《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 如何在復(fù)雜的云環(huán)境中守護(hù)云安全

如何在復(fù)雜的云環(huán)境中守護(hù)云安全

2021-10-26
來源:祺印說信安
關(guān)鍵詞: 云安全

  近年來,隨著云服務(wù)市場(chǎng)的發(fā)展,,不少企業(yè)都開始選擇業(yè)務(wù)上云,。特別是新冠疫情在全球蔓延加快了這一趨勢(shì)。許多企業(yè)不只采用一種云服務(wù),,而是采用多種云相互結(jié)合的方式,例如,公有云,、私有云、混合云等等,。企業(yè)采用多云方式已發(fā)展成當(dāng)今的主流趨勢(shì),。

  然而,業(yè)務(wù)上云之后也并非高枕無憂,。由于云安全策略的制定總是滯后于云服務(wù)的使用,,存儲(chǔ)在云中的客戶數(shù)據(jù)所面臨的泄露風(fēng)險(xiǎn)也相應(yīng)增加。此外,,云服務(wù)還面臨多賬號(hào)權(quán)限管理,、可視化問題以及一系列合規(guī)問題。如何在復(fù)雜的云環(huán)境中守護(hù)云安全成為一個(gè)棘手的問題,。

  由于新冠疫情的蔓延,,加速以云服務(wù)為中心的數(shù)字化轉(zhuǎn)型

  由于新型冠狀病毒的全球蔓延,非接觸的數(shù)字化服務(wù)已經(jīng)在我們的生活中生根發(fā)芽,。遠(yuǎn)程辦公已成為一種普遍的工作環(huán)境,,在線服務(wù)也成為企業(yè)和消費(fèi)者之間具有代表性的服務(wù)方式之一。企業(yè)也順應(yīng)這一趨勢(shì),,為保持業(yè)務(wù)連續(xù)性,,正在使用云服務(wù)來靈活應(yīng)對(duì)快速變化的業(yè)務(wù)環(huán)境。通過云服務(wù),,企業(yè)可以即時(shí)使用自己所需要的基礎(chǔ)設(shè)施,、平臺(tái)、軟件等,,并根據(jù)需要擴(kuò)展各種功能和性能等,,以滿足快速變化的業(yè)務(wù)需求,。只要有可以使用互聯(lián)網(wǎng)的場(chǎng)所和設(shè)備,企業(yè)員工就可以隨時(shí)通過云服務(wù)進(jìn)行業(yè)務(wù)工作,。

  現(xiàn)如今云服務(wù)的形式和類型多種多樣,。例如,存儲(chǔ)文件的云存儲(chǔ)(谷歌驅(qū)動(dòng)器,、N驅(qū)動(dòng)器等),、定制型辦公軟件或企業(yè)集團(tuán)軟件服務(wù)(谷歌G Suite、微軟365,、Gabia Hiworks等)都是一種SaaS(軟件即服務(wù)),。無論是租賃服務(wù)器或存儲(chǔ)設(shè)備等基礎(chǔ)設(shè)施來構(gòu)筑網(wǎng)站或企業(yè)用服務(wù)器基礎(chǔ)設(shè)施,還是企業(yè)為業(yè)務(wù)工作向職員提供的桌面虛擬化(VM軟件,、Citrix等),,都是以云服務(wù)為基礎(chǔ),遠(yuǎn)程向用戶個(gè)人提供一定桌面環(huán)境的“IaaS(基礎(chǔ)設(shè)施即服務(wù))”方式之一,。例如,,當(dāng)前對(duì)我們來說必不可少的疫苗接種預(yù)約系統(tǒng)就是通過云服務(wù)來減少系統(tǒng)負(fù)荷、有效提高工作效率的典型案例,。像這樣,,今天我們?cè)诓恢挥X中正在使用多種云服務(wù)。

  選擇使用云的企業(yè)的一個(gè)共同的目標(biāo)是最大限度地提高效率,。企業(yè)試圖通過基礎(chǔ)設(shè)施階段的靈活處置,,努力尋找優(yōu)化自身服務(wù)和提高工作效率的方法,。服務(wù)環(huán)境不是基于本地原有的應(yīng)用程序,,而是基于云服務(wù)的應(yīng)用方式,開發(fā)最適合云服務(wù)的“云原生”應(yīng)用程序,,最大限度地發(fā)揮容器和無服務(wù)器等云環(huán)境的特點(diǎn),。

  針對(duì)云服務(wù)的安全威脅正在迅速增加

  隨著企業(yè)數(shù)據(jù)中心向云環(huán)境的正式轉(zhuǎn)換,對(duì)云基礎(chǔ)設(shè)施提出了各樣復(fù)雜的安全要求,。那么,,云端發(fā)生的安全事故應(yīng)該由誰來承擔(dān)責(zé)任呢?根據(jù)云運(yùn)營商的責(zé)任共擔(dān)模式(Shared Responsibility),,計(jì)算,、存儲(chǔ)、數(shù)據(jù)庫和互聯(lián)網(wǎng)等硬件及基礎(chǔ)設(shè)施的安全由云運(yùn)營商負(fù)責(zé),,數(shù)據(jù),、應(yīng)用程序、操作系統(tǒng),、網(wǎng)絡(luò)及防火墻設(shè)置等的安全由客戶負(fù)責(zé),。換句話說,,在組織成員缺乏安全意識(shí)的情況下,倉促引進(jìn)云服務(wù),,很容易受到信息泄露或勒索軟件攻擊等各種安全事故的影響,。云端發(fā)生的大多數(shù)安全事故不是來自云服務(wù)提供商,而是來自使用云服務(wù)的企業(yè)本身管理不善,。如果訪問云服務(wù)的憑據(jù)沒有得到妥善管理,,網(wǎng)絡(luò)攻擊者不僅可以訪問和泄露企業(yè)的重要數(shù)據(jù),還可以通過竊取管理者權(quán)限向整個(gè)系統(tǒng)移動(dòng),,并展開勒索軟件攻擊,。

  實(shí)際上,憑據(jù)竊取引發(fā)的安全事件是針對(duì)云服務(wù)的代表性威脅,,攻擊者為此使用網(wǎng)絡(luò)釣魚(Phishing),、憑據(jù)填充(Credential Stuffing)、暴力破解(Brute Force),、字典攻擊(Dictionary Atttack)等多種手段竊取憑據(jù),。此外,安全設(shè)置不足也是常見的云安全事件,。有通過云計(jì)算運(yùn)營的企業(yè)數(shù)據(jù)庫在公開的路徑上發(fā)布后暴露給外部的事例,,也有未應(yīng)用MFA(多要素認(rèn)證)等訪問控制策略,從而導(dǎo)致來自內(nèi)部和外部的未授權(quán)擅自訪問的情況,。說得簡(jiǎn)單點(diǎn),,如果把門鎖密碼設(shè)定為1234,就很容易被盜,。

  據(jù)韓國《安全新聞》和《安全世界》近期進(jìn)行問卷調(diào)查結(jié)果顯示,,在受訪企業(yè)中,79.51% 的韓國企業(yè)已經(jīng)使用了云服務(wù)(46.46%)或計(jì)劃在未來使用云服務(wù)(33.07%),。但同時(shí)他們也表明了對(duì)數(shù)據(jù)泄露,、管理疏漏、運(yùn)營能力不足等安全方面的擔(dān)憂,。

  加強(qiáng)云環(huán)境安全的首選——CWPP(云工作負(fù)載保護(hù)平臺(tái))

  由于“云安全”的概念所涉范圍非常廣,,目前比較流行的是Gartner公司提出三類云安全產(chǎn)品——CASB(Cloud Access Security Brocker,云訪問安全代理),、CSPM(Cloud Security Posture Management,,云安全態(tài)勢(shì)管理)和CWPP(Cloud Workload Protection Platform,云工作負(fù)載保護(hù)平臺(tái)),。

  CASB是Gartner公司在2012年提出的概念,,是一種部署在云端和用戶之間以監(jiān)視所有活動(dòng)并應(yīng)用安全策略的解決方案。確保云和應(yīng)用程序的可視性,,實(shí)現(xiàn)數(shù)據(jù)保護(hù)及支配結(jié)構(gòu)來控制用戶訪問,,同時(shí)保護(hù)企業(yè)數(shù)據(jù)資產(chǎn),。

  CSPM是一種評(píng)估及管理云服務(wù)配置風(fēng)險(xiǎn)因素的解決方案,能夠自動(dòng)識(shí)別錯(cuò)誤的安全配置或合規(guī)性問題并進(jìn)行警告,。Gartner將CSPM描述為一種自動(dòng)化安全并確保合規(guī)性的安全產(chǎn)品,。通過這些可以減少數(shù)據(jù)泄露的可能性,保護(hù)云環(huán)境,。

  CWPP是一種以服務(wù)器工作負(fù)載為中心的安全解決方案,,其主要目的是確保對(duì)工作負(fù)載的可視性并防止攻擊。根據(jù)Gartner的說法,,CWPP應(yīng)對(duì)物理計(jì)算機(jī),、虛擬機(jī)器、容器,、無服務(wù)器工作負(fù)載等提供統(tǒng)一的控制和可視化服務(wù),。此外,它還應(yīng)該能夠通過保護(hù)系統(tǒng)完整性,、細(xì)化訪問區(qū)域的網(wǎng)絡(luò)分段,、保護(hù)內(nèi)存、監(jiān)控用戶行為,、防止基于主機(jī)入侵和阻止惡意軟件等,,保護(hù)工作負(fù)載免受在程序運(yùn)行區(qū)域發(fā)生的攻擊。

  一般來說,,傳統(tǒng)環(huán)境下使用的技術(shù)很難完全應(yīng)用于云環(huán)境中,。在傳統(tǒng)和封閉的企業(yè)環(huán)境下開發(fā)的應(yīng)用程序及基礎(chǔ)設(shè)施無法完全轉(zhuǎn)移到云端。此外,,大部分人不僅使用私人云,,還使用多云或混合云環(huán)境,該環(huán)境使用來自多個(gè)供應(yīng)商的云服務(wù),。在這種多云環(huán)境下,,安全負(fù)責(zé)人確認(rèn)和管理組織應(yīng)用程序和數(shù)據(jù)所在的位置將會(huì)變得更加復(fù)雜,。尤其是最近,,越來越多的公司開始采用DevOps文化,通過開發(fā)和運(yùn)營組織之間的有機(jī)協(xié)作來快速解決問題,。在這種企業(yè)文化中,,軟件和服務(wù)的開發(fā)和部署速度比過去更快,安全人員需要管理的點(diǎn)也更多,。

  為了在這樣的環(huán)境中使用企業(yè)服務(wù),,必須確保對(duì)工作負(fù)載保持統(tǒng)一的可視化。為此,,應(yīng)將應(yīng)用軟件和服務(wù)放在安全計(jì)劃中心,。CWPP支持在日益復(fù)雜的云環(huán)境下,,在單一控制臺(tái)中確保對(duì)多個(gè)云服務(wù)的可視化,并可進(jìn)行安全控制管理,。這完全符合企業(yè)對(duì)云環(huán)境安全的需要,。

  全面的 CWPP 解決方案使安全人員能夠發(fā)現(xiàn)部署在私有云和公有云環(huán)境中的工作負(fù)載,并對(duì)工作負(fù)載進(jìn)行漏洞評(píng)估,。根據(jù)漏洞評(píng)估結(jié)果,,不僅可以進(jìn)行完整性保護(hù)、白名單,、內(nèi)存保護(hù)以及防止基于主機(jī)的入侵等安全措施,,還可以根據(jù)需要進(jìn)行勒索軟件檢測(cè)。隨著環(huán)境的變化,,越來越多的企業(yè)從CWPP入手,,它已成為云環(huán)境安全的基礎(chǔ)。

  Gartner定義的CWPP解決方案的8大主要功能:

  1,、加固,、配置和漏洞管理(Hardening, Configuration and Vulnerability Management):主要以工作負(fù)載環(huán)境的系統(tǒng)配置和漏洞分析功能的形式提供,檢查并管理當(dāng)前工作負(fù)載正在使用的應(yīng)用,、操作系統(tǒng)環(huán)境的漏洞,。

  2、網(wǎng)絡(luò)防火墻,、確??梢暬拔⒎侄危∟etwork Firewalling, Visibility and Micro segmentation):提供基于工作負(fù)載的防火墻功能,以保護(hù)每個(gè)工作負(fù)載免受外部侵害,。

  3,、保障系統(tǒng)完整性(System Integrity Assurance):檢查工作負(fù)載中每個(gè)指定環(huán)境設(shè)置的完整性或?qū)崟r(shí)監(jiān)控系統(tǒng)文件、配置和權(quán)限的完整性,。

  4,、應(yīng)用控制/白名單(Application Control/Whitelisting):通過控制應(yīng)用程序運(yùn)行來增強(qiáng)安全性,通?;诎酌麊蝸砜刂茟?yīng)用程序的運(yùn)行,。

  5、預(yù)防漏洞利用/內(nèi)存保護(hù)(Exploit Prevention/Memory Protection):防范操作系統(tǒng)及可執(zhí)行應(yīng)用漏洞,,保護(hù)服務(wù)器工作負(fù)載免受惡意代碼驅(qū)動(dòng)內(nèi)存等文件攻擊等,。

  6、服務(wù)器工作負(fù)載端點(diǎn)檢測(cè)與響應(yīng)(EDR),、行為監(jiān)控和威脅檢測(cè)與響應(yīng)(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response):通過監(jiān)控網(wǎng)絡(luò)通信,、進(jìn)程啟動(dòng)等檢測(cè)并應(yīng)對(duì)可疑行為。通過基于主機(jī)的代理方式檢測(cè)或以云服務(wù)運(yùn)營商提供的網(wǎng)絡(luò)數(shù)據(jù)等信息為基礎(chǔ)進(jìn)行檢測(cè)和應(yīng)對(duì),。

  7,、基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-Based IPS With Vulnerability Shielding):通過分析流入工作負(fù)載環(huán)境的網(wǎng)絡(luò)流量來檢測(cè)并阻止攻擊,,并通過運(yùn)行基于主機(jī)的操作來保護(hù)服務(wù)器免受虛擬環(huán)境和容器環(huán)境下發(fā)生的網(wǎng)絡(luò)攻擊及各種漏洞攻擊。

  8,、反惡意軟件掃描(Anti-malware Scanning):基于簽名,,檢測(cè)和阻止惡意軟件并滿足相關(guān)合規(guī)要求。

  Gartner公司簡(jiǎn)介

  Gartner(高德納,,又稱為顧能公司,,NYSE: IT and ITB)公司是全球最具權(quán)威的IT研究與顧問咨詢公司,成立于1979年,,總部設(shè)在美國康涅狄克州斯坦福+,。其研究范圍覆蓋全部IT產(chǎn)業(yè),就IT的研究,、發(fā)展,、評(píng)估、應(yīng)用,、市場(chǎng)等領(lǐng)域,,為客戶提供客觀、公正的論證報(bào)告及市場(chǎng)調(diào)研報(bào)告,,協(xié)助客戶進(jìn)行市場(chǎng)分析,、技術(shù)選擇、項(xiàng)目論證,、投資決策,。為決策者在投資風(fēng)險(xiǎn)和管理、營銷策略,、發(fā)展方向等重大問題上提供重要咨詢建議,,幫助決策者做出正確抉擇。

  在全球的IT產(chǎn)業(yè)中,,Gartner公司以其公認(rèn)的權(quán)威性和擁有包括供應(yīng)商,、生產(chǎn)廠商、系統(tǒng)集成商,、咨詢公司,、銀行、金融機(jī)構(gòu),、能源交通,、政府部門及其它領(lǐng)域等超過11,000個(gè)客戶機(jī)構(gòu)而獨(dú)占鰲頭。其公司客戶幾乎囊括了絕大部分世界級(jí)大公司,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]