安全漏洞問題已經讓越來越多的組織對新興安全軟件很感興趣。例如,云安全狀態管理(CSPM)技術可以對云計算環境進行搜索,并向企業員工發出有關配置問題和合規風險的警報,其中大部分問題是人為錯誤。
2019年,金融服務提供商CapitalOne公司發生了一起數據泄露重大事件,當時一名AWS公司的員工啟用了一個配置錯誤的Web應用防火墻(WAF),CapitalOne公司將其作為在AWS云平臺中托管的一部分,使其大量客戶數據泄露。2018年,沃爾瑪公司和GoDaddy公司使用的AWS存儲實例之后大量數據對外泄露,因為其他人可以通過AWS存儲實例在全球互聯網上訪問這些數據。
云平臺中的配置錯誤
調研機構Gartner公司分析師NeilMacDonald表示,大多數企業的首席信息官在調查中表示,他們的數據存放在云計算供應商的云平臺那里更安全,但是由于人為錯誤和網絡攻擊,使很多企業的數據對外泄露。Gartner公司的調查表明,實際上,到2025年,99%的云安全故障都是客戶自身的過錯。
MacDonald說:“他們最擔心的問題是,內部員工所犯的一些錯誤會讓他們的數據泄露。”
LandO'Lakes公司首席安全官TonyTaylor表示,例如,迫于DevOps截止日期,很多企業的開發人員匆忙啟動新的虛擬機,而在無意間將其網絡暴露在外。
常見的配置錯誤暴露了云存儲文件夾和數據傳輸協議,這些文件夾和數據傳輸協議可以通過全球互聯網訪問,并且用戶帳戶具有過多的訪問權限。此前,工作人員通過人工檢查或者編寫自動腳本進行檢測,從而發現此類漏洞。
檢查云計算安全狀態
MacDonald表示,由于云平臺具有高度自動化和用戶自助服務(例如,基礎設施即服務和平臺即服務),凸顯了云計算適當配置和合規性的重要性。
Gartner公司建議企業通過對云安全狀態管理(CSPM)進行投資來應對風險,云安全狀態管理(CSPM)是云訪問安全代理軟件(CASB)的一種擴展,旨在為軟件即服務(SaaS)實施安全性、合規性和治理策略。
Taylor表示,LandO'Lakes公司正在使用云訪問安全代理軟件(CASB)和云安全狀態管理(CSPM)軟件來了解向誰提供了數千個帳戶,每個用戶擁有哪些權限,以及與誰共享哪些數據,以及該公司的MicrosoftOffice365和Azure云軟件的其他特征。該軟件是McAfee公司的MVISIONCloud,可以識別錯誤,例如端口和數據庫中的配置錯誤和未加密的技術服務,以及不符合州和聯邦隱私法規定的系統。它還會自動提醒安全人員注意異常情況,例如可疑的訪問。
對于擔心根據各州隱私法律(例如《加州消費者隱私法案》和《通用數據隱私條例》)保護個人信息的企業而言,此類保護特性至關重要。Taylor說:“在沒有采用云安全工具之前,我們對安全態勢沒有很好的認識。”
云中的“側窗”
McAfee公司云計算高級副總裁RajivGupta指出,保護云計算環境具有挑戰性,因為與內部部署技術不同,企業圍繞內部部署技術設施設置防火墻和其他外圍保護,由于云計算的多租戶架構,來自多個客戶的數據通常駐留在同一臺計算機上,而每個客戶可以利用不同的資源。
Gupta指出,云計算環境以指數方式擴大了網絡犯罪者可以找到漏洞以泄露數據的范圍。可以肯定的是,這些漏洞也出現在內部部署基礎設施中,但其中仍然有許多錯誤配置。他說,“采用云計算服務,原有的安全措施消失了。”
此外,隨著時間的推移,開發人員在啟動新服務器、打開新端口,并獲得更高特權時會無意中創建漏洞。Gupta說,這種“配置偏差”削弱了安全態勢。當開發人員使用API??將諸如商業智能工具之類的第三方應用程序連接到其云計算服務時,事情變得更加復雜。在很多企業不知情的情況下,第三方服務會復制所有數據。很多企業在數據泄露之前,都沒有意識到自己創建了這個“側窗”。
Gupta說:“問題變得更加復雜,因為云原生組件之間存在復雜性和側窗。”
首席信息官對云安全的看法
CapitalOne公司的數據泄露事件為人們敲響了警鐘,很多首席信息官認同這一觀點。
新澤西運輸公司首席信息官LookmanFazal認為,與任何新興技術一樣,云計算技術為首席信息官提供了風險回報方案。
在考慮將業務遷移到云平臺時,Fazal對是否可以在自己的數據中心中復制AWS的99.9%正常運行時間以匹配其事件安全響應率進行了探討,但其答案是否定的。Fazal說,“AWS云平臺的正常運行時間和安全性關鍵績效指標(KPI)更好。”
此外,與發生停機時將故障轉移到內部部署數據中心的成本相比,AWS云平臺提供了NJTransit公司的災難恢復服務,其遷移到云平臺的成本也要低得多,這使NJTransit公司可以在內部部署數據中心運行計算資源的成本減少200萬美元。
84Lumber公司首席信息官PaulYater說,企業選擇合適的云計算供應商也很關鍵。作為客戶,IT領導者有責任確保正確的檢查點和審核協議已經到位。
Yater在談到云計算供應商時說:“企業不能認為他們做的一切正確。而是需要將云計算供應商視為其IT組織的擴展,以便讓他們對相同級別的安全負責。”
保護云計算服務的技巧
IT領導者提供了一些與云計算供應商合作以確保安全性的技巧。
LandO'Lakes公司Taylor表示,云平臺安全至關重要。在開發人員啟動云計算服務之前,客戶必須首先執行政策和程序。IT領導者必須修復云計算環境的任何漏洞,確保數據不會泄露,并建立一個健全的DevSecOps模型。
Yater指出,云計算供應商需要獲利,而企業要求云計算供應商演示PEN(滲透)測試,并跟蹤和查詢其防火墻、傳感器和其他監視網絡連接之間流量的工具。另外,確保他們具有正確的數據保留策略來保護企業業務正常運營。
Gupta表示,每個人都有責任。安全性應該在“分擔責任”模型的背景下實現。在該模型中,企業和云計算供應商將盡自己的職責來保護自己和用戶的數據。Gupta說,:“人們需要理解維護模型責任的意義。”
