公共云采用面臨的較大威脅是粗心的用戶、易受攻擊的配置和網(wǎng)絡(luò)攻擊，這些配置和攻擊會(huì)穿過(guò)殺傷鏈進(jìn)入云平臺(tái)以獲得訪問(wèn)權(quán)限。

[[272724]]

盡管采用率更高且收益顯著，許多組織仍然擔(dān)心將其資產(chǎn)托管在公共云上。

最近的一些調(diào)查報(bào)告強(qiáng)調(diào)了人們的擔(dān)憂。來(lái)自Cybersecurity Insiders和ISC2的2019年云安全報(bào)告發(fā)現(xiàn)，93%的組織對(duì)公共云安全有著中度到極度的關(guān)注。Bitglass公司最近發(fā)布的云安全報(bào)告中，90%以上的受訪者對(duì)公共云安全表示關(guān)注。

這兩份報(bào)告以及另一份由Cyber​​security Insiders撰寫(xiě)并由Check Point贊助的報(bào)告都詳細(xì)說(shuō)明了組織如此關(guān)注的原因。

這些報(bào)告中列出了受訪者認(rèn)為對(duì)公共云采用的最大威脅的類似清單。主要問(wèn)題包括數(shù)據(jù)丟失和泄漏、未經(jīng)授權(quán)的訪問(wèn)以及云平臺(tái)的錯(cuò)誤配置。其他包括外部數(shù)據(jù)共享、缺乏可視性、惡意內(nèi)部人員、惡意軟件/勒索軟件、數(shù)據(jù)隱私、合規(guī)性和數(shù)據(jù)主權(quán)。

Enterprise Strategy Group公司高級(jí)首席分析師Jon Oltsik表示，這些調(diào)查結(jié)果并不令人驚訝。

他說(shuō)，“而且有些安全事件一直在發(fā)生，這可能會(huì)增加出錯(cuò)的可能性。例如，如果企業(yè)在容器中托管應(yīng)用程序，則必須了解容器周?chē)穆┒春凸粝蛄俊Ｈ绻褂玫氖菬o(wú)服務(wù)器模型，則可能會(huì)發(fā)生同樣的情況。這一切都會(huì)改變企業(yè)放置安全控件的位置，以及需要監(jiān)控的內(nèi)容。”

Oltsik表示，他將描述最大的公共云安全威脅，這些威脅阻礙采用方式略有不同，將其范圍縮小到粗心的用戶，易受攻擊的配置，以及跨越殺傷鏈進(jìn)入云端以獲取訪問(wèn)權(quán)限的攻擊。

他說(shuō)，無(wú)論是由于缺乏知識(shí)還是根本不關(guān)心，總會(huì)有一些粗心的用戶。除了教育用戶之外，OLTSik始終強(qiáng)調(diào)以能夠識(shí)別惡意、可疑或粗心行為的方式監(jiān)控用戶的重要性。做到這一點(diǎn)的最佳方法包括限制用戶可以通過(guò)最小權(quán)限、基于角色的訪問(wèn)控制和強(qiáng)身份驗(yàn)證來(lái)做什么。他建議使用用戶行為分析和行為監(jiān)控工具，以及實(shí)踐良好的身份和訪問(wèn)管理(IAM)。

“人們還可以使用SIEM(安全信息和事件管理)來(lái)編寫(xiě)一些關(guān)聯(lián)規(guī)則，這樣就知道如果有人連續(xù)執(zhí)行第一步、第二步和第三步，那就是錯(cuò)誤。”他補(bǔ)充道。

至于解決易受攻擊的配置，Oltsik建議實(shí)施掃描和分析工具。他說(shuō)，“例如，確保S3存儲(chǔ)桶不會(huì)對(duì)任何人進(jìn)行身份驗(yàn)證，這是幾年前的默認(rèn)配置，并且讓很多人陷入困境。”

關(guān)于公共云安全的最后一個(gè)問(wèn)題，網(wǎng)絡(luò)攻擊可以跨越“殺傷鏈”進(jìn)入云平臺(tái)，并獲取對(duì)敏感數(shù)據(jù)的訪問(wèn)，這是一個(gè)很大的問(wèn)題。正如Oltsik解釋的那樣，黑客或者使用云計(jì)算作為本地訪問(wèn)數(shù)據(jù)的方式，或者通過(guò)網(wǎng)絡(luò)釣魚(yú)、社交媒體或其他攻擊來(lái)破壞用戶，使用該載體訪問(wèn)云中的數(shù)據(jù)。他說(shuō)，“這是一個(gè)復(fù)雜的問(wèn)題，但有很多方法可以解決。”

他解釋說(shuō)，“企業(yè)必須了解用戶和開(kāi)發(fā)人員在做什么，以及什么是正常行為，才能發(fā)現(xiàn)異?，F(xiàn)象，并了解它們?nèi)绾斡绊懴掠蔚膽?yīng)用程序和數(shù)據(jù)。換句話說(shuō)，人們需要理解殺傷鏈：在一個(gè)地方發(fā)生的事情會(huì)將如何影響在另一個(gè)地方發(fā)生的事情。”

他補(bǔ)充說(shuō)，理解和監(jiān)控殺傷鏈的最佳方法之一是使用Mitre Att&ck框架，這是攻擊者在對(duì)組織進(jìn)行破壞時(shí)使用的戰(zhàn)術(shù)和技術(shù)的知識(shí)庫(kù)。

遺留安全工具的問(wèn)題

這三份調(diào)查報(bào)告都強(qiáng)調(diào)了這樣一個(gè)事實(shí)，即為內(nèi)部部署環(huán)境設(shè)計(jì)的安全工具并非本身可遷移到云計(jì)算環(huán)境中。正如Check Point公司的調(diào)查報(bào)告所說(shuō)，“傳統(tǒng)安全工具不是針對(duì)云計(jì)算的動(dòng)態(tài)、分布式虛擬環(huán)境而設(shè)計(jì)的。66%的受訪者表示，傳統(tǒng)安全解決方案或者根本不起作用，或者在云計(jì)算環(huán)境中提供有限的功能。”

Oltsik說(shuō)，“這是真的，但有很多方法可以解決，”例如，對(duì)內(nèi)部部署安全工具進(jìn)行重大投資的組織可能不希望廢棄這些工具，并購(gòu)買(mǎi)新工具。相反，他們可以在云中部署代理，在傳統(tǒng)安全控制和云安全控制之間創(chuàng)建混合工具。

但這是權(quán)宜之計(jì)。ESG公司的研究發(fā)現(xiàn)，只要這些工具與傳統(tǒng)工具集成，企業(yè)就更喜歡為云計(jì)算而專門(mén)構(gòu)建的工具。

Oltsik說(shuō)，“很多企業(yè)不想復(fù)制政策、收集數(shù)據(jù)和執(zhí)法規(guī)則，但云平臺(tái)是一個(gè)不同的環(huán)境，監(jiān)控和控制它的方式是不同的，所以只要適合企業(yè)的整體安全策略，就需要向云平臺(tái)開(kāi)放不同的模型。”

但從長(zhǎng)遠(yuǎn)來(lái)看(一般在三年內(nèi))，企業(yè)將推動(dòng)整合。

Oltsik說(shuō)，“如今，投資于多云中的內(nèi)部數(shù)據(jù)中心和應(yīng)用程序并不少見(jiàn)。這將是一個(gè)異構(gòu)的世界，這意味著企業(yè)需要能夠始終適應(yīng)所有這些環(huán)境的安全工具。企業(yè)希望能夠訪問(wèn)工作負(fù)載和數(shù)據(jù)，而無(wú)需根據(jù)數(shù)據(jù)的位置和工作負(fù)載的位置編寫(xiě)規(guī)則。”

ESG公司發(fā)現(xiàn)，企業(yè)傾向于從獨(dú)立的云安全工具開(kāi)始，并在未來(lái)幾年內(nèi)將它們集成到他們的環(huán)境中。他說(shuō)，“這就是為什么看到思科、PaloAlto、Checkpoint等供應(yīng)商收購(gòu)云計(jì)算工具，并將它們集成到自己架構(gòu)中的原因。”