误造成的,这被认为是对云安全的较大威胁,也是云平台数据泄露的主要原因。有些云存储桶并不安全或未加密。在通常情况下,在有人访问存储桶之后,该存储桶可能配置不正确或保持开放状态,从而导致数据泄漏。
优秀实践:认识到存储桶的错误配置是组织的责任,而不是云计算提供商的责任(这通常在服务级别协议中确定)。用户必须了解如何配置和保护存储桶,以及使用唯一的密码和身份验证。此外,还可以采用一些安全工具用来测试存储桶中的风险。
(3)登录和受信任的帐户
挑战:凭证盗窃是一种越来越流行的网络攻击方法,因为拥有适当凭证的任何人都可以访问云计算帐户而不会触发任何报警信号。某些凭证盗窃采用恶意软件记录键盘的行为,可能检测到带有真实凭据的登录,因此凭证也很容易被窃取。
优秀实践:部署身份和访问管理(IAM)工具,可以监视用户并查找登录行为中的异常情况。云安全意识培训也很重要,组织的员工应该了解如何安全地管理其凭证,并且不能共享或重复使用密码。
(4)帐户劫持
挑战:帐户劫持是对云计算帐户的恶意接管。威胁参与者倾向于使用高特权帐户,通常是云服务订阅。帐户劫持也经常用于身份盗用。在这种情况下,盗用者使用受损的凭据(最常见的是电子邮件)来接管云帐户。一旦被劫持,威胁参与者就可以操纵云平台中的数据和应用程序。
优秀实践:组织的管理者知道谁有权访问组织的云帐户,无论是在组织内部还是云计算服务提供商。任何能够访问云帐户的人都应该被要求经过一个筛选过程,如果是第三方供应商,则更是如此。组织需要经常备份云数据,并制定计划以防帐户被劫持。组织需要加密云中存储的所有敏感数据,任何使用云帐户的人都需要进行多因素身份验证。
(5)内部威胁
挑战:有时威胁来自组织内部。其威胁可能是恶意的,也可能是无意的错误。除了数据泄露、凭证盗窃和配置错误,内部威胁也是云安全的主要挑战。组织的员工可能会成为网络钓鱼攻击和其他社交工程攻击的牺牲品,从而导致数据泄露,因为他们可能会将组织数据从云平台迁移到个人设备上。