云安全能力建設實踐指南(2023版)
責編:gltian |2023-09-22 15:07:41云計算技術的出現(xiàn),改變了數(shù)據計算和存儲的方式,它解決了在海量數(shù)據之下,傳統(tǒng)數(shù)據存儲技術的性能瓶頸,越來越受到企業(yè)組織的青睞,并得以快速普及。隨著越來越多的敏感信息在線存儲于云上,企業(yè)對業(yè)務和數(shù)據安全性的擔憂也進一步加大。
幸運的是,在云時代,企業(yè)可以采取諸多措施和云安全最佳實踐來保護自己。雖然這些措施無法完全阻止每一種攻擊,但確實可以幫助企業(yè)加強防御、保護數(shù)據,并切實落實云安全實踐。只要企業(yè)能夠做好安全防護的基本功,實現(xiàn)云應用的安全性或許比想象得要更加簡單。
為了幫助企業(yè)更好實現(xiàn)云計算應用的安全性,網絡安全知識分享社區(qū)eSecurity Planet會在Kolide與Okta公司的支持下,不定期更新發(fā)布《云安全能力建設最佳實踐》。在其不久前推出的2023版指南中,安全研究人員給出了以下進一步加強云安全能力建設的建議:
1. 建立安全責任共擔模式
在云計算環(huán)境中,企業(yè)并不能完全依靠自身的能力來實現(xiàn)安全性,而安全責任共擔模式,明確了企業(yè)是云安全建設的最終責任人,而云服務提供商同樣需要承擔一定的安全責任。當企業(yè)開啟云計算應用之旅時,應該全面檢查云服務商應該具備的常見安全規(guī)則,盡量消除未來合作中的誤解,以免云安全控制過于寬松。只要企業(yè)做好充分的安全性防護和檢查,比如實施加密、正確配置連接和設置,云上的應用和數(shù)據通常會很安全。
2. 選擇信譽良好的云服務商
企業(yè)要選擇信譽良好的云服務提供商。由于每家云服務提供商都不一樣,所以做好研究工作、找到滿足自身特定需求和安全要求的提供商很重要。企業(yè)應該向公共云供應商詢問有關其現(xiàn)有安全措施和流程的詳細問題,包括:
- 服務商有什么樣的災難恢復計劃?
- 服務商落實了哪些措施來保護各訪問組件?
- 服務商愿意提供什么級別的安全性技術支持?
- 服務商是否會定期進行安全性滲透測試,測試結果如何?
- 服務商是否對傳輸中數(shù)據和靜態(tài)數(shù)據進行加密?
- 服務商支持哪些身份驗證方法?
- 服務商支持哪些合規(guī)需求?
3.?部署身份和訪問管理解決方案
未授權訪問是云計算應用安全的最大挑戰(zhàn)之一,因此構建全面的身份和訪問管理(IAM)系統(tǒng)非常重要:
- 企業(yè)應能夠基于最小特權和零信任概念來設計和實施訪問控制。這需要限制用戶只能訪問完成任務所需的內容,并謹慎處理所有訪問請求。特權訪問管理(PAM)有助于保護最敏感賬戶的訪問;
- 實施根據基于角色的訪問控制(RBAC)提供權限的IAM策略。這可以保證用戶的訪問是基于其在企業(yè)的獨特崗位提供的,降低不必要訪問的可能性;
- 實施多因素身份驗證(MFA)以提高安全性。即使惡意分子獲得用戶名和密碼等憑據,MFA也要求額外的驗證(比如生物特征識別掃描或短信碼),從而提高了安全系數(shù);
- 優(yōu)先部署適用于私有數(shù)據中心和云環(huán)境的IAM解決方案。這不僅簡化了最終用戶身份驗證,還能夠在各種IT環(huán)境中統(tǒng)一實施策略。
4.?加強員工安全意識培訓
為了防止黑客獲得云賬戶和服務的訪問憑據,企業(yè)必須培訓所有員工如何識別和應對網絡安全風險,主要措施包括:
- 對所有員工進行全面的網絡安全意識培訓,解決這類問題:識別網絡安全威脅、創(chuàng)建強密碼、識別社會工程攻擊以及探討風險管理等話題。
- 強調影子IT的潛在風險,員工可能使用未經批準的工具和應用程序,導致隱藏的漏洞。
- 為安全工作人員提供專門培訓,使他們及時了解新出現(xiàn)的威脅和對策。
- 定期討論安全實踐,鼓勵員工負起責任,比如為所有員工制定安全標準,討論數(shù)據隱私、密碼管理和物理場所安全等問題,以及鼓勵公開討論安全規(guī)定和行業(yè)法規(guī)的重要性。
5. 建立統(tǒng)一的云安全策略
所有企業(yè)都應該制定一個統(tǒng)一的云安全工作指導方針,規(guī)定誰可以使用云服務、如何使用云服務以及哪些數(shù)據可以存儲在云端。該策略還需要闡明員工必須使用的具體安全技術,以保護云端數(shù)據和應用程序。為了闡明有效的云安全實踐,研究人員給出了一個制定云安全策略的實例:
- 確定范圍
- 列出所有權和責任
- 界定云計算服務的安全使用
- 確定評估風險的范圍
- 實施安全控制措施
- 制定安全事件恢復計劃
- 通過培訓增強安全意識
- 嚴格執(zhí)行
- 相關文檔
- 審核和修訂
6. 加強端點側安全防護
由于端點設備可以直接連接到云,因此云服務的使用加大了對有效端點安全的需求。新的云項目讓企業(yè)有機會重新審視安全技術和應對新威脅。在企業(yè)實施的縱深化安全防御計劃中,應該全面包括防火墻、反惡意軟件、入侵檢測和訪問控制。在復雜的端點應用環(huán)境中,應對新型端點安全問題時可以使用自動化安全工具,例如端點檢測和響應(EDR)工具以及端點保護平臺(EPP),也可以考慮其他控制措施包括補丁管理、端點加密、VPN和內部威脅防護等。
7.全面的數(shù)據加密
加密是任何云安全策略的關鍵部分。企業(yè)不僅應該對云平臺上存儲的任何數(shù)據進行加密,還應該對傳輸中數(shù)據同樣進行加密,因為傳輸中的數(shù)據更容易受到攻擊。當前,主流的云計算服務商都會提供加密和密鑰管理服務,一些第三方云應用軟件公司也提供加密方案。研究人員建議企業(yè)尋找一種與現(xiàn)有工作流程無縫配合的加密產品,那樣最終用戶無須另為遵守企業(yè)加密政策而操心。
8. 使用入侵檢測等基礎防御技術
入侵檢測和防御系統(tǒng)(IDPS)是當前應用最廣泛的安全工具之一。它們監(jiān)測、分析和響應網絡流量,可以作為獨立的解決方案使用,也可以作為幫助保護網絡的另一種工具(比如防火墻)的一部分使用。主流的云服務商都會提供SaaS化的IDPS和防火墻服務,它們還通過各自的云應用平臺有償提供其他網絡安全公司的服務。如果企業(yè)經常需要處理云端敏感數(shù)據,這類安全服務將會物有所值。
9. 嚴格遵守合規(guī)要求
對于需要收集個人身份信息的企業(yè)會在客戶隱私和數(shù)據安全方面面臨嚴格的監(jiān)管。在某些地區(qū)經營的企業(yè)可能還會面臨當?shù)卣奶厥夂弦?guī)要求。
在確定使用新的云計算服務之前,企業(yè)組織應該嚴格審查特定的合規(guī)要求,并確保云服務提供商能夠滿足相關數(shù)據安全的合規(guī)要求。保持合規(guī)是云應用安全的重中之重。監(jiān)管部門會要求企業(yè)對任何違規(guī)行為負責,即使安全問題源自云提供商。
10. 考慮CASB解決方案
當現(xiàn)有的安全方法不盡如人意時,尋求更先進的技術支持很重要。云訪問安全代理(CASB)是為實施云安全標準而專門構建的解決方案,隨著云的使用日益廣泛,這類技術越來越受到關注。CASB可以追蹤非法的云應用程序活動,非常適合應用了多種云服務的企業(yè)組織。
CASB提供眾多云安全服務,包括DLP、檢測惡意軟件、協(xié)助合規(guī)以及控制云應用程序訪問和影子IT。這類解決方案可以與各種SaaS和IaaS平臺兼容,提供完整的基礎設施安全。
此外,如果用戶在云端運行工作負載和應用程序,云原生應用程序保護(CNAPP)和云工作負載保護平臺(CWPP)也是保護云基礎架構和數(shù)據的很好選擇,選型新一代云安全解決方案取決于企業(yè)的云安全需求以及與現(xiàn)有基礎設施的互操作性。
11. 進行安全性審計和滲透測試
無論企業(yè)與外部安全公司合作還是自主建設云安全能力,專家都建議落實以下安全實踐:
- 滲透測試:檢查當前云安全解決方案的可靠性,識別可能危及數(shù)據和應用程序的漏洞。
- 漏洞掃描:使用云漏洞掃描器以檢測錯誤配置及其他漏洞,增強云環(huán)境的安全態(tài)勢。
- 定期安全審計:評估所有安全廠商和控制措施,以確定其功能,并確保遵守約定的安全條件和標準。
- 訪問日志審計:確保只有授權的人才能訪問敏感數(shù)據和云應用程序,改進訪問控制和數(shù)據安全措施。
12. 監(jiān)控所有的安全日志
對所有的安全日志進行監(jiān)控其實是如今最有效的云安全方案之一。企業(yè)應該將云服務登錄數(shù)據整合到安全信息和事件管理(SIEM)系統(tǒng),以便集中監(jiān)控和響應。日志記錄可以幫助系統(tǒng)管理員和安全團隊監(jiān)視用戶活動,并檢測未經批準的修改和活動。萬一攻擊者獲得訪問權限并進行篡改,完整的日志提供了其行為的清晰記錄,SIEM工具便于迅速化解,以限制損害。
有效的日志記錄對于處理錯誤配置也很重要,因為它便于跟蹤可能導致漏洞的更改,以便采取預防措施。它還有助于發(fā)現(xiàn)訪問權限過大的人,以便進行更改,從而減小可能的危險。
13. 減少云上的錯誤配置
云環(huán)境中的錯誤配置是云環(huán)境中最常見的漏洞類型之一,包括云上的網絡系統(tǒng)和容器系統(tǒng)等。這會導致云計算應用出現(xiàn)嚴重安全隱患。這些錯誤配置將嚴重損害云應用的防護能力,造成相關云訪問控制措施的缺失或失效。因此,企業(yè)不僅要記錄錯誤配置數(shù)據,還要采取主動措施以減少存儲桶、API、連接、敞開端口、權限和加密等方面的錯誤配置。為了減少云上的錯誤配置,企業(yè)的IT或安全團隊有必要做好以下幾點:
- 準確配置每個存儲桶或每組存儲桶;
- 與開發(fā)團隊合作,以確保Web云地址設置正確;
- 確保從不使用默認的訪問權限;
- 確定所需的用戶訪問級別(僅查看或編輯權限),并相應地配置每個存儲桶;
- 云SIEM、CWPP、CSPM和CNAPP等可以助一臂之力。
參考鏈接:
https://www.esecurityplanet.com/cloud/cloud-security-best-practices/
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧