据有关报告显示,公共云、私有云和混合云的风险差异很大。在向云数据和服务迈进的过程中,许多公司都在重新思考他们的网络安全方法。他们需要云安全策略吗?云安全策略有什么不同?而最近的一些调查揭示了安全战略是如何变化的,更重要的一点是,它们应该如何改变。本文将讲述有关执行成功的云安全策略所需的工具、信息和组织结构的建议。
在云中放置更多IT基础架构在某些方面更安全一些。例如,您可以合理的确定系统正在运行补丁的最新版本。云服务提供商也在构建新的功能,例如使用机器语言进行异常检测。但是同时,它也带来了新的风险,其中一些是误解如何管理云安全的结果。
重要的是要了解公司的云IT战略——无论是混合型、私有托管型还是公共型,都影响其网络安全战略和战术的执行。
什么是云安全风险?
来自云安全提供商Alert Logic的数据显示了与本地数据中心相比,每种形式的云环境的风险性质和数量。在18个月的时间里,该公司分析了来自3,800多家客户的147 PB的数据,以对安全事件进行量化和分类。在此期间,它发现了超过220万个真正的安全事件。主要发现包括:
· 混合云环境中平均每个客户的安全事件数是977个,其次是托管私有云684个,本地数据中心612个和公共云405个。
· 到目前为止,最常见的安全事件类型是Web应用程序攻击(75%),其次是暴力攻击(16%),侦察(5%)和服务器端勒索软件(2%)。
· Web应用程序攻击最常见的载体是SQL(47.74%),Joomla(26.11%),Apache Struts(10.11%)和Magento(6.98%)。
· Wordpress是最常见的暴力攻击目标,占41%,其次是MS SQL,占19%。
由此可见,无论是公共云、私有云还是混合云环境,Web应用程序威胁都占据主导地位,它们之间的不同之处在于其风险程度。Alert Logic的联合创始人Misha Govshteyn说。
作为防御者,我们有较高的并且有效的保护公共云的能力,因为我们看到了更好的信噪比并且减少了更少的噪音攻击。而当我们在公共云环境中意识到安全事件时,我们知道必须要引起注意了。
数据显示,某些平台比其他平台更容易受到攻击。尽管你付出了最大努力,但还是会增加你的攻击面。他指出尽管人们普遍认为,LAMP堆栈比基于Microsoft的应用程序堆栈更容易受到攻击,他还将PHP应用程序视为热点。
Govshteyn说:在内容管理系统中,特别是Wordpress、Joomla和Django,作为Web应用程序的平台,其存在的漏洞远远超过人们的想象。只有当您了解开发团队倾向于使用的Web框架和平台时,才有可能保证这些系统的安全。但大多数安全人员几乎不关注这些细节,并常常存在侥幸心理而做出决定。
为了最大限度地降低云威胁的影响,Alert Logic有三个主要建议:
· 依靠应用程序白名单和阻止访问未知程序。这包括对组织中使用的每个应用程序进行风险与价值评估。
· 了解您自己的补丁程序并优先处理修补程序的部署。
· 根据当前用户职责来限制管理和访问权限。保持应用程序和操作系统的权限是最新的。
6种云威胁
今年4月份,云安全平台提供商ShieldX概述了它认为可能在2018年发生的六类云安全威胁。大多数组织都很难降低这些威胁的风险,因为他们的防御与其性质之间存在差距。ShieldX首席技术官兼高级副总裁Manuel Nedbal说:
物理数据中心外形与虚拟外围之间存在不匹配的现象。传统的安全控件是为了保护物理形状因素而建立的,这为安全威胁打开了大门。
1.跨云攻击
通过跨云攻击,黑客可以通过公共云访问内部部署系统和私有云系统。由恶意行为者接管的公共云中的工作负载可能导致将攻击扩散到私有云。
如果防御措施到位,风险就可以降至最低,但通过迁移到公共云,组织往往忽略了延伸到新环境的事实。然而,与内部防御相比,公共云不提供相同的安全控件,并且很难移动传统安全性。Nedbal说,对云的攻击量还正在不断增加。一旦有公开的工作负载,它就会受到攻击,公共云中的防御也比传统的内部部署控件更弱。此外,如果一个组织对其内部部署和云系统有不同的控件集,那么它可以留下黑客利用的空间。
2.跨数据中心攻击
一旦黑客击中数据中心位置,他们的下一步就是横向扩散。原因是数据中心中的交付点(PoD)之间的连接被认为是可信区域。如果攻击者攻击一个PoD,那么它就可以传播到其他连接的数据中心。
在一篇博客文章中,Nedbal建议通过一个多层防御系统发送所有流量,该系统具有与外围相似的一组安全控件。
3.跨租户攻击
在多租户环境中,黑客可以利用云租户之间的网络流量。租户可能会认为提供商已将其资产保护在云端,但实际上他们负责实施大部分防御措施。同样,通过具有适当控件的多层防御系统发送流量将降低此云威胁的风险,但它需要能够在需要的地方和时间以适当的比例放置这些控件。
4.跨工作负载攻击
云和虚拟化的工作负载可以轻松的与其他人连接。无论是在虚拟桌面、虚拟Web服务器还是数据库上,攻击者都可以访问其他工作负载。Nedbal说:“如果您将所有工作负载封锁,那么它们就是安全的,但无法执行它们设计的功能。”在博客文章中,他建议将具有类似安全要求的工作负载放在一个具有适当控制区域中,除了基本的分段之外,还可以监视流量。
5.编排攻击
Cloud Orchestration支持许多关键任务,包括配置、服务器部署、存储和网络管理、身份和权限管理以及工作负载创建。黑客通常会执行编排攻击来窃取帐户登录信息或私人加密密钥。有了这些,攻击者可以执行编排任务以基本上获得控件和访问。Nedbal说:“一旦进入,攻击者可以为自己的目的创建额外的工作负载,如加密挖掘或删除工作负载。”他们可以窃取的特权越多,所带来的伤害就越大。
Nedbal说,防范编排攻击的方法是通过监控管理员行为。编排威胁需要一种新型的安全监控,而不是传统网络安全系统的一部分,它可以寻找异常行为的异常账户模式。
6.无服务器攻击
无服务器应用程序允许组织快速启动云的功能,而无需构建或扩展基础架构。通过所谓的服务功能(FaaS),它们为黑客提供了新的机会,同时也为网络维护者带来了新的挑战。新功能可能可以访问敏感资产,如数据库。如果该功能的权限设置不正确,攻击者可能够通过该功能执行许多任务,包括访问数据或创建新帐户。与编排攻击一样,检测无服务器攻击的最佳方法是监控帐户行为,但必须与网络流量检查相结合才能生效。
如何保护云
根据市场研究公司VansonBourne的调查,并由网络监控解决方案提供商Gigamon的赞助,73%的受访者预计他们的大部分应用程序工作负载都在公共云或私有云中。然而,35%的受访者希望以与他们的内部部署操作“完全相同的方式”处理网络安全。其余的人虽然不愿意改变,但他们也别无选择,只能改变他们的云安全策略。
当然,并不是每家公司都想要将敏感或关键数据迁移到云端。但是,大多数公司正在迁移关键性和专有的公司信息(56%)或营销资产(53%)。47%的受访者希望在云中拥有个人身份信息,这可能是受到新的隐私法规(如欧盟的GDPR)的影响。
根据Govshteyn的说法,公司应该关注云安全战略的三个主要领域:
1.工具。您在云环境中部署的安全工具,必须能够保护Web应用程序和云工作负载。Govshteyn说:
为终端保护制定的安全技术,主要集中在一组在云中不常见的攻击媒介,并且不具备应对OWASP Top 10威胁的能力,这些威胁占所有云攻击的75%。” 他指出,终端威胁针对Web浏览器和客户端软件,而基础架构威胁则针对服务器和应用程序框架。
2.结构。围绕云提供的安全和管理优势定义您的架构,而不是您在传统数据中心中使用的相同架构。Govshteyn说:
我们现在有数据显示,纯公共环境允许企业降低事故率,但只有使用云功能设计更安全的基础设施才能实现这一目标。
他建议您在自己的虚拟私有云中隔离每个应用程序或微服务,这样可以减少入侵范围。例如雅虎,利用Web应用程序作为初始入口,因此在人们看来最不重要的应用程序通常成为您最大的问题。此外,不要修补云部署中的漏洞。相反,部署运行最新代码的新云基础架构,并停用旧基础架构。Govshteyn说:
只有自动化部署才能实现这一目标,但在传统数据中心,您将无法获得对基础架构的控件。
3.连接点。问题在于确定云部署与运行旧代码的传统数据中心互连的点。
并非关于公司现有安全策略的所有内容都必须针对云进行更改。Gigamon产品营销高级经理Tom Clavel说:
使用相同的安全策略,例如,对威胁检测的深入内容检查(对于云作为内部部署其实是一个很好的想法)。追求这一目标的公司通常会寻求其安全架构之间的一致性,以限制其安全状况的差距。但问题在于他们如何获得网络流量来进行这种检查。
云的可见性问题
VansonBourne受访者提出了一个问题,云可能会在安全领域内造成盲点。总体而言,有一半人表示云可以“隐藏”信息,使他们能够识别威胁。使用云,他们也丢失了一些加密内容(48%)、不安全应用程序或流量(47%)或SSL / TLS证书有效性(35%)的信息。
据49%的调查受访者称,混合云环境可能会进一步阻碍可见性,因为它可能会阻止安全团队查看数据的实际存储位置。78%的受访者表示,在Siloed的数据中,其中一些由安全运营部门和一些网络运营部门控制,这会使搜索数据更模糊。
这些数据不仅仅对安全团队对可见性是有限的。百分之七十七的VansonBourne受访者表示,网络盲点是他们保护组织的障碍。为了获得更好的可见性,Clavel建议您首先确定如何组织和实施安全状态。他说:
不管是在云中,还是从内部扩展到云?在这两种情况下,确保应用程序网络流量的普遍可见性是的安全策略的核心。你能看得越多,你就能越安全。
为了满足可见性需求,确定一种获取和优化安全工具的网络流量的方法,无论是入侵检测系统(IDS)、安全信息和事件管理(SIEM)、取证、数据丢失防护( DLP)、高级威胁检测(ATD)、或同时对所有这些,添加SecOps程序,可以自动化检测到威胁的可见性和安全性。
这些盲点可见性可能会产生GDPR合规性问题。66%的受访者表示,缺乏可见性将使GDPR合规性变得困难。只有59%的受访者认为他们的组织将在2018年5月前为GDPR做好准备。
安全策略无法跟上云应用的步伐
根据2018年Oracle和毕马威云计算威胁报告,87%的公司现在采用云优先战略,90%的公司表示他们在云中拥有的数据中有一半是敏感的。来自同一报告的数据显示,虽然这些公司已采取积极的方式采用云,但安全实践和政策似乎并没有赶上。
Oracle / KPMG报告中的数据来自450个网络安全和来自世界各地的专业人士的调查。受访者虽然担心云安全,但大多数人都没能采取一些明显的措施来降低云中敏感数据的风险。
· 82%的人认为他们的员工不遵守云安全程序,但86%的员工表示无法收集和分析大部分安全事件数据。
· 只有38%的受访者表示,检测和响应云安全事件是他们面临的首要网络安全挑战。
· 只有41%的人拥有专业的云安全架构。
有迹象表明公司将在不久的将来会更加重视云安全。84%的受访者希望提高他们的安全自动化水平,89%的受访者希望在未来一年增加他们的网络安全预算。
谁来负责云安全?
鉴于利害攸关的问题,62%的受访者表示希望他们的安全运营中心(SOC)能够控制网络流量和数据,以确保在云环境中提供足够的保护。其中一半人愿意了解网络流量和数据。
由于管理云环境的组的结构,获得控制甚至完全可见性可能对许多组织来说是一个挑战。虽然安全运营负责69%的受访者组织的云安全,但云计算运营或网络运营也参与其中。这导致谁在云安全方面处于领先地位,以及团队应如何协作方面出现问题。事实上,48%的受访者表示,团队之间缺乏协作是识别和报告违规行为的最大障碍。
Clavel说:
通常,公司在网络、安全和云之间分配责任,每个人都有不同的预算、独特的所有权、甚至是管理这些领域的独特工具。获得对云的可视性来确保其安全,则需要打破这三个组织之间的沟通墙。内部部署的相同安全工具也能够保护云,因此需要云和安全团队进行沟通。
那么到底谁应该关注组织的云安全性?它需要是具有正确技能和承诺能力的人或团队。我们需要找到这类人或团队,并让他们在未来三到五年内建立组织的安全策略。
在过去几年中,这往往是IT运营团队或企业安全团队,但始终会有一个架构师级别的个人贡献者或专门的云安全团队作为这项工作的核心。这种新型的安全专业人员可以编写代码,花费80%以上的时间自动化他们的工作,并将开发团队视为他们的同行而不是对手。
虽然一些公司的董事会对安全问题非常感兴趣,但他们却没什么能帮助的。Govshteyn说:
实际上,当今云安全问题的关键决策,大部分来自能够跟上公共云快速变化的技术人员。
超过一半的受访者认为,保护云的任务更加复杂的是,他们的组织尚未实施云战略或框架。虽然几乎所有的组织都计划在未来这样做,但目前尚不清楚究竟是谁主导了这一倡议。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 谁来负责云安全?
