信息化觀察網(wǎng)

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的網(wǎng)絡(luò)安全框架是一個(gè)很有價(jià)值的工具，可改善IT度量和標(biāo)準(zhǔn)，尤其是數(shù)據(jù)安全保護(hù)。

研究表明，將近三分之二的組織將安全性視為采用云技術(shù)的最大挑戰(zhàn)，這使NIST網(wǎng)絡(luò)安全框架成為重視數(shù)據(jù)安全的IT領(lǐng)導(dǎo)者的寶貴工具。

但是，隨著越來(lái)越多的企業(yè)采用越來(lái)越復(fù)雜的多云和混合云環(huán)境，照搬NIST網(wǎng)絡(luò)安全框架暗藏著巨大風(fēng)險(xiǎn)，因?yàn)镹IST網(wǎng)絡(luò)安全框架忽略了很多關(guān)鍵的云安全問(wèn)題。

不幸的是，NIST標(biāo)準(zhǔn)給大量企業(yè)和組織（從小型企業(yè)到大型政府組織）營(yíng)造了錯(cuò)誤的安全感。因?yàn)檫@些企業(yè)沒(méi)有意識(shí)到，盡管NIST安全框架有很多優(yōu)點(diǎn)，但也給網(wǎng)絡(luò)內(nèi)部埋下了巨大的云安全問(wèn)題隱患。以下，我們簡(jiǎn)要總結(jié)NIST安全框架漏掉的四個(gè)關(guān)鍵云安全問(wèn)題。

日志文件和審計(jì)報(bào)告

許多組織會(huì)驚訝地發(fā)現(xiàn)，沒(méi)有NIST標(biāo)準(zhǔn)規(guī)定日志文件應(yīng)保留30天以上?？紤]到日志中存在的大量信息，30天的保留期太短，對(duì)于組織，尤其是大型企業(yè)而言，這對(duì)于安全報(bào)告來(lái)說(shuō)是一個(gè)重大的挑戰(zhàn)。

考慮到企業(yè)平均需要四個(gè)月以上的時(shí)間才能檢測(cè)到數(shù)據(jù)泄露，因此當(dāng)前的30天限制根本無(wú)法滿足需要。擴(kuò)展的審核日志保留功能可確保IT團(tuán)隊(duì)擁有調(diào)查安全事件溯源所需的取證數(shù)據(jù)，也是遵守GDPR等數(shù)據(jù)隱私法規(guī)的關(guān)鍵一步。

共同責(zé)任

云（數(shù)據(jù)）安全的問(wèn)責(zé)是個(gè)十分讓人頭疼的問(wèn)題，尤其是在使用多云或混合云環(huán)境的企業(yè)中。

SaaS之類的高級(jí)云平臺(tái)需要大量IT驅(qū)動(dòng)的安全職責(zé)。在PaaS和SaaS解決方案中，身份和訪問(wèn)管理是一項(xiàng)共同的職責(zé)，需要有效的實(shí)施計(jì)劃，其中包括身份提供者的配置、管理服務(wù)的配置、用戶身份的建立和配置以及服務(wù)訪問(wèn)控制的實(shí)現(xiàn)。

隨著全球企業(yè)數(shù)字化轉(zhuǎn)型計(jì)劃的推進(jìn)和大流行期間遠(yuǎn)程辦公的流行，越來(lái)越多的組織將業(yè)務(wù)應(yīng)用遷移到云托管環(huán)境中。盡管云計(jì)算責(zé)任分擔(dān)模型明確規(guī)定了云提供商及其用戶的安全義務(wù)以確保問(wèn)責(zé)制度，但可見(jiàn)性和安全監(jiān)控應(yīng)用程序仍存在空白，需要解決。

隨著越來(lái)越多的企業(yè)選擇云計(jì)算節(jié)省成本和改進(jìn)業(yè)務(wù)，企業(yè)比以往任何時(shí)候都更需要彌合可見(jiàn)性和安全監(jiān)控的差距以實(shí)現(xiàn)最高安全性。

租戶代理

NIST要求對(duì)最小特權(quán)訪問(wèn)進(jìn)行范圍界定，但并未覆蓋租戶代理或“虛擬租戶”。虛擬租戶隔離了整個(gè)環(huán)境的各個(gè)區(qū)域，并防止管理員弄亂不屬于他們的區(qū)域。讓管理員控制他們的“虛擬”區(qū)域，從而幫助保護(hù)M365中的資源和數(shù)據(jù)。

可以理解，當(dāng)涉及個(gè)人隱私信息（PII）和知識(shí)產(chǎn)權(quán)時(shí)，缺少租戶代理產(chǎn)生了重大的安全挑戰(zhàn)。因此，組織（尤其是大型的分布式組織）應(yīng)考慮采用可對(duì)特定業(yè)務(wù)部門的訪問(wèn)進(jìn)行細(xì)分的工具，以提高整體安全水平。

管理員角色和規(guī)則

微軟應(yīng)用管理員（Microsoft Application Administrator）包含大約有75個(gè)屬性，但是幾乎沒(méi)有人（無(wú)論微軟還是企業(yè)IT人士）確切了解它們的含義。如果授予用戶Application Administrator權(quán)限，則幾乎不可能確切知道該用戶具有哪種訪問(wèn)權(quán)限，從而帶來(lái)不必要的安全風(fēng)險(xiǎn)。

盡管IT員工在工作中經(jīng)常需要執(zhí)行某些功能，例如創(chuàng)建新的用戶賬戶和更改密碼，但是這些“流動(dòng)性”較強(qiáng)的功能并不容易歸屬到某個(gè)特定的角色。這種流動(dòng)性使傳統(tǒng)安全方法（例如基于角色的訪問(wèn)控制）的效力被削弱。

值得注意的是，NIST在管理員角色和規(guī)則方面也并非毫無(wú)作為，功能訪問(wèn)控制（FAC）就是其中之一。RBAC是實(shí)現(xiàn)最低特權(quán)訪問(wèn)的一種方法，而功能訪問(wèn)控制（FAC）是實(shí)現(xiàn)RBAC的一種方法。

作為NIST認(rèn)可的方法，F(xiàn)AC為IT管理員的功能權(quán)限提供了一種更細(xì)粒度的分配方法，使企業(yè)能夠調(diào)整特定用戶訪問(wèn)權(quán)限的大小，從而改善安全性。