信息化觀察網(wǎng)

云計算因其與生俱來的可擴展性和靈活性，以及高性能計算能力，獲得了大量企業(yè)用戶的青睞，成為企業(yè)關(guān)鍵任務負載的首選項。云原生安全作為一種新興的安全理念，不僅解決云計算普及帶來的安全問題，更強調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應用，推動安全與云計算深度融合。以下是需要關(guān)注的6個云原生安全重點能力，這些領(lǐng)域?qū)τ诎踩珜I(yè)人員、軟件開發(fā)人員和信息技術(shù)專家來說非常重要。

1.身份和訪問管理

如今的信息技術(shù)世界需要身份和訪問管理（IAM）。企業(yè)使用IAM系統(tǒng)，通過為人員及其設(shè)備創(chuàng)建身份，可以輕松管理和跟蹤每個身份，并僅授予相關(guān)權(quán)限以支持他們的工作。在云上實施IAM有助于確保企業(yè)開發(fā)人員、客戶、供應商和其他合作伙伴高效、安全地訪問服務和數(shù)據(jù)。

特別是使用多因素身份驗證和行為分析（例如預期登錄時間和位置），可以幫助企業(yè)通過IAM識別個人和設(shè)備之間的可疑活動，利用人工智能和自動化IAM來幫助企業(yè)更快地識別這些問題。隨著企業(yè)面臨的監(jiān)管壓力越來越大，這些自動化解決方案將越來越有可能發(fā)揮更大作用。

此外，設(shè)備和云的通信（無論是通過藍牙還是Wi-Fi）越來越多。未實施IAM的設(shè)備很容易受到攻擊，從而導致數(shù)據(jù)被盜、企業(yè)形象受損或發(fā)生違規(guī)行為。

2.供應鏈安全

與IAM和第三方訪問相關(guān)的是供應鏈安全。通常，供應鏈由許多供應商和第三方組成。供應鏈安全的關(guān)鍵問題之一是供應鏈具有很大的攻擊面，這意味著需要在供應鏈中建立安全性來保護它們。由于現(xiàn)代供應鏈日趨復雜和一體化，這一問題將進一步加劇。

當攻擊者成功入侵供應鏈時，他們可能會訪問整個供應鏈中的數(shù)據(jù)。這意味著他們可以注入惡意代碼或篡改硬件并訪問私人數(shù)據(jù)。如果供應商的系統(tǒng)不安全，那么授予這樣的供應商訪問企業(yè)系統(tǒng)勢必會帶來嚴重危害。

解決此問題的最簡單方法之一是取消供應商對數(shù)據(jù)的訪問權(quán)限。實際上，大多數(shù)供應商可能也并不需要訪問云上企業(yè)數(shù)據(jù)。通過消除該攻擊向量，企業(yè)可以消除攻擊者使用供應商系統(tǒng)訪問數(shù)據(jù)的能力。在所有供應商中實施標準化的基線安全模型，將幫助企業(yè)在基于云的環(huán)境中變得更加安全。

3.API安全

API安全與供應鏈安全密切相關(guān)。通常，供應商可能會利用API與企業(yè)應用程序集成。API對于現(xiàn)代云應用程序至關(guān)重要。微服務也依賴API相互交互并執(zhí)行工作。一些工作負載可能有數(shù)千個API，但API本身可能并不安全，它們可能會成為一種負擔。因為在攻擊者看來，API是一個特別誘人的目標，因為它們的漏洞通常有據(jù)可查且可以公開訪問。攻擊者可以使用開放文檔對API進行逆向工程，以進入企業(yè)系統(tǒng)并在不被發(fā)現(xiàn)的情況下竊取數(shù)據(jù)。

提高API安全性是云原生安全的重要發(fā)展趨勢，企業(yè)安全團隊應努力將API安全性集成到Web和基于云的應用程序開發(fā)過程中。API安全性也應該是自動化的，因為自動化API安全性可減少人為錯誤，并最大限度地降低工作量。目前，市場上有許多可用的API安全工具都可以與企業(yè)的CI/CD管道集成，并在軟件開發(fā)生命周期中增強可見性和安全性。

4.秘密憑證管理

基于云的應用程序使用許多工具、微服務和特權(quán)賬戶來支撐其運行。在許多情況下，每個區(qū)域都需要從應用程序到應用程序，以及從應用程序到數(shù)據(jù)庫通信所需的密鑰和密碼。但是，如果缺乏強大的秘密憑證管理策略，管理員和開發(fā)人員在面對安全事件時可能就會感到措手不及。秘密憑證可以涵蓋普通、特殊的密碼規(guī)則，以及安全密鑰、令牌、訪問代碼，甚至是物理秘密。雖然通用業(yè)務計劃對于支持和發(fā)展業(yè)務而言至關(guān)重要，但包含技術(shù)信息安全性的安全計劃（例如密鑰和密碼管理）將能夠有效地降低風險。

在管理秘密時，請務必記住，第三方軟件可能需要訪問這些秘密才能正確集成到企業(yè)的工作流程中。因此，即便企業(yè)內(nèi)部所有工具都是安全的，不安全的第三方工具也同樣會釀造巨大的安全威脅。此外，DevOps工具可以訪問多種資源和編排軟件，這也可能帶來巨大的安全問題。試想一下，如果攻擊者成功訪問DevOps工具，他們將很容易接觸到敏感信息。因此，企業(yè)的所有團隊都應接受有關(guān)處理密鑰和密碼的最佳實踐培訓。

秘密管理可能很復雜，但企業(yè)內(nèi)所有人員都必須了解其重要性，企業(yè)應利用工具來管理其秘密，并為其基于云的工作負載提供安全性。值得注意的是，秘密憑證管理應該是自動化的，而非手動的，因為手動生成密碼可能會導致人為錯誤，并為網(wǎng)絡犯罪分子留下可以利用的安全漏洞。另外，管理員應該創(chuàng)建復雜的密鑰或密碼，因為網(wǎng)絡犯罪分子能夠很容易猜到簡單的密鑰或密碼。

5.云安全態(tài)勢管理

云配置錯誤是數(shù)據(jù)泄露的主要原因之一。云安全態(tài)勢管理（CSPM）是確保云配置正確的有用工具，它將掃描企業(yè)的云配置和應用程序組件，并突出顯示任何可能導致數(shù)據(jù)泄露的錯誤配置，CSPM通過自動化手段正確配置云中的服務和資源，有效阻止攻擊者侵入系統(tǒng)，幫助企業(yè)保護系統(tǒng)安全。

6.社會工程安全

在安全方面，一個經(jīng)常被忽略的存在就是社會工程。在社會工程場景中，攻擊者會操縱他們的目標輸入可能導致數(shù)據(jù)泄露的信息。網(wǎng)絡犯罪分子甚至可以直接通過企業(yè)的系統(tǒng)工程師或軟件開發(fā)人員，了解現(xiàn)有的安全協(xié)議，再使用這些信息來查找系統(tǒng)中的安全漏洞。為避免這種情況，請考慮為員工制定社交媒體政策。

社交媒體政策需要明確規(guī)定：企業(yè)信息不得發(fā)布在個人社交媒體賬戶上。此外，還需要為組織內(nèi)的各個級別員工創(chuàng)建信息和培訓計劃，以便他們了解在公司內(nèi)部和外部共享信息的風險；隔離和分類團隊間的信息，以幫助企業(yè)確定安全漏洞的來源等。

請記住，企業(yè)可以使用任意數(shù)量的自動保護和預防工具，但如果有人泄露了他們的密碼，檢測“冒名頂替者”的任務可能會非常困難。

小結(jié)

云安全正在不斷演進，更新的技術(shù)將進一步增強安全性。但是，通過踐行最佳安全實踐并創(chuàng)建集成的安全策略，企業(yè)將更加安全。繼續(xù)監(jiān)控行業(yè)發(fā)展趨勢并實施上述一些策略，將能夠解決基于云的組織所面臨的諸多現(xiàn)代威脅。