美國國土安全部最近宣布，其網(wǎng)絡安全審查委員會的下一個項目將專注于“與影響適用的云服務提供商及其客戶的基于云的身份和身份驗證基礎設施相關的問題”。這并不令人驚訝，因為企業(yè)中云采用的爆炸性增長已經(jīng)開啟了一個需要保護的大的攻擊面。

目前有94%的企業(yè)使用云(其中92%使用多個云平臺)，在使用多個云平臺時，企業(yè)仍在維護安全性方面遇到困難。

例如，最近的一些網(wǎng)絡攻擊涉及身份被盜或泄露，特別是那些與基于云的身份有關的攻擊，而且這種攻擊正在增加。去年，幾乎90%的企業(yè)受到了此類網(wǎng)絡攻擊，即使是最大的云計算提供商，如微軟和AWS也受到了影響。

沒有人在談論把云精靈放回瓶子里。國土安全部的聲明強調了“云基礎設施在我們日常生活中的日益重要性。”網(wǎng)絡安全和基礎設施安全局局長Jen Easterly指出，目前適用于大多數(shù)企業(yè)的網(wǎng)絡安全分擔責任模式要求更多地關注云安全，特別是身份管理和身份驗證，以提供必要的功能和保護敏感數(shù)據(jù)。

雖然分擔責任模式在劃定安全所有權領域以及明確這一復雜而關鍵的需求方面很重要，但它確實造成了一個明顯的安全漏洞：它讓可能沒有能力應對挑戰(zhàn)的云用戶負責保護敏感數(shù)據(jù)。

只有40%的企業(yè)有足夠的信心表示，他們有足夠的安全性來100%保護云中的數(shù)據(jù)。Gartner還預測，到2025年，99%的云故障將是用戶的錯。一些最常見的挑戰(zhàn)包括導致應用程序易受攻擊的錯誤配置、對云環(huán)境的多層復雜性的監(jiān)控不嚴或無法發(fā)現(xiàn)威脅，以及缺乏執(zhí)行安全措施的人員。

共同承擔責任的挑戰(zhàn)

云服務提供商傾向于優(yōu)先考慮快速構建和擴展云環(huán)境——畢竟這是云服務的賣點——并將保護應用程序和數(shù)據(jù)的責任留給他們的客戶。盡管云提供商為身份和訪問管理提供了自己的專有安全工具，但當他們的企業(yè)使用多個云提供商或混合公有/私有云時，用戶仍然面臨安全漏洞，就像許多企業(yè)今天所做的那樣。

解決云環(huán)境中的漏洞也成為一個爭議點，云服務提供商在發(fā)現(xiàn)漏洞時就會解決這些漏洞，但他們必須在發(fā)布軟件更新的需求與其業(yè)務優(yōu)先事項之間取得平衡，例如保證軟件質量和最大限度地減少中斷。

這給企業(yè)留下了兩個不同且不令人滿意的選擇，規(guī)模較小的公司可能會依賴云服務提供商提供的基本工具，這些工具有時成本較低，但可能無法提供全面的安全性。與此同時，較大的企業(yè)越來越多地投資于構建他們認為的統(tǒng)一云安全戰(zhàn)略，這在分散的環(huán)境中可能很難實現(xiàn)。

如何克服云安全面臨的挑戰(zhàn)

面對這種風險格局，國土安全部審查委員會評估與基于云的身份和身份驗證基礎設施相關的問題的項目可以提供一個框架，以應對保護多云環(huán)境的挑戰(zhàn)，這可能會提高云服務提供商的透明度，改善云服務提供商保護其平臺的努力，并避免客戶承擔不必要的風險。

然而，要弄清“與基于云的身份和身份驗證基礎設施相關的問題”，需要能夠從身份角度分析風險的解決方案，為了做到這一點，企業(yè)必須探索幾種不同的選擇：

第三方解決方案：這些解決方案可以提供發(fā)現(xiàn)和修復云安全漏洞的集成平臺，并在部署前進行檢測，它們還可以在多云環(huán)境中揭示云身份風險發(fā)現(xiàn)，例如權限提升和過度權限，它們可以自動實施訪問策略、適當調整權限大小并管理整個網(wǎng)絡中的權限，而不會因手動身份管理任務而使IT部門負擔過重。

確保最低特權訪問的定期內部和獨立審計：默認情況下，用戶應具有執(zhí)行其任務所需的最低權限，這一原則確保了即使憑據(jù)被泄露，損害也得到了控制。實施重復的內部審計計劃，以審查用戶的權利和權限，并確保無意或臨時授予的不必要的權限被撤銷。更好的做法是，讓你的企業(yè)接受有節(jié)奏的獨立審核，以便更好地與身份和訪問管理安全最佳實踐保持一致。

培訓和意識：國土安全部鼓勵企業(yè)發(fā)展強大的安全文化——這有助于提高企業(yè)防御社會攻擊所需的意識。此外，持續(xù)培訓你的IT和開發(fā)團隊了解云安全最佳實踐，例如為新部署使用配置模板以確保默認情況下的安全配置，定期舉辦講習班、研討會和更新最新的最佳做法，可使該小組隨時了解情況并保持警惕。

單云、多云和混合云基礎設施將繼續(xù)存在。網(wǎng)絡安全審查委員會對云安全的關注，以及最近政府的一系列網(wǎng)絡安全舉措——想想關于網(wǎng)絡安全的行政命令——揭示了云中的網(wǎng)絡威脅。

國土安全部的審查本身并不是一個規(guī)則制定過程，但每當聯(lián)邦政府支持一個框架時，企業(yè)都會傾聽。現(xiàn)在是時候重新考慮身份和身份驗證在你的云安全戰(zhàn)略中的角色以及如何管理它了。