怎样确保云的安全?新的数据指出了一条路

2017-09-27 18:09MichaelNadeau
计算机世界 2017年37期
关键词:安全策略应用程序威胁

Michael+Nadeau

编译 Charles

两份新报告显示,公有、私有和混合云部署风险有很大差异。本文为成功实现云安全策略所需的工具、信息和组织结构提供了一些建议。

数据和服务向云端的迁移促使很多企业重新考虑他们的网络安全方法。他们需要云安全策略吗?云安全策略有什么不同?最近的两项调查揭示了安全策略是怎样改变的,更重要的是,应该怎样改变。

把更多的IT基础设施放到云中在某些方面要比放在本地更安全。例如,您能够比较有把握地确定系统正在运行最新版本,而且打上了适当的补丁。然而,这也带来了新的风险,其中一些是由于不能正确理解怎样管理云安全造成的。

重要的是要知道一个公司的云IT策略——无论是混合型的,私有托管的,还是公有的,都会影响其网络安全策略以及策略的具体执行。

什么是云安全风险?

来自云安全提供商Alert Logic的数据揭示了每种形式的云环境与本地数据中心相比所具有的风险特点和风险大小。18个月来,该公司分析了3,800多家客户的147拍字节数据,对安全事件进行量化和分类。在此期间,确定了220多万个真正的安全事件。主要发现包括:

● 每名客户平均经历最多的事件是在混合云环境下,数量达到977,其次是托管私有云(684)、本地数据中心(612)和公有云(405)。

● 迄今为止,最常见的事件类型是Web应用程序攻击(75%),其次是暴力破解攻击(16%)、侦察(5%),以及服务器端勒索攻击(2%)。

● Web应用程序攻击最常见的途径是SQL(47.74%)、Joomla(26.11%)、Apache Struts(10.11%),以及Magento(6.98%)。

● WordPress是最常见的暴力破解对象,达到41%,其次是MS SQL,为19%。

无论是公有的、私有的还是混合云环境,Web应用程序威胁都是最主要的攻击,它们之间的不同之处在于所面临的风险等级。Alert Logic的联合创始人Misha Govshteyn说:“作为防御方,Alert Logic在高效地保护公有云方面有很强的能力,因为我们能够清楚地看到那些试图隐藏起来的攻击,并一举抓获它们。当我们发现公有云环境中的安全事件时,我们知道必须非常小心,因为它们通常会非常安静。”

数据表明,某些平台要比其他平台更容易受到攻击。Govshteyn说:“虽然您尽了最大努力,这也会使您容易遭受攻击。”作为一个例子,他指出,与流行的看法不同,LAMP堆栈要比基于微软的应用程序堆栈更容易受到攻击。他认为PHP应用程序也是一个热点。

Govshteyn说:“内容管理系统,特别是WordPress、Joomla和Django,作为Web应用程序平台,很多人对此并不了解,这些系统有很多漏洞。只有当您了解开发团队要使用哪种Web框架和平台时,才有可能保持这些系统安全。大多数安全人员很少注意到这些细节,而是根据糟糕的假设来做出决定。”

为了减少云威胁的影响,Alert Logic提出了三个关键建议:

● 依靠应用程序白名单来阻止未知程序。这包括对企业中使用的每一应用程序进行风险与价值评估。

● 了解自己打补丁的过程,并考虑哪些补丁应优先部署。

● 限制基于当前用户职责的管理和访问权限。这需要为应用程序和操作系统更新保留权限。

怎樣保护云

据市场研究公司VansonBourne的调查(由网络监控解决方案提供商Gigamon提供赞助),73%的受访者预计他们的大部分应用程序工作负载将在公有云或者私有云中。然而,35%的受访者希望以“完全相同的方式”来处理网络安全问题,即就像在本地操作一样。其余受访者虽然不愿意改变,但他们知道除了改为云安全策略之外别无选择。

当然,并非所有公司都会把敏感或者关键的数据迁移到云端,因此,对他们来说,没有太多的理由去改变策略。然而,很多公司都在迁移关键的和私有的公司信息(56%)和营销资产(53%)。47%希望在云上有个人身份信息,这也是由于受到欧盟GDPR等新的隐私法规的影响。

据Govshteyn,企业应从以下三个主要方面关注自己的云安全策略:

1. 工具。部署在云环境中的安全工具必须是云原生的,能够保护Web应用程序和云工作负载。Govshteyn说:“设计用于端点保护的安全技术重点都集中在云中并不常见的一些攻击途径上,不能很好地应对OWASP 10大威胁——这些威胁占据了所有云攻击的75%。”他指出,端点威胁主要针对Web浏览器和客户端软件,而基础设施威胁的目标则是服务器和应用程序框架。

2. 架构。考虑云带来的安全和管理优势,重新定义您的架构,而不要采用与传统数据中心相同的架构。Govshteyn说:“现在我们有数据表明,纯公有环境能够让企业降低安全事件发生率,但只有使用云功能来设计更安全的基础设施后,才能实现这一点。”他建议在自己的虚拟私有云中隔离每一应用程序或者微服务,从而尽可能限制入侵影响范围。“像雅虎出现的泄露事件,就是从简单Web应用程序作为初始入侵途径开始的,所以最不重要的应用程序常常会成为您最大的问题。”另外,不要在云部署中给漏洞打补丁。相反,部署新的云基础设施,运行最新的代码,逐步拆除老的基础设施。Govshteyn说:“只有自动部署才能做到这一点,您能够加强对基础设施的控制,而这在传统数据中心是无法实现的。”

3. 连接点。找到您的云部署与运行老代码的传统数据中心的连接点。他说:“这些可能是问题的最大来源,因为我们看到最明显的趋势是,混合云部署更有可能出现安全事件。”

企业并没有必要针对云去改变现有的所有安全策略。Gigamon产品营销高级经理Tom Clavel说:“在云端和本地使用相同的安全策略——例如,用于取证和威胁检测的深度内容检查功能,这是不错的主意。企业之所以这样,主要是为了保持他们安全架构之间的一致性,尽量避免安全状况出现缺陷。”

Clavel补充说:“难点在于他们怎样访问网络数据流以便进行这类监测。虽然在本地可以采用各种方式访问这些数据,但在云中却不行。而且,即使他们能够访问数据流,通过管道把信息回传给本地工具进行监测,如果没有智能化,这会极其昂贵,而且适得其反。”

云的可视化问题

VansonBourne受访者抱怨的是,云的安全环境中有可能出现盲点。总体上,一半的人认为云会“隐藏”有助于他们发现威胁的信息。他们还说,采用云之后,他们不能掌握很多信息,例如,哪些数据被加密了(48%),不安全的应用程序和数据流(47%),以及SSL/TLS证书有效性等(35%)。

49%的调查受访者认为,混合云环境更不利于可视化,因为在这种环境下,安全部门看不到数据实际存储在哪里。78%的受访者声称,一些孤立的数据,有的掌握在安全运营部门那里,而有的在网络运营部门那里,这加大了数据寻找工作的难度。

安全部门的可视化受限不仅体现在数据上。67%的VansonBourne受访者表示,网络盲点阻碍了他们保护自己的企业。为增强可视化,Clavel建议首先确定您希望怎样组织和实施您的安全环境。他说:“全部在云中,还是从本地部署延伸到云中?在这两种情况下,确保完全能够看到应用程序的网络数据流是您安全策略的核心。看到的越多,就越安全。”

Clavel补充说:“为满足可视化需求,应找到一种方法来采集、汇集和优化网络数据流,将其发送给您的安全工具——无论它们是入侵检测系统(IDS)、安全信息和事件管理(SIEM)、取证、数据丢失防护(DLP)、高级威胁检测(ATD)等工具,或者同时所有这些。最后,添加SecOps进程,即使您的云部署规模不断增长,也能够自动进行可视化操作,对检测到的威胁做好防护。”

这些盲点和较差的信息可视化问题会带来GDPR合规问题。66%的受访者表示,缺少可视化功能将导致很难遵守GDPR。只有59%的受访者认为他们的企业在2018年5月之前能够准备好GDPR。

谁拥有云安全?

考虑到所面临的威胁,也就能够理解为什么62%的受访者希望他们的安全运营中心(SOC)能够控制好网络流量和数据,以确保在云环境中保护好数据。有一半的受访者认为应加强网络流量和数据方面的安全意识。

很多企业由于管理云环境的部门结构问题,导致很难实现控制或者全面可视化。在69%的受访者中,由安全运营部门负责企业的云安全,这些部门也涉及云运营(54%)和网络运营。这带来的问题是,到底由谁负责云安全,部门之间应怎样协作。事实上,48%的受访者表示,部门之间缺乏协作是发现并报告泄露事件的最大障碍。

Clavel说:“通常,企业把责任分摊给网络、安全和云部门。但每一部门都有不同的预算、不同的所有权,甚至有不同的工具来管理安全问题。如果希望通过增强云的可视化以保证其安全,则需要破除这三个部门之间的交流障碍。本地部署的同样的安全工具也能保证云的安全——因此,云部门和安全部门之间应进行沟通。”

什么类型的人才能负起企业的云安全责任?需要的是有合适的技能和能力而且能长期工作的人才或者团队。Govshteyn说:“找到能让您尽快实现云安全的人才或者团队,支持他们规划好未来三到五年的安全策略。”

Govshteyn说:“在过去的几年中,这往往是IT运维部门或者企业安全部门的工作,但总有架构师级的个人或者专业的云安全团队成为这项工作的核心。这些新一代的安全专业人员能够编写代码,花费80%以上的时间实现其工作的自动化,把研发部门看成是自己的同事,而不是对手”,他还补充说,在科技公司,安全有时是工程部门的职能。

尽管董事会现在对安全非常感兴趣,但从根本上看,他们还是帮不上忙。他说:“事实上,目前涉及到云安全问题的大部分關键决策是由技术人员做出的,只有他们能够跟上公有云的快速发展。”

超过一半(53%)的受访者认为,企业没有实施云策略或者框架的原因是云安全工作太复杂了。虽然几乎所有这些企业都计划未来会加强安全工作,但还不清楚应该由谁来负责。

Clavel说:“安全和监测工具也可以利用相同的安全交付平台来提高灵活性——那么,网络、安全和云部门也应同意共同承担安全交付平台的责任。企业把巩固自己的安全和监控活动作为SOC的一部分工作,或者至少为安全交付平台建立共同预算,共享所有权,这类企业能够更灵活、更快的做出决策,保证本地部署和云部署同样安全。”

Michael Nadeau是CSO在线的高级编辑。他是杂志、书籍和知识库出版商和编辑,帮助企业充分发挥其ERP系统的优势。

原文网址:

http://www.csoonline.com/article/3221388/cloud-security/how-do-you-secure-the-cloud-new-data-points-a-way.html

猜你喜欢
安全策略应用程序威胁
基于认知负荷理论的叉车安全策略分析
基于飞行疲劳角度探究民航飞行员飞行安全策略
人类的威胁
删除Win10中自带的应用程序
谷歌禁止加密货币应用程序
受到威胁的生命
面对孩子的“威胁”,我们要会说“不”
浅析涉密信息系统安全策略
如何加强农村食盐消费安全策略