与网络安全公司的首席技术官相比,还有谁能更好地获得有关如何保护企业云的建议?
将业务迁移到云的企业将具有一些显着优势:冗余,成本节约和易于集成,但是在云中托管应用程序存在许多挑战和安全风险。对于公司CTO和CISO而言,缺乏可见性,内部或外部威胁可能会泄露数据,而合规性则令人担忧。但问题不是唯一的问题。他们还发现,与将安全性和合规性真正集成到云中相比,加强安全性往往是一个死胡同,而许多公司已经攻击传统的本地安全控制,需要更加主动和全面。在对云安全有效性至关重要的所有领域实现适当级别的控制实施,覆盖和成熟度的方法。
云安全:每个技术领导者都需要了解的内容
本文将分析公司如何更有效地保护云中的信息。以下最佳实践和见解源于保护财富100强公司免受数据泄露的经验,应该成为寻求增强其在云中的信息安全态势的公司的首要考虑因素。
部署并验证数据丢失防护
迁移到云的公司最重要的考虑因素之一是部署和验证数据丢失防护(DLP)功能。对于任何软件即服务(SaaS)解决方案(包括Office 365,Amazon Web Services,Salesforce或Workday),实施有效数据丢失防护(DLP)的第一步是建立数据标签实践。由于数据丢失防护(DLP)解决方案依赖于正则表达式或基于模式的搜索来识别和防止数据丢失,因此无法通过无效的数据标记实践来防止泄漏风险。建议公司以最大的灵敏度处理未标记的文档,并通过创建严格的数据丢失防护(DLP)策略来防止它们离开企业。这可以通过自动隔离违反这些策略的文件来完成。
维护敏感数据安全性的组织需要评估由云访问安全客户端(CASB)解决方案提供的基于主机的敏感数据发现解决方案和/或基于网络的数据丢失防护(DLP)。云访问安全客户端(CASB)能够检查云计算环境中的所有客户端到服务器流量,以揭示隐藏在传输层安全性(TLS)加密通信中的威胁或恶意文件。云访问安全客户端(CASB)还使系统管理员能够检测从云计算到恶意命令和控制(C2)服务器的未授权网络呼叫。 Cloud Access Security Agent(CASB)工具提供的审核功能可以轻松地与内部企业分层防御集成。此集成提供了用于企业威胁防护的控制平台的单一视图。大型跨国公司需要有效保护敏感数据免受泄密,但可能缺乏对其各种云计算解决方案足迹的完整理解。这使得完全受企业保护的数据丢失防护(DLP)覆盖几乎无法实现。借助有效的身份和访问管理实践(如单点登录和粒度授权),企业可以通过有效的身份和访问管理实践(如单点登录和粒度授权)实现对云占用空间的更大可见性。这些控制可帮助组织确保云访问安全代理(CASB)检查通过各种云计算解决方案的敏感流量。
最近的安全漏洞突出了与未能实现细粒度授权以访问包含敏感信息的文件相关的风险。企业有效限制对授权组成员的访问权限至关重要。实施安全策略时,系统管理员还需要考虑为组织中的每个组执行CRUD(“创建,读取,更新和删除”)和下载功能。除此之外,必须向临时员工授予条件访问权限,以确保访问仅限于组织批准的设备。
成熟的身份和访问管理控制
身份和访问管理(IAM)功能对于在云中实现成熟的信息安全状态是必不可少的。作为起点,组织应考虑单点登录(SSO),访问请求以及企业和员工自有设备的身份验证以及特权访问管理。
有效身份和访问管理(IAM)计划的基本原则是通过集中化可以最有效地实现和维护安全性。单点登录(SSO)是一种在不同平台之间统一用户身份验证的机制。此概念的一个示例提供单一控制平台视图,以了解谁在验证企业服务器,同时促进更有效的员工进入和退出。此外,单点登录(SSO)通过实施多重身份验证(MFA)为更严格的身份验证奠定了基础。
同样,组织应考虑从身份和访问管理(IAM)的角度集中管理应用程序的计划(例如访问请求和身份验证以及定期用户访问审核)。根据经验,此类程序可以提高整体身份和访问管理(IAM)的成熟度,并确保为应用程序和用户正确实施安全策略。
人们还将特权访问管理(PAM)视为身份和访问管理(IAM)状态的核心。特权访问管理(PAM)可帮助组织限制和监控云中特权帐户(包括服务帐户)的使用,以降低特权凭据被攻击者滥用的风险。人们已经看到财富100强公司的特权凭证被黑客攻击并被滥用以在网络上种植远程shell。可以通过实施更精细的身份和访问管理(IAM)策略来防止这些攻击。通过强大的端到端加密保护静态数据和传输
在设计云安全策略时,组织需要确定如何使用强大的端到端加密来保护传输中的静态数据和数据。
保护云中静态数据的最关键方面是保护云计算服务提供商提供的密钥。许多公司未能安全地处理这些密钥。即使在最大的公司中,当密钥的URL输入到Internet浏览器中时,公钥也会无意中暴露出来。这种常见错误不仅可能导致凭据泄露和云平台的配置,还会导致云实例被攻击者完全接管。
对于传输中的数据,大多数公司已经意识到通过TLS等加密通道发送数据的好处。但是,重要的是要注意,在处理敏感信息(例如医疗保健或财务数据)时,添加另一层加密以防止攻击非常重要。例如,企业可能会考虑加密有效负载并修复TLS证书。
执行应用程序安全评估
随着DevOps等敏捷开发方法的快速采用,将安全性集成到企业软件开发生命周期对于安全使用云计算至关重要。关于企业云安全的最大误解之一是,他们信任云计算服务提供商为其托管应用程序和数据库集成提供安全性。事实上,大多数云计算服务提供商(包括AWS,Microsoft和Google)都采用共享责任模式,公司需要承担以下安全责任:
消费者数据;
应用安全;
身份和访问管理;
网络和防火墙配置;
客户端配置;
服务器端加密;
数据完整性认证。
云计算服务提供商需要负责冗余,存储,数据库和网络的安全性。因此,将安全性和合规性集成到企业现有的持续集成和持续部署流程中变得至关重要。
为了提高云计算应用程序的安全性,组织应首先在安全开发生命周期(SDLC)的早期识别安全漏洞。实际上,这意味着公司应该在开发的早期阶段纳入安全架构审查和安全代码审查,以推动代码安全实施。许多安全解决方案提供商已采用此方法为开发人员提供安全工具,包括培训,集成开发环境(IDE)中的安全实践集成和持续集成管道。尽管大型企业的开发生态系统中存在太多编程语言,但人们目前看到的问题包括安全解决方案提供商的编程语言依赖性。这些工具无法在不同的编程语言中提供适当的质量。例如,大型企业可以使用Node.js和Java安全工具来有效识别Node.js漏洞,同时忽略Java中的安全风险。面临这些挑战的公司需要优先考虑其工具的定制,以实现跨编程语言的统一有效性。此外,公司可以利用基准测试工具来了解各种安全解决方案提供商的能力。评估生产安全工具的功能对于保护云计算应用程序也至关重要。建议开展紫色团队练习,对压力测试进行重要的安全控制。此方法允许企业识别是否存在可能危及其云实例的攻击路径。为了更好地了解公司可以从安全团队中受益,公司需要了解生产安全评估选项的前景。红队练习提供了对手对公司安全态势的看法,蓝队练习提供了维护者的观点,而紫队则结合了对手和后卫的观点,提供了对信息安全风险的全面评估。人们看到了寻求建立或增强紫色团队能力的公司的趋势,有时在外部专家的帮助下。根据经验,公司可以通过结合手动和自动方法,最有效地在生产中执行紫色团队练习。这使公司可以减少因任何已识别的安全问题而导致的停机时间。重要的是,公司不要在质量保证环境中实施紫色团队合作,因为这可能会降低其结果的有效性。
紫色团队评估可以帮助识别生产中的安全漏洞和业务差距,提供分层防御,如Web应用程序防火墙(WAF),安全网关,安全信息和事件管理(SIEM),单点登录和操作可见性时间应用程序自我保护( RASP)。
保持强大的记录和监控能力
强大的日志记录和监控功能对于组织快速检测和响应影响其云部署的恶意活动至关重要。传统上,提供日志收集和分析的安全信息和事件管理(SIEM)系统在安装和维护方面具有挑战性,并且日志保留非常密集。由于其模块化功能,更新的安全信息和事件管理(SIEM)系统更易于部署。随着企业越来越多地将日志存储在云中,它们也减少了本地存储。
企业领导者应努力使用安全信息和事件管理(SIEM)来实施针对云计算应用程序和基础架构利用的攻击模式的单一控制平台视图。这是通过来自各种发现源(WAF或RASP)的日志聚合来完成的。企业应验证信息和事件管理(SIEM)功能的有效性,以创建连续的反馈循环,使攻击之间的通用性成为分层防御集和/或应用程序代码规则集的变化。人们已经看到许多公司未能建立这种反馈循环,影响他们保护云中信息的能力。