信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

企業(yè)上云可以帶來(lái)諸多好處，有助于企業(yè)優(yōu)化生產(chǎn)效率、提高靈活性、降低運(yùn)營(yíng)成本以及實(shí)現(xiàn)全球化的業(yè)務(wù)覆蓋等。但隨著企業(yè)組織將更多的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)轉(zhuǎn)移到云端，它們也必須采取更加可靠的安全防護(hù)措施，以實(shí)現(xiàn)與本地化部署同樣水平的安全性保障。日前，美國(guó)國(guó)家安全局（NSA）聯(lián)合發(fā)布了多份網(wǎng)絡(luò)安全實(shí)踐指南報(bào)告，其中包含了基于云環(huán)境應(yīng)用最佳實(shí)踐的10條安全策略，旨在幫助企業(yè)組織改善云環(huán)境應(yīng)用的安全態(tài)勢(shì)。

01

嚴(yán)格遵從云安全責(zé)任共擔(dān)模型

隨著云計(jì)算應(yīng)用的不斷成熟，企業(yè)組織開(kāi)始高度重視云安全的重要性，并開(kāi)始實(shí)施特定的云安全措施來(lái)保護(hù)云應(yīng)用安全。同時(shí)，云服務(wù)提供商（CSP）也更加關(guān)注云安全的落地實(shí)踐，云安全責(zé)任共擔(dān)模型（SRM）應(yīng)運(yùn)而生。該模型旨在明確CSP與租戶之間的安全責(zé)任劃分，讓企業(yè)能夠了解他們?cè)谠瓢踩矫娴慕巧?shí)施適當(dāng)?shù)陌踩胧﹣?lái)保護(hù)云資產(chǎn)。

在實(shí)踐應(yīng)用時(shí)，SRM會(huì)因服務(wù)而異，也可能因CSP而異，所以對(duì)租戶而言，關(guān)注SRM文檔和最佳實(shí)踐指南必不可少。直接聯(lián)系CSP對(duì)于租戶更好了解其服務(wù)模式很有必要。組織應(yīng)該讓CSP對(duì)自己的安全工作負(fù)責(zé)，同時(shí)也必須盡心盡責(zé)地履行自己的租戶安全責(zé)任。

02

實(shí)現(xiàn)云安全運(yùn)營(yíng)統(tǒng)一化、標(biāo)準(zhǔn)化

組織應(yīng)該充分考慮混合云和多云環(huán)境應(yīng)用時(shí)可能出現(xiàn)的復(fù)雜性?；旌显坪投嘣骗h(huán)境的使用已經(jīng)非常普遍，往往會(huì)帶來(lái)業(yè)務(wù)運(yùn)營(yíng)孤島和技能缺口，這可能導(dǎo)致配置差異、不必要的數(shù)據(jù)流、不全面的IAM、監(jiān)控能力不完整以及易被利用的安全缺口。企業(yè)應(yīng)該使用網(wǎng)絡(luò)、IAM和日志最佳實(shí)踐來(lái)維護(hù)安全的云基礎(chǔ)設(shè)施，并且應(yīng)該借助與云服務(wù)商無(wú)關(guān)的第三方安全管理工具實(shí)現(xiàn)云安全運(yùn)營(yíng)的統(tǒng)一化和標(biāo)準(zhǔn)化，在一個(gè)集中的工具平臺(tái)上維護(hù)和監(jiān)控多云應(yīng)用環(huán)境安全。

03

積極開(kāi)展云應(yīng)用自動(dòng)化部署實(shí)踐

基礎(chǔ)設(shè)施即代碼（IaC）實(shí)現(xiàn)了云資源部署自動(dòng)化，而減少手動(dòng)部署能夠大大降低云應(yīng)用中人為錯(cuò)誤導(dǎo)致配置不當(dāng)和幽靈資產(chǎn)的可能性。IaC還可以幫助組織快速地檢測(cè)未經(jīng)授權(quán)的云配置更改。

通過(guò)開(kāi)展云應(yīng)用自動(dòng)部署的實(shí)踐，可以進(jìn)一步規(guī)范云上服務(wù)的安全應(yīng)用。組織在部署IaC之前，應(yīng)該創(chuàng)建一個(gè)威脅模型以剖析攻擊途徑，確定IaC模板是聲明式還是命令式，然后完成靜態(tài)應(yīng)用程序安全測(cè)試，并考慮集成現(xiàn)有的CI/CD流程。在部署之后，組織還應(yīng)動(dòng)態(tài)測(cè)試已部署的資源，確保訪問(wèn)和版本控制已啟用，避免手動(dòng)更改，并持續(xù)記錄和監(jiān)控資源。

04

在云環(huán)境中實(shí)施網(wǎng)絡(luò)分段和加密

使用云計(jì)算資源的組織必須在其租戶環(huán)境中實(shí)施分段和加密等安全控制機(jī)制，以防止和檢測(cè)惡意攻擊者的活動(dòng)。應(yīng)該利用零信任網(wǎng)絡(luò)安全實(shí)踐來(lái)保護(hù)組織數(shù)據(jù)，比如評(píng)估所有請(qǐng)求中的身份信息、微分段和端到端加密。對(duì)網(wǎng)絡(luò)威脅的預(yù)防工作主要由微分段完成，根據(jù)組織團(tuán)隊(duì)、應(yīng)用程序工作流和數(shù)據(jù)進(jìn)出來(lái)劃分資源。只有支持正常功能所必需的通信路徑才能享用資源，這大大限制了惡意攻擊者訪問(wèn)租戶環(huán)境的機(jī)會(huì)。對(duì)進(jìn)出云和云內(nèi)部的所有數(shù)據(jù)進(jìn)行端到端加密也是保護(hù)云端數(shù)據(jù)的關(guān)鍵。

05

部署有效的云身份和訪問(wèn)管理方案

采取適當(dāng)?shù)脑粕矸莺驮L問(wèn)管理（IAM）方案對(duì)于保護(hù)云資源至關(guān)重要。惡意攻擊者會(huì)使用多種技術(shù)竊取賬戶，暴露憑據(jù)或弱身份驗(yàn)證實(shí)踐，以初始訪問(wèn)租戶的云系統(tǒng)環(huán)境。他們還可能利用寬松的訪問(wèn)控制策略進(jìn)一步滲入到云環(huán)境中，訪問(wèn)和竊取敏感的數(shù)據(jù)資源。為了防止這種情況，云用戶應(yīng)該使用可靠的身份安全驗(yàn)證措施，比如防網(wǎng)絡(luò)釣魚(yú)的多因素身份驗(yàn)證（MFA）和妥善管理的臨時(shí)憑據(jù)。訪問(wèn)控制策略應(yīng)該認(rèn)真配置，以確保為用戶授予必要的最小化權(quán)限，以保護(hù)特別敏感的業(yè)務(wù)運(yùn)營(yíng)和資源。

06

實(shí)施強(qiáng)大的云密鑰管理

CSP會(huì)提供進(jìn)行密鑰管理的多種方法，從完全依賴云供應(yīng)商實(shí)現(xiàn)全面委托的服務(wù)器端加密，到僅在客戶端加密的方法不一而足。在大多數(shù)情況下，企業(yè)會(huì)依賴CSP完成密鑰管理、加密和解密的工作。然而組織在進(jìn)行云上密鑰管理問(wèn)題時(shí)，應(yīng)該充分了解每種方案的風(fēng)險(xiǎn)和優(yōu)點(diǎn)，以及如何管理密鑰的角色和職責(zé)至關(guān)重要。

07

全面保護(hù)云端數(shù)據(jù)安全

在惡意攻擊者的眼里，云是一個(gè)存放了大量高價(jià)值數(shù)據(jù)的誘人攻擊目標(biāo)。因此，組織應(yīng)該通過(guò)多種手段確保數(shù)據(jù)安全，比如選擇合適的云存儲(chǔ)、防止通過(guò)公共IP暴露數(shù)據(jù)、執(zhí)行最小權(quán)限、使用對(duì)象版本控制、創(chuàng)建具有恢復(fù)計(jì)劃的不可變備份、啟用加密，并定期檢查數(shù)據(jù)安全措施。

組織還應(yīng)該全面了解CSP數(shù)據(jù)保留策略，然后選擇適當(dāng)?shù)姆桨竵?lái)存儲(chǔ)敏感數(shù)據(jù)。此外，組織應(yīng)該考慮啟用“軟刪除”功能，以減小意外刪除或惡意刪除造成的影響。

08

保護(hù)CI/CD環(huán)境安全

云上開(kāi)發(fā)、安全和運(yùn)營(yíng)（DevSecOps）程序?qū)υ骗h(huán)境安全至關(guān)重要。持續(xù)集成和持續(xù)交付（CI/CD）管道是保障DevSecOps流程安全的關(guān)鍵，經(jīng)常部署在云端。這類管道是惡意攻擊者的重要目標(biāo)，因?yàn)槌晒﹃J入CI/CD管道可能會(huì)影響基礎(chǔ)設(shè)施和應(yīng)用程序。組織應(yīng)該遵循最佳實(shí)踐來(lái)保護(hù)組織的CI/CD管道，比如可靠的IAM實(shí)踐、及時(shí)更新工具、審計(jì)日志、實(shí)施安全掃描機(jī)制，并妥善處理秘密信息。

09

關(guān)注MSP的安全風(fēng)險(xiǎn)

雖然托管云服務(wù)提供商（MSP）可以為管理、維護(hù)及/或保護(hù)云環(huán)境提供實(shí)用的技術(shù)支持，但使用MSP服務(wù)的同時(shí)會(huì)加大組織的云計(jì)算應(yīng)用攻擊面。組織在選擇MSP時(shí)應(yīng)該優(yōu)先考慮安全性，以便通過(guò)MSP緩解云租戶面臨的安全威脅。組織應(yīng)該選擇符合自身云安全標(biāo)準(zhǔn)和實(shí)踐的服務(wù)商。此外，組織應(yīng)該全面審核云環(huán)境中的MSP賬戶和運(yùn)營(yíng)行為，優(yōu)先考慮特權(quán)賬戶及其活動(dòng)。組織還應(yīng)該將MSP服務(wù)集成到安全運(yùn)營(yíng)、系統(tǒng)恢復(fù)和事件響應(yīng)流程中。

10

做好云上日志信息的管理

日志在云環(huán)境的威脅檢測(cè)中扮演著重要角色。檢測(cè)和響應(yīng)安全事件需徹底了解系統(tǒng)的活動(dòng)和行為。組織應(yīng)該從所有相關(guān)的日志源收集和匯總?cè)罩?，比如云服?wù)、操作系統(tǒng)和應(yīng)用程序。云環(huán)境通常提供方便的日志聚合機(jī)制，以便將日志數(shù)據(jù)匯集到集中式服務(wù)，便于更好的可視化和威脅狩獵。

對(duì)不同的云服務(wù)而言，默認(rèn)的日志策略差異很大，因此安全專業(yè)人員配置這些策略顯得很重要，以確保惡意攻擊者在云租戶環(huán)境中的舉動(dòng)受到監(jiān)測(cè)。安全專業(yè)人員可以使用眾多工具來(lái)分析日志，比如安全信息和事件管理（SIEM）系統(tǒng)、日志分析軟件和異常檢測(cè)服務(wù)，以查找攻陷指標(biāo)和異?；顒?dòng)，包括不尋常的登錄企圖、網(wǎng)絡(luò)流量模式和異常系統(tǒng)事件。