如何保護(hù)云安全？新數(shù)據(jù)指明出路

Michael Nadeau 陳琳華

最新的研究報(bào)告顯示，公有云、私有云和混合云部署面臨的風(fēng)險(xiǎn)有著巨大的差異。以下關(guān)于工具、信息和組織結(jié)構(gòu)的建議是執(zhí)行一個(gè)成功的云安全策略所必須的。

將數(shù)據(jù)和服務(wù)向云端遷移，讓許多公司開始重新審視他們的網(wǎng)絡(luò)安全措施。他們是否需要一個(gè)云安全策略？云安全策略的區(qū)別之處在哪里？近期的調(diào)查揭示了安全策略正在如何變化，更為重要地是調(diào)查揭示了它們應(yīng)當(dāng)如何改變。

將更多的基礎(chǔ)設(shè)施部署在云端，在某種程度上比部署在本地更為安全。例如，你能夠確認(rèn)系統(tǒng)正在運(yùn)行帶有適當(dāng)補(bǔ)丁的最新版本。云服務(wù)提供商也能夠創(chuàng)建如使用機(jī)器語言進(jìn)行異常檢測(cè)等新功能。盡管如此，這也帶來了一些新的風(fēng)險(xiǎn)，其中一些是由于對(duì)如何管理云安全的誤解所造成的。

了解公司的IT策略（無論它們是混合云、私有托管云還是公有云）如何影響公司的網(wǎng)絡(luò)安全策略以及該策略的具體執(zhí)行情況非常重要。

云安全風(fēng)險(xiǎn)是什么？

通過與本地?cái)?shù)據(jù)中心對(duì)比，云安全提供商Alert Logic的數(shù)據(jù)展示了各種形式的云環(huán)境的風(fēng)險(xiǎn)性質(zhì)與數(shù)量。在18個(gè)月的時(shí)間內(nèi)，為了對(duì)安全事件進(jìn)行量化和分類，該公司分析了來自3800多名客戶的147PB數(shù)據(jù)。在上述時(shí)間段內(nèi)，他們識(shí)別了2200多萬起客戶真正積極應(yīng)對(duì)的安全事件。重要發(fā)現(xiàn)包括：

混合云環(huán)境發(fā)生的安全事件平均數(shù)量最高，每名客戶為977起，后面依次是托管私有云（684起）、本地?cái)?shù)據(jù)中心（612起）和公共云（405起）。

迄今為止，最常見的安全事件類型是Web應(yīng)用攻擊（75%），后面依次是暴力破解攻擊（16%）、偵測(cè)（5%）和服務(wù)器端勒索軟件（2%）。

Web應(yīng)用攻擊最常見的攻擊向量是SQL（47.74%）、Joomla（26.11%）、Apache Struts（10.11%）和Magento（6.98%）。

Wordpress是最常見的暴力破解攻擊目標(biāo)（41%），其次是MS SQL（19%）。

無論是公有云、私有云還是混合云環(huán)境，Web應(yīng)用威脅均為主要威脅。它們之間的區(qū)別是公司所面臨的風(fēng)險(xiǎn)水平。Alert Logic的聯(lián)合創(chuàng)始人Misha Govshteyn稱：“作為防御方，在Alert Logic，我們有效保護(hù)公有云的能力更高一籌，因?yàn)槲覀兡軌蚩吹揭粋€(gè)更出色的信噪比并追獵低噪音攻擊。當(dāng)我們看到在公有云環(huán)境中發(fā)生安全事件時(shí)，我們知道自己必須要提高警惕了，因?yàn)樗鼈兺ǔ１容^隱秘?！?/p>

數(shù)據(jù)顯示，一些平臺(tái)比其他平臺(tái)更加易受攻擊。Govshteyn稱：“盡管你盡了最大的努力，但平臺(tái)增加了你的受攻擊面。”他舉例稱，LAMP堆棧比基于微軟的應(yīng)用堆棧更加易受攻擊。”此外，他還將PHP應(yīng)用視為一個(gè)熱點(diǎn)。

Govshteyn稱：“內(nèi)容管理系統(tǒng)，尤其是Wordpress、Joomla和Django被作為Web應(yīng)用的平臺(tái)，其安全性的脆弱程度大大超出了大多數(shù)人的想象，并且存在著許多漏洞。確保這些系統(tǒng)的安全性是有可能的，但條件是你必須要清楚開發(fā)團(tuán)隊(duì)傾向于使用什么Web框架和平臺(tái)。大多數(shù)安全人員很少關(guān)注這些細(xì)節(jié)，他們往往根據(jù)一些糟糕的假設(shè)做出決定?！?/p>

為了最大限度地降低云威脅的影響，Alert Logic給出了三個(gè)主要建議：

依靠應(yīng)用白名單來阻止對(duì)未知程序的訪問。這其中包括對(duì)組織機(jī)構(gòu)中使用的每個(gè)應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)與價(jià)值評(píng)估。

清楚自己的打補(bǔ)丁程序并優(yōu)先安裝補(bǔ)丁程序。

根據(jù)當(dāng)前用戶的職責(zé)限制管理和訪問權(quán)限。這需要將應(yīng)用和操作系統(tǒng)的權(quán)限始終保持最新狀態(tài)。

如何保護(hù)云安全

根據(jù)一份由網(wǎng)絡(luò)監(jiān)控解決方案提供商Gigamon贊助，市場(chǎng)研究機(jī)構(gòu)VansonBourne實(shí)施的調(diào)查顯示，73%的受訪者希望他們的大部分應(yīng)用工作負(fù)載運(yùn)行在公有云或私有云上。在這部分受訪者中，35%的人希望以與處理本地操作“完全相同的方式”處理網(wǎng)絡(luò)安全。其余的人盡管不愿意進(jìn)行改變，但是他們相信自己別無選擇，只能改變他們的云安全策略。

誠(chéng)然，并不是每個(gè)公司都會(huì)把敏感或關(guān)鍵的數(shù)據(jù)遷移到云端，因此對(duì)于他們來說，沒有多少理由可以讓他們改變策略。但是，大多數(shù)公司正在遷移關(guān)鍵和專有的公司信息（56%）或營(yíng)銷資產(chǎn)（53%）。受歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等新隱私法規(guī)所帶來的影響，47%的人希望在云端擁有個(gè)人身份信息。

Govshteyn認(rèn)為公司應(yīng)將云安全策略的重點(diǎn)放在以下三個(gè)主要領(lǐng)域：

1. 工具。部署在云環(huán)境中的安全工具必須是云原生的，并且能夠保護(hù)Web應(yīng)用和云工作負(fù)載。 Govshteyn稱：“針對(duì)端點(diǎn)保護(hù)的安全技術(shù)將重點(diǎn)放在了云端并不常見的攻擊向量上，并且沒有足夠的能力應(yīng)對(duì)OWASP（開放式Web應(yīng)用安全項(xiàng)目）所列出的十大威脅，而這些威脅占到所有云攻擊的75%?！彼€強(qiáng)調(diào)稱，端點(diǎn)威脅針對(duì)的是Web瀏覽器和客戶端軟件，而基礎(chǔ)設(shè)施威脅的目標(biāo)則是服務(wù)器和應(yīng)用框架。

2.架構(gòu)。圍繞云提供的安全和管理優(yōu)勢(shì)定義你的架構(gòu)，而不是使用與傳統(tǒng)數(shù)據(jù)中心相同的架構(gòu)。Govshteyn稱：“現(xiàn)在我們有數(shù)據(jù)表明，純公共環(huán)境可以降低企業(yè)發(fā)生安全事件的概率，但只有使用云功能來設(shè)計(jì)更安全的基礎(chǔ)架構(gòu)才能實(shí)現(xiàn)。”他建議企業(yè)將每個(gè)應(yīng)用或微服務(wù)隔離在自己的虛擬私有云中，這樣可以減少任何入侵的影響范圍?！袄缪呕?shù)據(jù)泄露等重大數(shù)據(jù)泄露事件在一開始將不起眼的Web應(yīng)用作為初始入口向量，因此不重要的應(yīng)用往往會(huì)成為最大的問題?！绷硗猓灰谠撇渴鹬行扪a(bǔ)漏洞。相反，應(yīng)當(dāng)部署運(yùn)行最新代碼的新的云基礎(chǔ)設(shè)施，并停用老舊的基礎(chǔ)設(shè)施。Govshteyn稱：“只有在部署實(shí)現(xiàn)自動(dòng)化的情況下才能做到這一點(diǎn)。你將獲得的基礎(chǔ)設(shè)施控制級(jí)別是在傳統(tǒng)數(shù)據(jù)中心永遠(yuǎn)無法實(shí)現(xiàn)的?！?/p>

3.連接點(diǎn)。確定云部署與運(yùn)行傳統(tǒng)代碼的傳統(tǒng)數(shù)據(jù)中心相互連接的點(diǎn)。他指出：“這些很可能是最大的問題來源，因?yàn)槲覀兛吹揭粋€(gè)明顯的趨勢(shì)，即混合云部署可能會(huì)遭遇大部分安全事件。”

企業(yè)現(xiàn)有的所有安全策略并非必須都要為云進(jìn)行修改。Gigamon產(chǎn)品營(yíng)銷高級(jí)經(jīng)理Tom Clavel稱：“對(duì)云使用與本地部署相同的安全策略，例如用于取證的深度內(nèi)容檢測(cè)和威脅檢測(cè)本身并不是一個(gè)壞主意。使用這種方式的企業(yè)通常是為了在安全架構(gòu)之間尋求一致性，以減少安全狀況的差距?！?/p>

Clavel補(bǔ)充道：“這一工作面臨的挑戰(zhàn)是如何獲得網(wǎng)絡(luò)流量來進(jìn)行這種檢測(cè)。盡管這些數(shù)據(jù)可以通過多種方式在本地獲得，但在云端卻無法做到。另外，即使他們能夠獲得流量，在沒有智能的情況下，將信息回傳至本地工具以進(jìn)行檢測(cè)的成本非常高并且會(huì)適得其反?！?/p>

云的可見性問題

在VansonBourne的調(diào)查中，受訪者抱怨稱，云可能會(huì)在安全領(lǐng)域制造盲點(diǎn)?？傮w而言，半數(shù)的受訪者稱云會(huì)“隱藏”那些讓他們能夠識(shí)別威脅的信息。他們還表示他們?cè)谠贫隋e(cuò)過了一些信息，如哪些東西正在被加密（48%）、不安全的應(yīng)用或流量（47%）、SSL/TLS證書有效性（35%）等的信息。

在調(diào)查中，49%的受訪者表示，混合云環(huán)境進(jìn)一步阻礙了可見性，因?yàn)樗軌蜃柚拱踩珗F(tuán)隊(duì)看到數(shù)據(jù)實(shí)際存儲(chǔ)位置。78%的受訪者稱，孤立的數(shù)據(jù)（一些由安全操作部門掌控，另一部分由網(wǎng)絡(luò)操作部門掌控）使得查找數(shù)據(jù)變得更加糟糕。

并非僅僅數(shù)據(jù)如此，安全團(tuán)隊(duì)的可見性也受到了限制。在VansonBourne的調(diào)查中， 67%的受訪者表示，網(wǎng)絡(luò)盲點(diǎn)阻礙了他們保護(hù)公司數(shù)據(jù)的安全。為了獲得更好的可見性，Clavel建議首先要確定自己希望如何組織和實(shí)現(xiàn)安全狀態(tài)。他指出，“是完全都在云端，還是從本地?cái)U(kuò)展到云端呢？在這兩種情況下，確保應(yīng)用的網(wǎng)絡(luò)流量的完全可見性是安全策略的核心。你看到得越多，能夠保護(hù)得就越多?！?/p>

Clavel補(bǔ)充道：“為了解決可見性需求，找到一種方法以獲取、匯聚并優(yōu)化網(wǎng)絡(luò)流量到你的安全工具上，無論它們是入侵檢測(cè)系統(tǒng)（IDS）、安全信息和事件管理（SIEM）、取證、數(shù)據(jù)丟失防護(hù)（DLP）、高級(jí)威脅檢測(cè)（ATD），亦或同時(shí)進(jìn)行所有這些檢測(cè)。最后，添加SecOps程序?qū)崿F(xiàn)可見性和安全性的自動(dòng)化以抵御檢測(cè)到的威脅。”

這些盲點(diǎn)和低信息可見性可能會(huì)導(dǎo)致GDPR合規(guī)性問題。66%的受訪者表示，缺乏可見性會(huì)使得落實(shí)GDPR合規(guī)性變得困難重重。只有59%的受訪者認(rèn)為他們的組織機(jī)構(gòu)已經(jīng)做好了在2018年5月最后期限前落實(shí)GDPR的準(zhǔn)備。

安全策略和實(shí)踐無法跟上云部署的步伐

甲骨文與畢馬威的《2018年云威脅報(bào)告》顯示，87%的公司目前制定了云優(yōu)先戰(zhàn)略，90%的公司表示他們?cè)谠贫松系臄?shù)據(jù)有一半為敏感數(shù)據(jù)。該報(bào)告的數(shù)據(jù)顯示，盡管這些公司在以一種激進(jìn)的方式部署云，但是安全實(shí)踐和規(guī)章制度似乎并沒有跟上。

甲骨文/畢馬威的報(bào)告數(shù)據(jù)來自對(duì)全球450個(gè)網(wǎng)絡(luò)安全公司和專業(yè)人員展開的調(diào)查。受訪者明確表示對(duì)云安全感到擔(dān)憂，但是大部分受訪者還未采取顯著的措施以降低云端上敏感數(shù)據(jù)的風(fēng)險(xiǎn)。

82%的網(wǎng)絡(luò)主管認(rèn)為他們的員工沒有遵守云安全程序。另外，86%的受訪者無法收集和分析他們的大部分安全事件數(shù)據(jù)。

僅38%的受訪者表示檢測(cè)和響應(yīng)云安全事件是他們首要的網(wǎng)絡(luò)安全挑戰(zhàn)。

僅41%的受訪公司擁有專業(yè)的云安全架構(gòu)師。

有一些跡象顯示，公司在不久的未來將會(huì)更加嚴(yán)肅地對(duì)待云安全。大多數(shù)受訪者（84%）希望增加他們的安全自動(dòng)化水平，89%的受訪者希望明年能夠增加網(wǎng)絡(luò)安全預(yù)算。

機(jī)器學(xué)習(xí)能否提供幫助？

云服務(wù)提供商正在努力提高客戶識(shí)別和解決潛在威脅的能力。例如，亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）宣布在2017年推出兩項(xiàng)依靠機(jī)器學(xué)習(xí)來保護(hù)客戶資產(chǎn)的服務(wù)。

AWS在當(dāng)年8月份推出了Macie服務(wù)，該服務(wù)主要側(cè)重于PCI、HIPAA和GDPR合規(guī)。它們會(huì)根據(jù)在Amazon S3存儲(chǔ)桶中的用戶內(nèi)容進(jìn)行培訓(xùn)，并在檢測(cè)到可疑活動(dòng)時(shí)向客戶發(fā)出警報(bào)。在11月份發(fā)布的AWS GuardDuty使用了機(jī)器學(xué)習(xí)來分析AWS CloudTrail、VPC流日志和AWS DNS日志。與Macie一樣，GuardDuty專注于異常檢測(cè)并針對(duì)可疑活動(dòng)向客戶發(fā)出警報(bào)。

機(jī)器學(xué)習(xí)的有效性取決于由算法和訓(xùn)練數(shù)據(jù)組成的模型。這個(gè)模型與用于培訓(xùn)的數(shù)據(jù)一樣，任何超出模型數(shù)據(jù)的事件都不會(huì)被Macie或GuardDuty等服務(wù)檢測(cè)到。

也就是說，AWS等云安全提供商將比任何單個(gè)客戶擁有更豐富的數(shù)據(jù)集。AWS擁有貫穿其整個(gè)網(wǎng)絡(luò)的可見性，這使得其在正常的和可能是惡意的情況下都能夠更加容易地訓(xùn)練其機(jī)器學(xué)習(xí)模型。盡管如此，客戶仍需要清楚機(jī)器學(xué)習(xí)不會(huì)檢測(cè)到機(jī)器學(xué)習(xí)模型中的培訓(xùn)數(shù)據(jù)之外的威脅。他們不能僅僅靠Macie和GuardDuty這樣的服務(wù)。

誰擁有云安全？

了解了其中的利害關(guān)系，62%的受訪者表示希望他們的安全運(yùn)營(yíng)中心（SOC）能夠控制網(wǎng)絡(luò)流量和數(shù)據(jù)以確保在云環(huán)境中得到充分的保護(hù)，這就一點(diǎn)也不奇怪了。他們中有一半人將會(huì)著手解決對(duì)網(wǎng)絡(luò)流量和數(shù)據(jù)的感知。

管理云環(huán)境的群組結(jié)構(gòu)導(dǎo)致獲得控制權(quán)甚至獲得完全可見性對(duì)于許多組織機(jī)構(gòu)來說可能是一個(gè)挑戰(zhàn)。雖然在69%的受訪者的公司中云安全由安全操作負(fù)責(zé)，但云操作（54%）或網(wǎng)絡(luò)操作也會(huì)涉及云安全。這導(dǎo)致對(duì)于誰應(yīng)當(dāng)主導(dǎo)云安全以及團(tuán)隊(duì)間應(yīng)當(dāng)如何協(xié)作出現(xiàn)了混亂。事實(shí)上，48%的受訪者表示，團(tuán)隊(duì)之間缺乏協(xié)作是識(shí)別和報(bào)告違規(guī)行為的最大障礙。

Clavel指出：“公司通常將網(wǎng)絡(luò)、安全和云的責(zé)任分開。每個(gè)部門都有不同的預(yù)算和不同的所有權(quán)，甚至是不同的管理工具。獲得對(duì)云端的可見性以確保其安全需要打破這三個(gè)部門之間的溝通障礙。部署在本地的同樣的安全工具也將能夠保護(hù)云端，因此云團(tuán)隊(duì)和安全團(tuán)隊(duì)需要溝通?！?/p>

哪些人應(yīng)該關(guān)注公司的云安全？這需要具有專業(yè)技能和能夠長(zhǎng)期負(fù)責(zé)的人員或團(tuán)隊(duì)。 Govshteyn稱：“需要找到能夠最快地轉(zhuǎn)向新的云計(jì)算安全模式的人員或團(tuán)隊(duì)，并敦促他們制定未來三到五年的安全策略?！?/p>

Govshteyn表示：“在過去的幾年中，這些往往是由IT運(yùn)營(yíng)團(tuán)隊(duì)或企業(yè)安全團(tuán)隊(duì)負(fù)責(zé)，但在這一努力的核心中總是有一個(gè)架構(gòu)師級(jí)別的個(gè)人貢獻(xiàn)者或?qū)ｉT的云計(jì)算安全團(tuán)隊(duì)。這個(gè)新的安全專業(yè)人員能夠編寫代碼，花費(fèi)超過80%的時(shí)間實(shí)現(xiàn)工作的自動(dòng)化，并將開發(fā)團(tuán)隊(duì)視為同行而不是對(duì)手?！?。他還補(bǔ)充道，在科技公司，安全有時(shí)是工程團(tuán)隊(duì)的工作。

盡管目前很多公司的董事會(huì)對(duì)安全問題非常感興趣，但他們不會(huì)提供具體的幫助。他指出：“事實(shí)上，涉及云安全的許多關(guān)鍵決策都是由那些能夠跟上公有云快速發(fā)展步伐的技術(shù)人員所做出來的?！?/p>

超過半數(shù)的受訪者（53%）認(rèn)為保護(hù)云安全的任務(wù)將變得更加復(fù)雜，原因在于他們的公司并沒有落實(shí)云策略或相關(guān)框架。雖然幾乎所有這些公司都打算在未來這么做，但誰領(lǐng)導(dǎo)這些工作卻不明確。

Clavel稱：“安全和監(jiān)控工具也將能夠通過利用同一安全交付平臺(tái)提供更大的靈活性，因此網(wǎng)絡(luò)、安全和云部門需要同意共同承擔(dān)安全交付平臺(tái)的職責(zé)。正在將安全與監(jiān)控整合起來作為SOC的一部分，或是建立共同預(yù)算和共享所有權(quán)的安全交付平臺(tái)的公司將獲得更高的靈活性、更快的決策能力，以及本地部署和云部署相一致安全性。”

本文作者M(jìn)ichael Nadeau為CSO Online的資深編輯，他同時(shí)還擔(dān)任一些介紹公司如何充分利用ERP系統(tǒng)的雜志、書籍和知識(shí)庫的發(fā)行人與編輯。

原文網(wǎng)址 http：//www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html