非常幸运
你好,游客 登錄
背景:
閱讀新聞

云安全:每個技術領導者都需要了解的內容

[日期:2019-05-27] 來源:企業網D1Net  作者: [字體: ]

  與網絡安全公司的首席技術官相比,還有誰能更好地獲得有關如何保護企業云的建議?

  將業務遷移到云端的企業將會獲得一些顯著的好處,即冗余、成本節約、易于集成,但在云端托管應用程序帶來的挑戰和安全風險也很多。對于企業的首席技術官和首席信息安全官來說,缺乏可視性、內部或外部威脅因素可能會泄露數據,以及合規性令人擔憂。但面臨的問題并不只有這些。他們還發現,與真正將安全性和合規性集成到云端相比,加強其安全性通常是亡羊補牢的做法,而很多企業則對傳統的內部部署安全控制進行了抨擊,需要更加主動和全面的方法,以便在對云安全有效的重要的領域實現適當級別的控制實施、覆蓋范圍和成熟度。

  本文將對企業如何更有效地保護云中信息進行分析。以下較佳實踐和見解源于保護財富100強企業免受數據泄露的經驗,并且應該成為企業尋求增強其在云中的信息安全態勢的優先考慮因素。

  部署和驗證數據丟失預防功能

  對于遷移到云端的公司來說,重要的考慮因素之一是數據丟失預防(DLP)功能的部署和驗證。對于很多軟件即服務(SaaS)解決方案(包括Office 365、Amazon Web Services、Salesforce或Workday),實現有效數據丟失預防(DLP)的第一步是建立數據標簽實踐。由于數據丟失預防(DLP)解決方案依賴于正則表達式或基于模式的搜索來識別和保護數據丟失,因此無效的數據標記做法幾乎不可能防范泄漏風險。人們建議企業以較大的敏感性處理未標記的文檔,并通過創建嚴格的數據丟失預防(DLP)策略阻止它們離開企業。這可以通過自動隔離違反這些策略的文件來實現。

  維護敏感數據安全的組織需要評估由云計算訪問安全代理(CASB)解決方案提供的基于主機的敏感數據發現解決方案和/或基于網絡的數據丟失預防(DLP)。云計算訪問安全代理(CASB)提供了檢查云計算環境中很多客戶端到服務器流量的能力,以揭示隱藏在傳輸層安全性(TLS)加密通信中的威脅或惡意文件。云計算訪問安全代理(CASB)還使系統管理員能夠檢測從云計算到惡意命令和控制(C2)服務器的未授權網絡呼叫。云計算訪問安全代理(CASB)工具提供的審計功能可以輕松地與內部企業分層防御集成。此集成提供整個企業威脅防護功能的單一控制平臺視圖。

  大型跨國公司需要有效保護敏感數據免于泄漏,但可能缺乏對其各種云計算解決方案足跡的完整理解。這使得完全保護企業所需的數據丟失預防(DLP)覆蓋幾乎不可能實現。通過有效的身份和訪問管理實踐(如單點登錄和粒度授權),企業可以通過有效的身份和訪問管理實踐(如單點登錄和粒度授權)實現對其云足跡的更大可見性。這些控制有助于企業確保通過其各種云計算解決方案的敏感流量由云計算訪問安全代理(CASB)檢查。

  最近的安全漏洞已經強調了與未能對訪問包含敏感信息的文件實施細粒度授權相關的風險。企業有效地限制對授權組成員的訪問很重要。當實施安全策略時,系統管理員還需要考慮對組織內每個組執行CRUD(“創建、讀取、更新和刪除”)和下載功能。除此之外,還須對臨時員工實施有條件的訪問,以確保訪問僅限于組織批準的設備。

  成熟的身份和訪問管理控制

  身份和訪問管理(IAM)功能是在云中實現成熟的信息安全狀態所不可或缺的。作為一個起點,企業應考慮單點登錄(SSO)、訪問請求和企業和員工自有設備的認證,以及特權訪問管理。

  有效身份和訪問管理(IAM)計劃的一個基本原則是通過集中化可以有效地實現和維護安全性。單點登錄(SSO)是一種在不同平臺之間統一用戶身份驗證的機制,就是這一概念的一個示例,它提供了一個單一控制平臺視圖,可以了解誰在對企業服務器進行身份驗證,同時促進更有效的員工入職和離職。此外,單點登錄(SSO)通過實施多因素身份驗證(MFA)為更嚴格的身份驗證提供了基礎。

  同樣,企業也應考慮從身份和訪問管理(IAM)角度集中管理應用程序的舉措(例如訪問請求和認證以及定期用戶訪問評審)。根據經驗,此類計劃可以提高整體身份和訪問管理(IAM)成熟度,并確保為應用程序和用戶正確實施安全策略。

  人們還將特權訪問管理(PAM)視為身份和訪問管理(IAM)狀態的核心。特權訪問管理(PAM)可幫助組織限制和監控云中特權賬戶(包括服務賬戶)的使用,以降低特權憑據被攻擊者濫用的風險。人們已經看到了財富100強公司的特權憑證遭到入侵和濫用以在整個網絡中種植遠程shell的事件。可以通過實施更細粒度的身份和訪問管理(IAM)策略來防止這些攻擊。

  通過強大的端到端加密保護靜態數據和傳輸

  在設計云安全策略時,企業需要確定如何使用強大的端到端加密來保護靜態數據和傳輸中的數據。

  保護云中靜態數據的關鍵方面是保護云計算服務提供商提供的密鑰。許多企業未能安全地處理這些密鑰。即使在規模很大的公司,仍然在將密鑰的網址輸入互聯網瀏覽器時而無意中暴露公鑰。這種常見的錯誤可能不僅會導致云平臺的憑據和配置泄漏,還可能會導致云實例被攻擊者完全接管。

  對于傳輸中的數據,大多數公司已經意識到通過TLS等加密通道發送數據的好處。但是需要注意的是,在處理敏感信息(例如醫療保健或財務數據)時,添加另一層加密措施以防止攻擊很重要。例如,企業可能會考慮加密有效負載并固定TLS證書。

  執行應用程序安全性評估

  隨著DevOps等敏捷開發方法的快速普及,將安全性有效集成到企業的軟件開發生命周期對于安全地利用云計算很重要。企業對于云安全方面很大的誤解之一是相信云計算服務提供商將為其托管的應用程序和數據庫集成提供安全措施。實際上,大多數云計算服務提供商(包括AWS、Microsoft和Google)都采取的是共擔責任模式,企業需要承擔以下安全責任:

  •消費者數據;

  •應用安全;

  •身份和訪問管理;

  •網絡和防火墻配置;

  •客戶端配置;

  •服務器端加密;

  •數據完整性身份驗證。

  而云計算服務提供商需要負責冗余、存儲、數據庫、網絡的安全。因此,將安全性和合規性集成到企業現有的持續集成和持續部署管道中變得至關重要。

  為了提高云計算應用程序的安全性,企業應首先在安全開發生命周期(SDLC)中盡早識別安全漏洞。實際上,這意味著企業應該在開發的最初階段融合安全架構審查和安全代碼審查,以推動代碼的安全實施。許多安全解決方案供應商已經采用這種方法,為開發人員提供安全工具,其中包括培訓、在集成開發環境(IDE)和持續集成管道中集成安全實踐。人們目前看到的問題包括安全解決方案供應商的編程語言依賴性,盡管大型企業的開發生態系統中存在過多的編程語言。這些工具無法在不同的編程語言中提供相應的質量。例如,大型企業可以利用Node.js和Java安全工具有效識別Node.js漏洞,同時忽略Java中的安全風險。面臨這些挑戰的企業需要優先考慮其工具的定制,以實現跨編程語言的統一有效性。此外,企業可以利用基準測試工具來了解各種安全解決方案供應商的功效。

  評估生產安全工具的功效對于保護云計算應用程序也至關重要。建議首先啟動一個針對壓力測試關鍵安全控制的紫色團隊練習。這種方法允許企業識別是否存在可能危及其云實例的攻擊路徑。為了更好地認識到企業可以從安全團隊中獲益,企業需要了解生產安全評估選項的前景。紅色團隊練習提供了對手對企業安全態勢的看法,藍色團隊練習提供了維護者的觀點,紫色團隊結合了對手和防守者的觀點,提供了對信息安全風險的各方面評估。人們看到企業尋求建立或增強紫色團隊能力的趨勢,有時在外部專家的幫助下實現。根據經驗,企業可以通過將人工技術與自動化方法相結合,很有效地進行生產中的紫色團隊練習。這使企業可以減少因已識別的安全問題而導致的停機時間。重要的是,企業不要在質量保證環境中進行紫色團隊練習,因為這可能會降低其結果的有效性。

  紫色團隊評估可以幫助識別生產中的安全漏洞和業務差距,提供對分層防御(例如Web應用程序防火墻(WAF)、安全網關、安全信息和事件管理(SIEM)、單點登錄和運行)的功效的可見性時間應用程序自我保護(RASP)。

  保持強大的記錄和監控能力

  強大的日志記錄和監控功能對于組織快速檢測和響應影響其云部署的惡意活動至關重要。傳統上,提供日志收集和分析的安全信息和事件管理(SIEM)系統在安裝和維護方面具有挑戰性,日志保留也非常密集。由于模塊化功能,更新的安全信息和事件管理(SIEM)系統更易于部署。隨著企業越來越多地將日志存儲在云中,也減少了內部部署的存儲。

  企業領導者應該努力使用安全信息和事件管理(SIEM)來實現針對云計算應用程序和基礎設施利用的攻擊模式的單一控制平臺視圖。這是通過來自各種發現源(WAF或RASP)的日志聚合來實現的。企業應該驗證信息和事件管理(SIEM)功能的有效性,以創建連續的反饋循環,從而使攻擊之間的共性成為分層防御和/或應用程序代碼的規則集的變化。人們看到許多公司未能建立這種反饋循環,影響了他們保護云中信息的能力。

 

  屢見不鮮的數據泄露事件強調了這樣一個事實,全球規模較大的企業也一直在與云安全作斗爭。企業的領導團隊須通過在其持續集成/持續部署(CI/CD)管道和生產環境中集成有效的安全控制和流程來應對云安全風險。此外,安全團隊需要在非生產環境和生產環境之間創建一個連續的反饋循環,以增強企業的整體安全態勢。

推薦 打印 | 錄入:admin | 閱讀:
本文評論   
評論聲明
  • 尊重網上道德,遵守中華人民共和國的各項有關法律法規
  • 承擔一切因您的行為而直接或間接導致的民事或刑事法律責任
  • 本站管理人員有權保留或刪除其管轄留言中的任意內容
  • 本站有權在網站內轉載或引用您的評論
  • 參與本評論即表明您已經閱讀并接受上述條款
非常幸运