信息化觀察網(wǎng)

新冠疫情的持續(xù)對(duì)云安全產(chǎn)生了巨大的影響，例如，F(xiàn)lexera軟件公司在其最近發(fā)布的2020年云端安全狀態(tài)報(bào)告中就指出，新冠疫情大流行改變了一部分使用云端用戶的使用策略。有一半的云端受訪者用戶表示，由于遠(yuǎn)程工作帶來的需求不斷增長，他們的云使用量將比最初計(jì)劃的要大很多。其他受訪者表示，考慮到訪問傳統(tǒng)數(shù)據(jù)中心的困難和供應(yīng)鏈的延遲，他們的組織可能會(huì)加快遷移計(jì)劃。

令人擔(dān)心的是，由于云端防護(hù)漏洞百出，大多數(shù)遷移到云端的組織已經(jīng)在為安全問題而苦惱了。在網(wǎng)絡(luò)安全業(yè)內(nèi)人士發(fā)布的《2020年云安全報(bào)告》中，75%的受訪者表示他們“非常關(guān)注”或“極為關(guān)注”公共云安全。 Continuity Central 報(bào)告稱，考慮到68%的受訪者表示他們的雇主使用了兩家或兩家以上的公共云提供商來進(jìn)行安全備份，這意味著安全團(tuán)隊(duì)需要使用多個(gè)本機(jī)工具來嘗試在其雇主的云基礎(chǔ)架構(gòu)中實(shí)施安全性。

以上的這些擔(dān)憂共同引出了一些重要的問題，例如，為什么組織在保護(hù)云環(huán)境方面如此困難?他們面臨的挑戰(zhàn)是什么?

為此，本文強(qiáng)調(diào)了組織在保護(hù)云環(huán)境時(shí)通常面臨的三個(gè)挑戰(zhàn)：配置錯(cuò)誤、有限的網(wǎng)絡(luò)安全監(jiān)控能力和不受保護(hù)的云運(yùn)行時(shí)環(huán)境。在對(duì)每個(gè)問題進(jìn)行簡要討論之后，我們將提供一些建議，說明組織如何應(yīng)對(duì)這些挑戰(zhàn)并增強(qiáng)其云安全。

1.云和容器配置錯(cuò)誤

云配置錯(cuò)誤是指管理員無意中為云系統(tǒng)部署了與組織的安全策略不一致的設(shè)置，其中存在的風(fēng)險(xiǎn)是，錯(cuò)誤配置可能危及組織的基于云的數(shù)據(jù)的安全性，不過危害程序要具體取決于受影響的資產(chǎn)或系統(tǒng)。專業(yè)一點(diǎn)的說法就是，攻擊者可以利用其環(huán)境中的證書或軟件漏洞，最終傳播到受害者環(huán)境的其他區(qū)域。攻擊者利用受感染節(jié)點(diǎn)內(nèi)的高級(jí)權(quán)限來遠(yuǎn)程訪問其他節(jié)點(diǎn)，探測不安全的應(yīng)用程序和數(shù)據(jù)庫，或者只是濫用薄弱的網(wǎng)絡(luò)控制。然后，他們可以通過將數(shù)據(jù)復(fù)制到Web上的匿名節(jié)點(diǎn)或創(chuàng)建一個(gè)存儲(chǔ)網(wǎng)關(guān)來從遠(yuǎn)程位置訪問數(shù)據(jù)，從而在不受監(jiān)視的情況下竊取組織的數(shù)據(jù)。

錯(cuò)誤配置可能很難被防護(hù)人員發(fā)現(xiàn)，更重要的是，大多數(shù)企業(yè)都只能使用手動(dòng)方法來管理云配置，而攻擊者則會(huì)使用自動(dòng)化手段來尋找組織的云防御漏洞，

需要注意的是，這種威脅不僅僅是理論上的。DivvyCloud（云基礎(chǔ)架構(gòu)自動(dòng)化平臺(tái)）在其2020年的Cloud Misconfigurations報(bào)告中就寫到，2018年至2019年期間發(fā)生了196起公開報(bào)告的主要由云錯(cuò)誤配置導(dǎo)致的數(shù)據(jù)泄漏。這些事件公開了總計(jì)超過330億份記錄，相關(guān)受害者組織總共損失了5萬億美元。

2.有限的網(wǎng)絡(luò)安全監(jiān)控能力

網(wǎng)絡(luò)安全監(jiān)控能力意味著組織知道該網(wǎng)絡(luò)中正在發(fā)生的事情，其中包括連接到網(wǎng)絡(luò)的硬件和軟件以及正在發(fā)生的網(wǎng)絡(luò)事件。但是，在有限的網(wǎng)絡(luò)安全監(jiān)控能力下，一個(gè)組織對(duì)其存在的潛在的或已經(jīng)出現(xiàn)的威脅往往缺乏意識(shí)，例如攻擊者使用錯(cuò)誤配置事件來滲透網(wǎng)絡(luò)，安裝惡意軟件或橫向移動(dòng)感染目標(biāo)進(jìn)而獲取敏感數(shù)據(jù)。

然而，在云中實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全監(jiān)控并不總是那么容易。正如Help Net Security所指出的，管理員不能像在數(shù)據(jù)中心中通過交換機(jī)或防火墻那樣輕松地訪問其環(huán)境的凈流量，這是因?yàn)樗麄儾荒苤苯釉L問CSP提供的云基礎(chǔ)架構(gòu)。相反，他們需要瀏覽CSP的產(chǎn)品列表。這些工具可能包含也可能不包含提供有價(jià)值（或完整）洞察力的設(shè)備相互連接的工具。

這并不是云和傳統(tǒng)數(shù)據(jù)中心安全性方面之間唯一可見的差別，默認(rèn)情況下，計(jì)算資源是分段的，這意味著管理員有時(shí)需要比IP地址更多的數(shù)據(jù)點(diǎn)來跟蹤基于云的對(duì)象。它還要求管理員使用角色和策略來啟用特定的連接，而不是依賴防火墻來禁止某些連接嘗試。

3.未受保護(hù)的云運(yùn)行時(shí)環(huán)境

除了配置錯(cuò)誤和糟糕的網(wǎng)絡(luò)安全監(jiān)控之外，還有運(yùn)行時(shí)環(huán)境的問題。如果不受保護(hù)，云運(yùn)行時(shí)環(huán)境將為惡意攻擊者提供大量機(jī)會(huì)，通過這些機(jī)會(huì)攻擊者就可以攻擊組織。例如，它們可以利用組織自身代碼中的漏洞，或者在運(yùn)行時(shí)環(huán)境中執(zhí)行的應(yīng)用程序所使用的軟件包中的漏洞來滲透網(wǎng)絡(luò)。

保護(hù)云運(yùn)行時(shí)環(huán)境的第一個(gè)問題是，組織有時(shí)不知道他們?cè)谠浦械陌踩氊?zé)是什么，或者在安全管理方面缺乏相關(guān)的技能。在公共云中擁有資產(chǎn)的組織與CSP共同負(fù)責(zé)云安全。前者負(fù)責(zé)“云中”的安全性，后者負(fù)責(zé)確保“云中”的安全。有時(shí)，組織不了解此共享責(zé)任模型的含義，否則他們將難以履行這些責(zé)任，這意味著它們可能無法加強(qiáng)其云安全性或無法實(shí)施CSP可用的措施。

理解什么類型的安全工具適用于云計(jì)算也是一個(gè)問題，確保on-prem IT安全的工具、方法和技能在云計(jì)算中常常是行不通的，在云計(jì)算中，網(wǎng)絡(luò)安全受到的挑戰(zhàn)是攻擊的技術(shù)要超前于安全保護(hù)的技術(shù)。最重要的是，從On -prem到云計(jì)算的快速發(fā)展催生了大量特定于點(diǎn)的解決方案，這些解決方案通常具有重疊的功能，這使得安全云實(shí)例的工作變得極其復(fù)雜化。在某些情況下，組織可能會(huì)認(rèn)為他們可以應(yīng)用其傳統(tǒng)的殺毒軟件解決方案來覆蓋其云系統(tǒng)和數(shù)據(jù)，但是這些解決方案無法解決通常針對(duì)云工作負(fù)載的威脅。

如何應(yīng)對(duì)這些威脅

盡管未來不確定，但確保云工作負(fù)載安全的工作手冊(cè)相對(duì)簡單。為了幫助解決配置錯(cuò)誤，組織可以遵循Gartner發(fā)布的《云工作負(fù)載保護(hù)平臺(tái)市場指南》，并使用安全配置管理為連接到網(wǎng)絡(luò)的資產(chǎn)建立基準(zhǔn)，監(jiān)控這些資產(chǎn)是否偏離該基準(zhǔn)，如果發(fā)生偏差就將其資產(chǎn)恢復(fù)為批準(zhǔn)的基準(zhǔn)。此外，組織需要自動(dòng)化防御措施，以保護(hù)其系統(tǒng)免受可能濫用配置錯(cuò)誤或其他安全漏洞的自動(dòng)攻擊。

至于網(wǎng)絡(luò)安全的監(jiān)控功能，重要的不僅是要知道你的網(wǎng)絡(luò)上有什么內(nèi)容，還要知道哪些資產(chǎn)處于潛在的受攻擊狀態(tài)。這可以通過資產(chǎn)發(fā)現(xiàn)工具實(shí)現(xiàn)，如SentinelOne的Ranger技術(shù)，它可以通過利用受保護(hù)的端口作為傳感器，在不增加資源消耗或需要額外硬件的情況下，提供跨網(wǎng)絡(luò)的設(shè)備發(fā)現(xiàn)和惡意設(shè)備隔離。

最后，組織可以通過使用包含工作負(fù)載的運(yùn)行時(shí)保護(hù)和EDR主動(dòng)地實(shí)時(shí)解決數(shù)字威脅，從而保護(hù)云運(yùn)行時(shí)環(huán)境。這可以包括諸如應(yīng)用程序控制引擎之類的工具，該工具可以鎖定容器并保護(hù)其免受未經(jīng)授權(quán)的安裝和濫用攻擊者工具的影響，不管這些攻擊工具是合法的LOLBins還是自定義的惡意軟件。