企業還在PaaS和IaaS上擴展應用程序和業務。2020年,有76%的企業在AWS云平臺上運行其應用程序,63%的企業在MicrosoftAzure云平臺上運行應用程序。
CapitalOne公司技術顧問和前任首席信息安全官(CISO)MichaelJohnson表示,這些公共云服務都是必需的且富有成效的,甚至比傳統的數據中心提供更安全的環境。但是,它們也給正在處理和存儲在云平臺中的敏感數據帶來了獨特的風險,其中大多數風險是由這些服務的設置和管理中的客戶錯誤引起的。
Johnson以該公司在2019年發生的數據泄露事件為例,此次事件泄露了8000萬的個人記錄。在其中,網絡攻擊者利用了配置不當的第三方云計算環境。Johnson和他的團隊彌補了這一漏洞,并借助強大的響應計劃,與企業董事會和執行團隊的透明性以及與執法部門之間的合作關系,在數據被利用之前迅速幫助執法機構抓獲網絡攻擊者。
制定應對計劃以應對在云平臺中放置敏感數據的風險,這應該是任何云安全策略的一部分。要開始制定有關公共云使用的數據保護政策,重要的是要了解攻擊者如何竊取來自第三方云服務的數據。
數據在云中如何受到攻擊
根據云安全聯盟(CSA)發布的2020年度威脅報告,第三方云服務中的數據泄露主要是由于配置錯誤和變更控制不充分(例如,過多的權限、默認憑據、配置不正確的AWSS3存儲桶以及禁用的云安全控制)造成的。這份報告指出,這意味著缺乏云計算的安全策略或架構,是造成數據泄露的另一個常見原因,其次是身份和密鑰管理不足,其次是不安全的API、結構故障以及對云計算活動和安全控制的有限可見性。
云安全聯盟(CSA)首席執行官JimReavis表示:“由于越來越多的企業員工開展遠程工作,SaaS在2021年已成為我們關注的重點。公共云采用率出現了驚人的增長,但是很多企業在匆忙中卻忘記了對邊緣網絡的安全保護。例如,人們在多個云服務中重復使用其憑據,因此憑據填充攻擊正日益增多。”
根據安全服務商McAfee公司的一項調查,到2020年5月,思科WebEx的使用量增加了600%,Zoom增長了350%,MicrosoftTeams增長了300%,Slack增長了200%。Reavis指出,在企業最初支持遠程工作的過程中,有許多可能導致數據泄漏的故障:IT團隊沒有保護云中的存儲桶、實施安全的開發人員實踐,或協調身份和訪問程序。有些甚至是網絡攻擊者在存儲庫中發現的硬編碼應用程序憑據。他補充說,“這是非常基本的東西。”
企業遵循以下三個最佳實踐將顯著降低在云中存儲或處理數據的風險。
1.盤點云服務的使用情況
首席信息安全官IanPoynter建議,應對云平臺中數據威脅的最佳方法是控制云應用程序的使用,并在涉及公共云服務的任何新舉措的規劃階段執行風險評估。
首席信息安全官(CISO)之間的共識是,用戶的云計算實例并非總是得到授權,并且很少針對公開數據進行有效監控。Poynter說,“這就是首席信息安全官(CISO)需要成為執行團隊成員的原因,他們需要了解正在發生的事情,并且還需要創建一個協作環境,業務部門主管希望與他們共享新項目或產品,然后讓他們評估正在尋找的云計算產品以獲得支持。”
他表示,他曾向以前任職的一家公司的會計部門發出警告,告知哪些第三方云應用程序和平臺的費用報銷需要獲得批準。如果未經事先批準,在批準服務以外購買的業務單位或個人用戶的報銷申請將被拒絕。
這是強制執行云計算應用程序白名單的人為但有效的方法。云計算應用程序允許和拒絕列表也是通常部署在企業控制的端點上或通過零信任技術(例如瀏覽器隔離)來控制用戶、企業和云計算應用程序之間遠程會話的強大技術控制。
2.云原生的安全性
Johnson表示,在企業已經實現標準化的成熟云服務和應用程序中使用云原生安全產品。例如,評估正在使用的應用程序的配置合規性的AWSInspector,以及可以檢測惡意活動和未經授權的行為的AmazonGuardDuty。他表示,企業需要對云計算提供商的聲譽進行盡職調查,并盡量采用規模較大的云計算提供商的服務,因為通常他們會在數據保護和可見性控制方面獲得更高的評分。
服務模型之間的原生安全性有所不同。IaaS和PaaS供應商為購買者在其基礎設施或平臺中升級的應用程序提供安全性和配置工具。這些是本地提供的,也可以通過第三方提供。對于SaaS應用程序(例如DocuSign、Slack或Box),安全性多數是原生的。例如,Microsoft356為ActiveDirectory的Exchange、SharePoint和Azure實例(除其他安全產品)提供高級審核。
通過Box企業云的應用,可以了解第三方云計算提供商對敏感數據的處理過程。Box云平臺管理多個應用程序,以支持工作流、數字合同、人力資源、Zoom會議、歷史數據存儲、人力資源加載和其他人力資源功能。用戶可以通過BoxShuttle將Box云平臺連接到其他云服務。
Box公司安全、隱私和法規遵從產品副總裁AlokOjha表示,隨著越來越多的應用程序在Box云平臺的應用,面向用戶的嵌入式安全和法規遵從工具集將成為關鍵。Ojha引用ContentCloud作為Box用戶在不同工作流中實現一致安全性和可視性的地方,以查看應用程序中正在處理哪些文件和數據,以及誰在訪問數據以及出于什么目的訪問。
另一個原生工具BoxShield可配置為查找和分類敏感數據,對分類數據實施適當控制,減少內部和惡意軟件威脅的風險,了解與數據相關的監管要求,并確保監管機構的審計跟蹤。他還建議重新關注身份和訪問管理(IAM),特別是使用多因素身份驗證,以供外部用戶和合作伙伴使用,而不要使用可重復使用的密碼。
3.保護數據層的數據
數據保護服務商Titaniam公司創始人兼首席執行官ArtiRaman警告說,不要過度依賴身份和訪問控制來防止數據泄漏,并表示還需要直接關注存儲在公共云中的數據。但是,從端點到企業再到云計算的數據保護非常困難,并且必須具有足夠的靈活性以跨越這些邊界,以保護生命周期中的數據。
她說:“我們認為,當數據被索引、搜索、聚合、查詢或以其他方式操作時,加密和數據保護應該保持存在,其方法是保持數據以自適應保護格式使用,而不限制任何功能。這包括傳統加密技術以及新的可搜索技術,這些技術在其之上使用傳統加密以滿足法規遵從性標準。”
Box公司的Ojha補充說,數據終止策略也很重要。企業應遵循數據安全的法規要求,最好自動刪除不再需要在第三方云平臺或基礎設施中運行的數據。
