将數據和服務向雲端遷移,讓許多公司開始重新審視他們的網絡安全措施。他們是否需要一個雲安全策略?雲安全策略的區别之處在哪裡?近期的調查揭示了安全策略正在如何變化,更為重要地是調查揭示了它們應當如何改變。
将更多的基礎設施部署在雲端,在某種程度上比部署在本地更為安全。例如,你能夠确認系統正在運行帶有适當補丁的最新版本。雲服務提供商也能夠創建如使用機器語言進行異常檢測等新功能。盡管如此,這也帶來了一些新的風險,其中一些是由于對如何管理雲安全的誤解所造成的。
了解公司的IT策略(無論它們是混合雲、私有托管雲還是公有雲)如何影響公司的網絡安全策略以及該策略的具體執行情況非常重要。
雲安全風險是什麼?
通過與本地數據中心對比,雲安全提供商AlertLogic的數據展示了各種形式的雲環境的風險性質與數量。在18個月的時間内,為了對安全事件進行量化和分類,該公司分析了來自3800多名客戶的147PB數據。在上述時間段内,他們識别了2200多萬起客戶真正積極應對的安全事件。重要發現包括:
●混合雲環境發生的安全事件平均數量最高,每名客戶為977起,後面依次是托管私有雲(684起)、本地數據中心(612起)和公共雲(405起)。
●迄今為止,最常見的安全事件類型是Web應用攻擊(75%),後面依次是暴力破解攻擊(16%)、偵測(5%)和服務器端勒索軟件(2%)。
●Web應用攻擊最常見的攻擊向量是SQL(47.74%)、Joomla(26.11%)、ApacheStruts(10.11%)和Magento(6.98%)。
●Wordpress是最常見的暴力破解攻擊目标(41%),其次是MSSQL(19%)。
無論是公有雲、私有雲還是混合雲環境,Web應用威脅均為主要威脅。它們之間的區别是公司所面臨的風險水平。AlertLogic的聯合創始人MishaGovshteyn稱:“作為防禦方,在AlertLogic,我們有效保護公有雲的能力更高一籌,因為我們能夠看到一個更出色的信噪比并追獵低噪音攻擊。當我們看到在公有雲環境中發生安全事件時,我們知道自己必須要提高警惕了,因為它們通常比較隐秘。”
數據顯示,一些平台比其他平台更加易受攻擊。Govshteyn稱:“盡管你盡了最大的努力,但平台增加了你的受攻擊面。”他舉例稱,LAMP堆棧比基于微軟的應用堆棧更加易受攻擊。”此外,他還将PHP應用視為一個熱點。
Govshteyn稱:“内容管理系統,尤其是Wordpress、Joomla和Django被作為Web應用的平台,其安全性的脆弱程度大大超出了大多數人的想象,并且存在着許多漏洞。确保這些系統的安全性是有可能的,但條件是你必須要清楚開發團隊傾向于使用什麼Web框架和平台。大多數安全人員很少關注這些細節,他們往往根據一些糟糕的假設做出決定。”
為了最大限度地降低雲威脅的影響,AlertLogic給出了三個主要建議:
●依靠應用白名單來阻止對未知程序的訪問。這其中包括對組織機構中使用的每個應用程序進行風險與價值評估。
●清楚自己的打補丁程序并優先安裝補丁程序。
●根據當前用戶的職責限制管理和訪問權限。這需要将應用和操作系統的權限始終保持最新狀态。
如何保護雲安全
根據一份由網絡監控解決方案提供商Gigamon贊助,市場研究機構VansonBourne實施的調查顯示,73%的受訪者希望他們的大部分應用工作負載運行在公有雲或私有雲上。在這部分受訪者中,35%的人希望以與處理本地操作“完全相同的方式”處理網絡安全。其餘的人盡管不願意進行改變,但是他們相信自己别無選擇,隻能改變他們的雲安全策略。
誠然,并不是每個公司都會把敏感或關鍵的數據遷移到雲端,因此對于他們來說,沒有多少理由可以讓他們改變策略。但是,大多數公司正在遷移關鍵和專有的公司信息(56%)或營銷資産(53%)。受歐盟《通用數據保護條例》(GDPR)等新隐私法規所帶來的影響,47%的人希望在雲端擁有個人身份信息。
Govshteyn認為公司應将雲安全策略的重點放在以下三個主要領域:
1.工具。部署在雲環境中的安全工具必須是雲原生的,并且能夠保護Web應用和雲工作負載。Govshteyn稱:“針對端點保護的安全技術将重點放在了雲端并不常見的攻擊向量上,并且沒有足夠的能力應對OWASP(開放式Web應用安全項目)所列出的十大威脅,而這些威脅占到所有雲攻擊的75%。”他還強調稱,端點威脅針對的是Web浏覽器和客戶端軟件,而基礎設施威脅的目标則是服務器和應用框架。
2.架構。圍繞雲提供的安全和管理優勢定義你的架構,而不是使用與傳統數據中心相同的架構。Govshteyn稱:“現在我們有數據表明,純公共環境可以降低企業發生安全事件的概率,但隻有使用雲功能來設計更安全的基礎架構才能實現。”他建議企業将每個應用或微服務隔離在自己的虛拟私有雲中,這樣可以減少任何入侵的影響範圍。“例如雅虎數據洩露等重大數據洩露事件在一開始将不起眼的Web應用作為初始入口向量,因此不重要的應用往往會成為最大的問題。”另外,不要在雲部署中修補漏洞。相反,應當部署運行最新代碼的新的雲基礎設施,并停用老舊的基礎設施。Govshteyn稱:“隻有在部署實現自動化的情況下才能做到這一點。你将獲得的基礎設施控制級别是在傳統數據中心永遠無法實現的。”
3.連接點。确定雲部署與運行傳統代碼的傳統數據中心相互連接的點。他指出:“這些很可能是最大的問題來源,因為我們看到一個明顯的趨勢,即混合雲部署可能會遭遇大部分安全事件。”
企業現有的所有安全策略并非必須都要為雲進行修改。Gigamon産品營銷高級經理TomClavel稱:“對雲使用與本地部署相同的安全策略,例如用于取證的深度内容檢測和威脅檢測本身并不是一個壞主意。使用這種方式的企業通常是為了在安全架構之間尋求一緻性,以減少安全狀況的差距。”
Clavel補充道:“這一工作面臨的挑戰是如何獲得網絡流量來進行這種檢測。盡管這些數據可以通過多種方式在本地獲得,但在雲端卻無法做到。另外,即使他們能夠獲得流量,在沒有智能的情況下,将信息回傳至本地工具以進行檢測的成本非常高并且會适得其反。”
雲的可見性問題
在VansonBourne的調查中,受訪者抱怨稱,雲可能會在安全領域制造盲點。總體而言,半數的受訪者稱雲會“隐藏”那些讓他們能夠識别威脅的信息。他們還表示他們在雲端錯過了一些信息,如哪些東西正在被加密(48%)、不安全的應用或流量(47%)、SSL/TLS證書有效性(35%)等的信息。
在調查中,49%的受訪者表示,混合雲環境進一步阻礙了可見性,因為它能夠阻止安全團隊看到數據實際存儲位置。78%的受訪者稱,孤立的數據(一些由安全操作部門掌控,另一部分由網絡操作部門掌控)使得查找數據變得更加糟糕。
并非僅僅數據如此,安全團隊的可見性也受到了限制。在VansonBourne的調查中,67%的受訪者表示,網絡盲點阻礙了他們保護公司數據的安全。為了獲得更好的可見性,Clavel建議首先要确定自己希望如何組織和實現安全狀态。他指出,“是完全都在雲端,還是從本地擴展到雲端呢?在這兩種情況下,确保應用的網絡流量的完全可見性是安全策略的核心。你看到得越多,能夠保護得就越多。”
Clavel補充道:“為了解決可見性需求,找到一種方法以獲取、彙聚并優化網絡流量到你的安全工具上,無論它們是入侵檢測系統(IDS)、安全信息和事件管理(SIEM)、取證、數據丢失防護(DLP)、高級威脅檢測(ATD),亦或同時進行所有這些檢測。最後,添加SecOps程序實現可見性和安全性的自動化以抵禦檢測到的威脅。”
這些盲點和低信息可見性可能會導緻GDPR合規性問題。66%的受訪者表示,缺乏可見性會使得落實GDPR合規性變得困難重重。隻有59%的受訪者認為他們的組織機構已經做好了在2018年5月最後期限前落實GDPR的準備。
安全策略和實踐無法跟上雲部署的步伐
甲骨文與畢馬威的《2018年雲威脅報告》顯示,87%的公司目前制定了雲優先戰略,90%的公司表示他們在雲端上的數據有一半為敏感數據。該報告的數據顯示,盡管這些公司在以一種激進的方式部署雲,但是安全實踐和規章制度似乎并沒有跟上。
甲骨文/畢馬威的報告數據來自對全球450個網絡安全公司和專業人員展開的調查。受訪者明确表示對雲安全感到擔憂,但是大部分受訪者還未采取顯著的措施以降低雲端上敏感數據的風險。
●82%的網絡主管認為他們的員工沒有遵守雲安全程序。另外,86%的受訪者無法收集和分析他們的大部分安全事件數據。
●僅38%的受訪者表示檢測和響應雲安全事件是他們首要的網絡安全挑戰。
●僅41%的受訪公司擁有專業的雲安全架構師。
有一些迹象顯示,公司在不久的未來将會更加嚴肅地對待雲安全。大多數受訪者(84%)希望增加他們的安全自動化水平,89%的受訪者希望明年能夠增加網絡安全預算。
機器學習能否提供幫助?
雲服務提供商正在努力提高客戶識别和解決潛在威脅的能力。例如,亞馬遜網絡服務(AWS)宣布在2017年推出兩項依靠機器學習來保護客戶資産的服務。
AWS在當年8月份推出了Macie服務,該服務主要側重于PCI、HIPAA和GDPR合規。它們會根據在AmazonS3存儲桶中的用戶内容進行培訓,并在檢測到可疑活動時向客戶發出警報。在11月份發布的AWSGuardDuty使用了機器學習來分析AWSCloudTrail、VPC流日志和AWSDNS日志。與Macie一樣,GuardDuty專注于異常檢測并針對可疑活動向客戶發出警報。
機器學習的有效性取決于由算法和訓練數據組成的模型。這個模型與用于培訓的數據一樣,任何超出模型數據的事件都不會被Macie或GuardDuty等服務檢測到。
也就是說,AWS等雲安全提供商将比任何單個客戶擁有更豐富的數據集。AWS擁有貫穿其整個網絡的可見性,這使得其在正常的和可能是惡意的情況下都能夠更加容易地訓練其機器學習模型。盡管如此,客戶仍需要清楚機器學習不會檢測到機器學習模型中的培訓數據之外的威脅。他們不能僅僅靠Macie和GuardDuty這樣的服務。
誰擁有雲安全?
了解了其中的利害關系,62%的受訪者表示希望他們的安全運營中心(SOC)能夠控制網絡流量和數據以确保在雲環境中得到充分的保護,這就一點也不奇怪了。他們中有一半人将會着手解決對網絡流量和數據的感知。
管理雲環境的群組結構導緻獲得控制權甚至獲得完全可見性對于許多組織機構來說可能是一個挑戰。雖然在69%的受訪者的公司中雲安全由安全操作負責,但雲操作(54%)或網絡操作也會涉及雲安全。這導緻對于誰應當主導雲安全以及團隊間應當如何協作出現了混亂。事實上,48%的受訪者表示,團隊之間缺乏協作是識别和報告違規行為的最大障礙。
Clavel指出:“公司通常将網絡、安全和雲的責任分開。每個部門都有不同的預算和不同的所有權,甚至是不同的管理工具。獲得對雲端的可見性以确保其安全需要打破這三個部門之間的溝通障礙。部署在本地的同樣的安全工具也将能夠保護雲端,因此雲團隊和安全團隊需要溝通。”
哪些人應該關注公司的雲安全?這需要具有專業技能和能夠長期負責的人員或團隊。Govshteyn稱:“需要找到能夠最快地轉向新的雲計算安全模式的人員或團隊,并敦促他們制定未來三到五年的安全策略。”
Govshteyn表示:“在過去的幾年中,這些往往是由IT運營團隊或企業安全團隊負責,但在這一努力的核心中總是有一個架構師級别的個人貢獻者或專門的雲計算安全團隊。這個新的安全專業人員能夠編寫代碼,花費超過80%的時間實現工作的自動化,并将開發團隊視為同行而不是對手。”。他還補充道,在科技公司,安全有時是工程團隊的工作。
盡管目前很多公司的董事會對安全問題非常感興趣,但他們不會提供具體的幫助。他指出:“事實上,涉及雲安全的許多關鍵決策都是由那些能夠跟上公有雲快速發展步伐的技術人員所做出來的。”
超過半數的受訪者(53%)認為保護雲安全的任務将變得更加複雜,原因在于他們的公司并沒有落實雲策略或相關框架。雖然幾乎所有這些公司都打算在未來這麼做,但誰領導這些工作卻不明确。
Clavel稱:“安全和監控工具也将能夠通過利用同一安全交付平台提供更大的靈活性,因此網絡、安全和雲部門需要同意共同承擔安全交付平台的職責。正在将安全與監控整合起來作為SOC的一部分,或是建立共同預算和共享所有權的安全交付平台的公司将獲得更高的靈活性、更快的決策能力,以及本地部署和雲部署相一緻安全性。”
本文作者MichaelNadeau為CSOOnline的資深編輯,他同時還擔任一些介紹公司如何充分利用ERP系統的雜志、書籍和知識庫的發行人與編輯。
原文網址http://www.csoonline/article/3221388/cloudsecurity/how-do-yousecure-the-cloud-newdata-points-a-way.html