隨著越來(lái)越多的組織采用云計(jì)算，內(nèi)部部署數(shù)據(jù)中心的時(shí)代將會(huì)逐漸終結(jié)。從小規(guī)模企業(yè)到規(guī)模最大的跨國(guó)公司，無(wú)論在哪里，都可以看到云計(jì)算應(yīng)用程序。云計(jì)算服務(wù)的使用量每年都會(huì)持續(xù)增長(zhǎng)，截至2016年，每個(gè)組織平均使用1427個(gè)云服務(wù)。

雖然這一強(qiáng)勁的增長(zhǎng)前景看好，但也帶來(lái)了一系列新的網(wǎng)絡(luò)安全威脅。通常每個(gè)企業(yè)每個(gè)月都會(huì)遭受到23個(gè)云安全威脅的影響，這使得云計(jì)算看起來(lái)像是一項(xiàng)有風(fēng)險(xiǎn)的責(zé)任。此外，敏感信息占上傳到云端的數(shù)據(jù)的18%。但是，通過(guò)適當(dāng)?shù)陌踩渲煤凸ぞ?，即使是最隱秘的數(shù)據(jù)，也可以在云中輕松實(shí)現(xiàn)。為了正確理解云計(jì)算的安全性，人們了解大型漏洞背后的主要罪魁禍?zhǔn)字陵P(guān)重要。

[[232669]]

影子IT：云計(jì)算的未知風(fēng)險(xiǎn)

對(duì)于云安全來(lái)說(shuō)，最大的威脅之一是影子IT(Shadow IT)，這是在未經(jīng)組織IT部門(mén)了解或同意的情況下員工使用未經(jīng)授權(quán)的云服務(wù)。由于以下幾個(gè)原因，影子IT對(duì)云安全構(gòu)成很大風(fēng)險(xiǎn)：

首先，企業(yè)員工在決定是否使用云服務(wù)時(shí)通常不會(huì)審查應(yīng)用程序的安全性。另一方面，IT專(zhuān)家在批準(zhǔn)公司范圍使用之前，需要經(jīng)過(guò)廣泛的審查過(guò)程，權(quán)衡應(yīng)用程序的安全風(fēng)險(xiǎn)和云計(jì)算功能。

其次，IT部門(mén)只知道組織中使用的影子云應(yīng)用程序的10%。剩下的90%超出了IT部門(mén)的職責(zé)范圍。

如何保護(hù)組織的受制裁和影子云服務(wù)

(1)可見(jiàn)性

可見(jiàn)性是克服影子IT固有風(fēng)險(xiǎn)的基礎(chǔ)。這是由于影子IT根據(jù)定義提出了未知級(jí)別的威脅，因?yàn)槠髽I(yè)沒(méi)有意識(shí)到員工正在使用的全部云服務(wù)。更高的可見(jiàn)性使IT部門(mén)能夠開(kāi)始量化風(fēng)險(xiǎn)，并制定降低風(fēng)險(xiǎn)的策略。

可見(jiàn)性的一個(gè)要素包括監(jiān)控風(fēng)險(xiǎn)云服務(wù)的使用，對(duì)其URL或IP進(jìn)行編目，并根據(jù)安全風(fēng)險(xiǎn)評(píng)估等級(jí)批準(zhǔn)或阻止它們。為應(yīng)用程序提供安全風(fēng)險(xiǎn)評(píng)級(jí)，將需要對(duì)應(yīng)用程序的安全功能進(jìn)行徹底調(diào)查，例如對(duì)數(shù)據(jù)進(jìn)行靜態(tài)加密，還是在本地提供多因素身份驗(yàn)證(MFA)等。

(2)威脅檢測(cè)

每天，全球各組織可以從他們的云計(jì)算應(yīng)用中產(chǎn)生數(shù)十億個(gè)事件。從下載/上傳文檔到嘗試登錄服務(wù)的任何事情都會(huì)生成一個(gè)事件。

表示威脅的事件很容易丟失或被忽略。通過(guò)數(shù)據(jù)科學(xué)、機(jī)器學(xué)習(xí)以及用戶和實(shí)體行為分析(UEBA)，組織可以篩選可能會(huì)顯示出異常活動(dòng)的事件，并標(biāo)記出只是那些實(shí)際威脅的事件。

想象一下，用戶反復(fù)嘗試登錄Salesforce失敗。經(jīng)過(guò)多次失敗嘗試后，檢測(cè)到帳戶可能發(fā)生異常。但是，如果用戶將Caps Lock鍵放開(kāi)，該怎么辦? IT專(zhuān)業(yè)人員如何將其視為正常行為并忽略它?

再進(jìn)一步，威脅防護(hù)軟件如何準(zhǔn)確地將其歸類(lèi)為正常行為并忽略它，使IT安全專(zhuān)業(yè)人員不必調(diào)查這些日?；顒?dòng)的警報(bào)?雖然網(wǎng)絡(luò)攻擊者可能能夠竊取員工的憑證，但攻擊者無(wú)法模仿員工的行為模式。事實(shí)證明，人們導(dǎo)航和使用應(yīng)用程序的方式是獨(dú)特的，這是一種數(shù)字身體語(yǔ)言。 這種模式幾乎不可能由網(wǎng)絡(luò)犯罪分子復(fù)制?；氐絊alesforce用戶登錄，在驗(yàn)證了幾次失敗嘗試后，如果用戶的行為與先前的行為一致，可以查明用戶是正確的還是冒充的。

使用數(shù)據(jù)科學(xué)和機(jī)器學(xué)習(xí)來(lái)觀察和分析行為模式并不是一項(xiàng)新技術(shù)。信用卡提供商使用數(shù)據(jù)科學(xué)和分析來(lái)識(shí)別欺詐信用卡收費(fèi)。雖然盡可能地進(jìn)行嘗試，信用卡的盜竊者很難完全模仿正常交易的細(xì)節(jié)，而隨著時(shí)間的推移，建立和完善的算法已經(jīng)變得非常精通于檢測(cè)，即使是最無(wú)害的交易。

(3)保護(hù)數(shù)據(jù)本身——加密和標(biāo)記

數(shù)據(jù)安全的兩個(gè)重要元素是加密和標(biāo)記，它們用于保護(hù)敏感信息的相同目的，但操作方式稍有不同。加密通過(guò)使用加密密鑰將數(shù)據(jù)轉(zhuǎn)換為密碼文本來(lái)工作。在加密數(shù)據(jù)后，再次使信息可以被理解的唯一方法是輸入適當(dāng)?shù)慕饷苊荑€。

令牌化以不同的方式保護(hù)數(shù)據(jù)。本質(zhì)上，為純文本生成一個(gè)隨機(jī)標(biāo)記，然后將其存儲(chǔ)在數(shù)據(jù)庫(kù)中。標(biāo)記化的最大好處是它存儲(chǔ)了本地的實(shí)際數(shù)據(jù)，并且只有標(biāo)記值被上傳到云端。但是，如果令牌到文本映射數(shù)據(jù)庫(kù)被攻擊，其敏感信息仍然可能被暴露。令牌化通常用于結(jié)構(gòu)化數(shù)據(jù)。

(4)云安全的合規(guī)性

數(shù)據(jù)安全有許多法規(guī)和規(guī)定，如PCI-DSS，HIPAA-HITECH和EU-GDPR。但是，重要的是要記住，將數(shù)據(jù)存儲(chǔ)在云中與將數(shù)據(jù)存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中不同。為了遵守內(nèi)部/外部政策，應(yīng)從以下步驟開(kāi)始：

• 識(shí)別上傳到云端的信息類(lèi)型(健康信息、個(gè)人身份信息、支付卡信息等)。
• 限制敏感數(shù)據(jù)的第三方控制。
• 避免將機(jī)密信息上傳到云端。
• 在每個(gè)云計(jì)算應(yīng)用程序中應(yīng)用統(tǒng)一的DLP策略，以確保所有數(shù)據(jù)的安全。
• 清點(diǎn)現(xiàn)有政策并將其適應(yīng)云計(jì)算環(huán)境。

(5)其他云安全工具

這些最佳實(shí)踐是保護(hù)云中數(shù)據(jù)的重要第一步，但以下工具可以增加更多安全性。

• SIEM：安全信息和事件管理(SIEM)是大型企業(yè)的重要工具。該工具可以查看入站事件，并實(shí)時(shí)標(biāo)記潛在的安全威脅。
• 用戶訪問(wèn)控制：最小權(quán)限原則規(guī)定，員工只能訪問(wèn)他們需要的工作。單點(diǎn)登錄(SSO)和訪問(wèn)管理(IDM)可以通過(guò)管理用戶登錄、訪問(wèn)以及角色和權(quán)限來(lái)確保這一點(diǎn)。
• 云計(jì)算防火墻：云計(jì)算防火墻更適合較低級(jí)別的威脅，但它們?yōu)閺脑贫硕ㄎ痪W(wǎng)絡(luò)的威脅提供了重要的屏障，反之亦然。
• 云訪問(wèn)安全代理：作為客戶與云應(yīng)用程序之間的控制點(diǎn)，云訪問(wèn)安全代理(CASB)提供云中用戶活動(dòng)和威脅檢測(cè)的可視性，以保護(hù)數(shù)據(jù)免受各種攻擊。
• 云數(shù)據(jù)加密：通過(guò)將信息轉(zhuǎn)換為密碼文本，即使所有其他安全層被破壞，黑客也無(wú)法使用敏感數(shù)據(jù)，而無(wú)需解密密鑰。

一個(gè)試圖從數(shù)據(jù)庫(kù)轉(zhuǎn)移到云端的組織最初可能會(huì)被影子IT和內(nèi)部威脅帶來(lái)的風(fēng)險(xiǎn)拋出。幸運(yùn)的是，通過(guò)有效的最佳實(shí)踐和各種云計(jì)算安全工具，企業(yè)現(xiàn)在可以安心地將數(shù)據(jù)存儲(chǔ)在云中。