最新的研究报告显示,公有云、私有云和混合云部署面临的风险有着巨大的。以下关于工具、信息和组织结构的建议是执行一个成功的云安全策略所必须的。
将数据和服务向云端迁移,让许多公司开始重新审视他们的网络安全措施。他们是否需要一个云安全策略?云安全策略的区别之处在哪里?近期的调查揭示了安全策略正在如何变化,更为重要地是调查揭示了它们应当如何改变。
将更多的基础设施部署在云端,在某种程度上比部署在本地更为安全。例如,你能够确认系统正在运行带有适当补丁的最新版本。云服务提供商也能够创建如使用机器语言进行异常检测等新功能。尽管如此,这也带来了一些新的风险,其中一些是由于对如何管理云安全的误解所造成的。
了解公司的IT策略(无论它们是混合云、私有托管云还是公有云)如何影响公司的网络安全策略以及该策略的具体执行情况非常重要。
云安全风险是什么?
通过与本地数据中心对比,云安全提供商Alert Logic的数据展示了各种形式的云环境的风险性质与数量。在18个月的时间内,为了对安全事件进行量化和分类,该公司分析了来自3800多名客户的147PB数据。在上述时间段内,他们识别了2200多万起客户真正积极应对的安全事件。重要发现包括:
混合云环境发生的安全事件平均数量最高,每名客户为977起,后面依次是托管私有云(684起)、本地数据中心(612起)和公共云(405起)。
迄今为止,最常见的安全事件类型是Web应用攻击(75%),后面依次是暴力破解攻击(16%)、侦测(5%)和服务器端勒索软件(2%)。
Web应用攻击最常见的攻击向量是SQL(74%)、Joomla(26.11%)、Apache Struts(10.11%)和Magento(6.98%)。
WordPress是最常见的暴力破解攻击目标(41%),其次是MS SQL(19%)。
无论是公有云、私有云还是混合云环境,Web应用威胁均为主要威胁。它们之间的区别是公司所面临的风险水平。Alert Logic的联合创始人Misha Govshteyn称:“作为防御方,在Alert Logic,我们有效保护公有云的能力更高一筹,因为我们能够看到一个更出色的信噪比并追猎低噪音攻击。当我们看到在公有云环境中发生安全事件时,我们知道自己必须要提高警惕了,因为它们通常比较隐秘。”
数据显示,一些平台比其他平台更加易受攻击。Govshteyn称:“尽管你尽了最大的努力,但平台增加了你的受攻击面。”他举例称,LAMP堆栈比基于微软的应用堆栈更加易受攻击。”此外,他还将PHP应用视为一个热点。
Govshteyn称:“内容管理系统,尤其是Wordpress、Joomla和Django被作为Web应用的平台,其安全性的脆弱程度大大超出了大多数人的想象,并且存在着许多漏洞。确保这些系统的安全性是有可能的,但条件是你必须要清楚开发团队倾向于使用什么Web框架和平台。大多数安全人员很少关注这些细节,他们往往根据一些糟糕的假设做出决定。”
为了最大限度地降低云威胁的影响,Alert Logic给出了三个主要建议:
依靠应用白名单来阻止对未知程序的访问。这其中包括对组织机构中使用的每个应用程序进行风险与价值评估。
清楚自己的打补丁程序并优先安装补丁程序。
根据当前用户的职责限制管理和访问权限。这需要将应用和操作系统的权限始终保持最新状态。
如何保护云安全
根据一份由网络监控解决方案提供商Gigamon赞助,市场研究机构VansonBourne实施的调查显示,73%的受访者希望他们的大部分应用工作负载运行在公有云或私有云上。在这部分受访者中,35%的人希望以与处理本地操作“完全相同的方式”处理网络安全。其余的人尽管不愿意进行改变,但是他们相信自己别无选择,只能改变他们的云安全策略。
诚然,并不是每个公司都会把敏感或关键的数据迁移到云端,因此对于他们来说,没有多少理由可以让他们改变策略。但是,大多数公司正在迁移关键和专有的公司信息(56%)或营销资产(53%)。受欧盟《通用数据保护条例》(GDPR)等新隐私法规所带来的影响,47%的人希望在云端拥有个人身份信息。
Govshteyn认为公司应将云安全策略的重点放在以下三个主要领域:
1.工具。部署在云环境中的安全工具必须是云原生的,并且能够保护Web应用和云工作负载。 Govshteyn称:“针对端点保护的安全技术将重点放在了云端并不常见的攻击向量上,并且没有足够的能力应对OWASP(开放式Web应用安全项目)所列出的十大威胁,而这些威胁占到所有云攻击的75%。”他还强调称,端点威胁针对的是Web浏览器和客户端软件,而基础设施威胁的目标则是服务器和应用框架。
2.架构。围绕云提供的安全和管理优势定义你的架构,而不是使用与传统数据中心相同的架构。Govshteyn称:“现在我们有数据表明,纯公共环境可以降低企业发生安全事件的概率,但只有使用云功能来设计更安全的基础架构才能实现。”他建议企业将每个应用或微服务隔离在自己的虚拟私有云中,这样可以减少任何入侵的影响范围。“例如雅虎数据泄露等重大数据泄露事件在一开始将不起眼的Web应用作为初始入口向量,因此不重要的应用往往会成为最大的问题。”另外,不要在云部署中修补漏洞。相反,应当部署运行最新代码的新的云基础设施,并停用老旧的基础设施。Govshteyn称:“只有在部署实现自动化的情况下才能做到这一点。你将获得的基础设施控制级别是在传统数据中心永远无法实现的。”
3.连接点。确定云部署与运行传统代码的传统数据中心相互连接的点。他指出:“这些很可能是最大的问题来源,因为我们看到一个明显的趋势,即混合云部署可能会遭遇大部分安全事件。”
企业现有的所有安全策略并非必须都要为云进行修改。Gigamon产品营销高级经理Tom Clavel称:“对云使用与本地部署相同的安全策略,例如用于取证的深度内容检测和威胁检测本身并不是一个坏主意。使用这种方式的企业通常是为了在安全架构之间寻求一致性,以减少安全状况的差距。”
Clavel补充道:“这一工作面临的挑战是如何获得网络流量来进行这种检测。尽管这些数据可以通过多种方式在本地获得,但在云端却无法做到。另外,即使他们能够获得流量,在没有智能的情况下,将信息回传至本地工具以进行检测的成本非常高并且会适得其反。”
云的可见性问题
在VansonBourne的调查中,受访者抱怨称,云可能会在安全领域制造盲点。总体而言,半数的受访者称云会“隐藏”那些让他们能够识别威胁的信息。他们还表示他们在云端错过了一些信息,如哪些东西正在被加密(48%)、不安全的应用或流量(47%)、SSL/TLS证书有效性(35%)等的信息。
在调查中,49%的受访者表示,混合云环境进一步阻碍了可见性,因为它能够阻止安全团队看到数据实际存储位置。78%的受访者称,孤立的数据(一些由安全操作部门掌控,另一部分由网络操作部门掌控)使得查找数据变得更加糟糕。
并非仅仅数据如此,安全团队的可见性也受到了限制。在VansonBourne的调查中, 67%的受访者表示,网络盲点阻碍了他们保护公司数据的安全。为了获得更好的可见性,Clavel建议首先要确定自己希望如何组织和实现安全状态。他指出,“是完全都在云端,还是从本地扩展到云端呢?在这两种情况下,确保应用的网络流量的完全可见性是安全策略的核心。你看到得越多,能够保护得就越多。”
Clavel补充道:“为了解决可见性需求,找到一种方法以获取、汇聚并优化网络流量到你的安全工具上,无论它们是入侵检测系统(IDS)、安全信息和事件管理(SIEM)、取证、数据丢失防护(DLP)、高级威胁检测(ATD),亦或同时进行所有这些检测。最后,添加SecOps程序实现可见性和安全性的自动化以抵御检测到的威胁。”
这些盲点和低信息可见性可能会导致GDPR合规性问题。66%的受访者表示,缺乏可见性会使得落实GDPR合规性变得困难重重。只有59%的受访者认为他们的组织机构已经做好了在2018年5月最后期限前落实GDPR的准备。
安全策略和实践无法跟上云部署的步伐
甲骨文与毕马威的《2018年云威胁报告》显示,87%的公司目前制定了云优先战略,90%的公司表示他们在云端上的数据有一半为敏感数据。该报告的数据显示,尽管这些公司在以一种激进的方式部署云,但是安全实践和规章制度似乎并没有跟上。
甲骨文/毕马威的报告数据来自对全球450个网络安全公司和专业人员展开的调查。受访者明确表示对云安全感到担忧,但是大部分受访者还未采取显著的措施以降低云端上敏感数据的风险。
82%的网络主管认为他们的员工没有遵守云安全程序。另外,86%的受访者无法收集和分析他们的大部分安全事件数据。
仅38%的受访者表示检测和响应云安全事件是他们首要的网络安全挑战。
仅41%的受访公司拥有专业的云安全架构师。
有一些迹象显示,公司在不久的未来将会更加严肃地对待云安全。大多数受访者(84%)希望增加他们的安全自动化水平,89%的受访者希望明年能够增加网络安全预算。
机器学习能否提供帮助?
云服务提供商正在努力提高客户识别和解决潜在威胁的能力。例如,亚马逊网络服务(AWS)宣布在2017年推出两项依靠机器学习来保护客户资产的服务。
AWS在当年8月份推出了Macie服务,该服务主要侧重于PCI、HIPAA和GDPR合规。它们会根据在Amazon S3存储桶中的用户内容进行培训,并在检测到可疑活动时向客户发出警报。在11月份发布的AWS GuardDuty使用了机器学习来分析AWS CloudTrail、VPC流日志和AWS DNS日志。与Macie一样,GuardDuty专注于异常检测并针对可疑活动向客户发出警报。
机器学习的有效性取决于由算法和训练数据组成的模型。这个模型与用于培训的数据一样,任何超出模型数据的事件都不会被Macie或GuardDuty等服务检测到。
也就是说,AWS等云安全提供商将比任何单个客户拥有更丰富的数据集。AWS拥有贯穿其整个网络的可见性,这使得其在正常的和可能是恶意的情况下都能够更加容易地训练其机器学习模型。尽管如此,客户仍需要清楚机器学习不会检测到机器学习模型中的培训数据之外的威胁。他们不能仅仅靠Macie和GuardDuty这样的服务。
谁拥有云安全?
了解了其中的利害关系,62%的受访者表示希望他们的安全运营中心(SOC)能够控制网络流量和数据以确保在云环境中得到充分的保护,这就一点也不奇怪了。他们中有一半人将会着手解决对网络流量和数据的感知。
管理云环境的群组结构导致获得控制权甚至获得完全可见性对于许多组织机构来说可能是一个挑战。虽然在69%的受访者的公司中云安全由安全操作负责,但云操作(54%)或网络操作也会涉及云安全。这导致对于谁应当主导云安全以及团队间应当如何协作出现了混乱。事实上,48%的受访者表示,团队之间缺乏协作是识别和报告违规行为的最大障碍。
Clavel指出:“公司通常将网络、安全和云的责任分开。每个部门都有不同的预算和不同的所有权,甚至是不同的管理工具。获得对云端的可见性以确保其安全需要打破这三个部门之间的沟通障碍。部署在本地的同样的安全工具也将能够保护云端,因此云团队和安全团队需要沟通。”
哪些人应该关注公司的云安全?这需要具有专业技能和能够长期负责的人员或团队。 Govshteyn称:“需要找到能够最快地转向新的云计算安全模式的人员或团队,并敦促他们制定未来三到五年的安全策略。”
Govshteyn表示:“在过去的几年中,这些往往是由IT运营团队或企业安全团队负责,但在这一努力的核心中总是有一个架构师级别的个人贡献者或专门的云计算安全团队。这个新的安全专业人员能够编写代码,花费超过80%的时间实现工作的自动化,并将开发团队视为同行而不是对手。”。他还补充道,在科技公司,安全有时是工程团队的工作。
尽管目前很多公司的董事会对安全问题非常感兴趣,但他们不会提供具体的帮助。他指出:“事实上,涉及云安全的许多关键决策都是由那些能够跟上公有云快速发展步伐的技术人员所做出来的。”
超过半数的受访者(53%)认为保护云安全的任务将变得更加复杂,原因在于他们的公司并没有落实云策略或相关框架。虽然几乎所有这些公司都打算在未来这么做,但谁领导这些工作却不明确。
Clavel称:“安全和监控工具也将能够通过利用同一安全交付平台提供更大的灵活性,因此网络、安全和云部门需要同意共同承担安全交付平台的职责。正在将安全与监控整合起来作为SOC的一部分,或是建立共同预算和共享所有权的安全交付平台的公司将获得更高的灵活性、更快的决策能力,以及本地部署和云部署相一致安全性。”