安全漏洞問(wèn)題已經(jīng)讓越來(lái)越多的組織對(duì)新興安全軟件很感興趣。例如,云安全狀態(tài)管理(CSPM)技術(shù)可以對(duì)云計(jì)算環(huán)境進(jìn)行搜索,并向企業(yè)員工發(fā)出有關(guān)配置問(wèn)題和合規(guī)風(fēng)險(xiǎn)的警報(bào),其中大部分問(wèn)題是人為錯(cuò)誤。
2019年,金融服務(wù)提供商CapitalOne公司發(fā)生了一起數(shù)據(jù)泄露重大事件,當(dāng)時(shí)一名AWS公司的員工啟用了一個(gè)配置錯(cuò)誤的Web應(yīng)用防火墻(WAF),CapitalOne公司將其作為在AWS云平臺(tái)中托管的一部分,使其大量客戶數(shù)據(jù)泄露。2018年,沃爾瑪公司和GoDaddy公司使用的AWS存儲(chǔ)實(shí)例之后大量數(shù)據(jù)對(duì)外泄露,因?yàn)槠渌丝梢酝ㄟ^(guò)AWS存儲(chǔ)實(shí)例在全球互聯(lián)網(wǎng)上訪問(wèn)這些數(shù)據(jù)。
云平臺(tái)中的配置錯(cuò)誤
調(diào)研機(jī)構(gòu)Gartner公司分析師NeilMacDonald表示,大多數(shù)企業(yè)的首席信息官在調(diào)查中表示,他們的數(shù)據(jù)存放在云計(jì)算供應(yīng)商的云平臺(tái)那里更安全,但是由于人為錯(cuò)誤和網(wǎng)絡(luò)攻擊,使很多企業(yè)的數(shù)據(jù)對(duì)外泄露。Gartner公司的調(diào)查表明,實(shí)際上,到2025年,99%的云安全故障都是客戶自身的過(guò)錯(cuò)。
MacDonald說(shuō):“他們最擔(dān)心的問(wèn)題是,內(nèi)部員工所犯的一些錯(cuò)誤會(huì)讓他們的數(shù)據(jù)泄露。”
LandO'Lakes公司首席安全官TonyTaylor表示,例如,迫于DevOps截止日期,很多企業(yè)的開(kāi)發(fā)人員匆忙啟動(dòng)新的虛擬機(jī),而在無(wú)意間將其網(wǎng)絡(luò)暴露在外。
常見(jiàn)的配置錯(cuò)誤暴露了云存儲(chǔ)文件夾和數(shù)據(jù)傳輸協(xié)議,這些文件夾和數(shù)據(jù)傳輸協(xié)議可以通過(guò)全球互聯(lián)網(wǎng)訪問(wèn),并且用戶帳戶具有過(guò)多的訪問(wèn)權(quán)限。此前,工作人員通過(guò)人工檢查或者編寫(xiě)自動(dòng)腳本進(jìn)行檢測(cè),從而發(fā)現(xiàn)此類漏洞。
檢查云計(jì)算安全狀態(tài)
MacDonald表示,由于云平臺(tái)具有高度自動(dòng)化和用戶自助服務(wù)(例如,基礎(chǔ)設(shè)施即服務(wù)和平臺(tái)即服務(wù)),凸顯了云計(jì)算適當(dāng)配置和合規(guī)性的重要性。
Gartner公司建議企業(yè)通過(guò)對(duì)云安全狀態(tài)管理(CSPM)進(jìn)行投資來(lái)應(yīng)對(duì)風(fēng)險(xiǎn),云安全狀態(tài)管理(CSPM)是云訪問(wèn)安全代理軟件(CASB)的一種擴(kuò)展,旨在為軟件即服務(wù)(SaaS)實(shí)施安全性、合規(guī)性和治理策略。
Taylor表示,LandO'Lakes公司正在使用云訪問(wèn)安全代理軟件(CASB)和云安全狀態(tài)管理(CSPM)軟件來(lái)了解向誰(shuí)提供了數(shù)千個(gè)帳戶,每個(gè)用戶擁有哪些權(quán)限,以及與誰(shuí)共享哪些數(shù)據(jù),以及該公司的MicrosoftOffice365和Azure云軟件的其他特征。該軟件是McAfee公司的MVISIONCloud,可以識(shí)別錯(cuò)誤,例如端口和數(shù)據(jù)庫(kù)中的配置錯(cuò)誤和未加密的技術(shù)服務(wù),以及不符合州和聯(lián)邦隱私法規(guī)定的系統(tǒng)。它還會(huì)自動(dòng)提醒安全人員注意異常情況,例如可疑的訪問(wèn)。
對(duì)于擔(dān)心根據(jù)各州隱私法律(例如《加州消費(fèi)者隱私法案》和《通用數(shù)據(jù)隱私條例》)保護(hù)個(gè)人信息的企業(yè)而言,此類保護(hù)特性至關(guān)重要。Taylor說(shuō):“在沒(méi)有采用云安全工具之前,我們對(duì)安全態(tài)勢(shì)沒(méi)有很好的認(rèn)識(shí)。”
云中的“側(cè)窗”
McAfee公司云計(jì)算高級(jí)副總裁RajivGupta指出,保護(hù)云計(jì)算環(huán)境具有挑戰(zhàn)性,因?yàn)榕c內(nèi)部部署技術(shù)不同,企業(yè)圍繞內(nèi)部部署技術(shù)設(shè)施設(shè)置防火墻和其他外圍保護(hù),由于云計(jì)算的多租戶架構(gòu),來(lái)自多個(gè)客戶的數(shù)據(jù)通常駐留在同一臺(tái)計(jì)算機(jī)上,而每個(gè)客戶可以利用不同的資源。
Gupta指出,云計(jì)算環(huán)境以指數(shù)方式擴(kuò)大了網(wǎng)絡(luò)犯罪者可以找到漏洞以泄露數(shù)據(jù)的范圍。可以肯定的是,這些漏洞也出現(xiàn)在內(nèi)部部署基礎(chǔ)設(shè)施中,但其中仍然有許多錯(cuò)誤配置。他說(shuō),“采用云計(jì)算服務(wù),原有的安全措施消失了。”
此外,隨著時(shí)間的推移,開(kāi)發(fā)人員在啟動(dòng)新服務(wù)器、打開(kāi)新端口,并獲得更高特權(quán)時(shí)會(huì)無(wú)意中創(chuàng)建漏洞。Gupta說(shuō),這種“配置偏差”削弱了安全態(tài)勢(shì)。當(dāng)開(kāi)發(fā)人員使用API??將諸如商業(yè)智能工具之類的第三方應(yīng)用程序連接到其云計(jì)算服務(wù)時(shí),事情變得更加復(fù)雜。在很多企業(yè)不知情的情況下,第三方服務(wù)會(huì)復(fù)制所有數(shù)據(jù)。很多企業(yè)在數(shù)據(jù)泄露之前,都沒(méi)有意識(shí)到自己創(chuàng)建了這個(gè)“側(cè)窗”。
Gupta說(shuō):“問(wèn)題變得更加復(fù)雜,因?yàn)樵圃M件之間存在復(fù)雜性和側(cè)窗。”
首席信息官對(duì)云安全的看法
CapitalOne公司的數(shù)據(jù)泄露事件為人們敲響了警鐘,很多首席信息官認(rèn)同這一觀點(diǎn)。
新澤西運(yùn)輸公司首席信息官LookmanFazal認(rèn)為,與任何新興技術(shù)一樣,云計(jì)算技術(shù)為首席信息官提供了風(fēng)險(xiǎn)回報(bào)方案。
在考慮將業(yè)務(wù)遷移到云平臺(tái)時(shí),F(xiàn)azal對(duì)是否可以在自己的數(shù)據(jù)中心中復(fù)制AWS的99.9%正常運(yùn)行時(shí)間以匹配其事件安全響應(yīng)率進(jìn)行了探討,但其答案是否定的。Fazal說(shuō),“AWS云平臺(tái)的正常運(yùn)行時(shí)間和安全性關(guān)鍵績(jī)效指標(biāo)(KPI)更好。”
此外,與發(fā)生停機(jī)時(shí)將故障轉(zhuǎn)移到內(nèi)部部署數(shù)據(jù)中心的成本相比,AWS云平臺(tái)提供了NJTransit公司的災(zāi)難恢復(fù)服務(wù),其遷移到云平臺(tái)的成本也要低得多,這使NJTransit公司可以在內(nèi)部部署數(shù)據(jù)中心運(yùn)行計(jì)算資源的成本減少200萬(wàn)美元。
84Lumber公司首席信息官PaulYater說(shuō),企業(yè)選擇合適的云計(jì)算供應(yīng)商也很關(guān)鍵。作為客戶,IT領(lǐng)導(dǎo)者有責(zé)任確保正確的檢查點(diǎn)和審核協(xié)議已經(jīng)到位。
Yater在談到云計(jì)算供應(yīng)商時(shí)說(shuō):“企業(yè)不能認(rèn)為他們做的一切正確。而是需要將云計(jì)算供應(yīng)商視為其IT組織的擴(kuò)展,以便讓他們對(duì)相同級(jí)別的安全負(fù)責(zé)。”
保護(hù)云計(jì)算服務(wù)的技巧
IT領(lǐng)導(dǎo)者提供了一些與云計(jì)算供應(yīng)商合作以確保安全性的技巧。
LandO'Lakes公司Taylor表示,云平臺(tái)安全至關(guān)重要。在開(kāi)發(fā)人員啟動(dòng)云計(jì)算服務(wù)之前,客戶必須首先執(zhí)行政策和程序。IT領(lǐng)導(dǎo)者必須修復(fù)云計(jì)算環(huán)境的任何漏洞,確保數(shù)據(jù)不會(huì)泄露,并建立一個(gè)健全的DevSecOps模型。
Yater指出,云計(jì)算供應(yīng)商需要獲利,而企業(yè)要求云計(jì)算供應(yīng)商演示PEN(滲透)測(cè)試,并跟蹤和查詢其防火墻、傳感器和其他監(jiān)視網(wǎng)絡(luò)連接之間流量的工具。另外,確保他們具有正確的數(shù)據(jù)保留策略來(lái)保護(hù)企業(yè)業(yè)務(wù)正常運(yùn)營(yíng)。
Gupta表示,每個(gè)人都有責(zé)任。安全性應(yīng)該在“分擔(dān)責(zé)任”模型的背景下實(shí)現(xiàn)。在該模型中,企業(yè)和云計(jì)算供應(yīng)商將盡自己的職責(zé)來(lái)保護(hù)自己和用戶的數(shù)據(jù)。Gupta說(shuō),:“人們需要理解維護(hù)模型責(zé)任的意義。”
