CobiNet(寧波)推薦文章：

如今，將數據和服(fu)務遷移到云(yun)(yun)端已經讓很多公司反(fan)思他(ta)們的(de)安全(quan)策(ce)略(lve)和措施。他(ta)們是否需要云(yun)(yun)計算安全(quan)策(ce)略(lve)？他(ta)們的(de)云(yun)(yun)計算安全(quan)策(ce)略(lve)有什么不同？

日前推出的兩個新的調查報告表明企業在部署公共云、私有云和混合云的風險有著巨大差異。以下是關于企業成功實施云計算安全策略所需的工具、信息和組織結構的建議。

云安全

如今(jin)，將數據和服務遷移(yi)到(dao)云端(duan)已(yi)經讓很多(duo)公司(si)反思他(ta)們(men)(men)的(de)安(an)全策略(lve)(lve)和措施。他(ta)們(men)(men)是(shi)否需要(yao)云計(ji)算(suan)安(an)全策略(lve)(lve)？他(ta)們(men)(men)的(de)云計(ji)算(suan)安(an)全策略(lve)(lve)有什么不同？最近的(de)兩項調查(cha)揭示了企業(ye)的(de)安(an)全策略(lve)(lve)如何變化，更(geng)重要(yao)的(de)是(shi)它(ta)們(men)(men)應該(gai)如何改變。

在云端部署更多的IT基礎設施在某種程度上比內部部署的數據中心更加安全。例如，企業可以清楚了解系統正在運行的最新版本，并及時提供適當的補丁。云計算服務提供商也正在構建新的功能，例如使用機器語言進行異常檢測。但是這也帶來了新的風險，其中一些是企業誤解了如何管理云計算安全的結果。

企業(ye)需要了解云(yun)(yun)計算IT戰(zhan)略（無論是混合云(yun)(yun)、私(si)有托管還是公共云(yun)(yun)）如何影響其網(wang)絡(luo)安全策(ce)略以及該策(ce)略的戰(zhan)術執(zhi)行情況，這一點非常重(zhong)要。

什么是云計算安全風險？

在云(yun)計(ji)算安(an)全(quan)(quan)(quan)提供商Alert Logic公(gong)司(si)的(de)(de)調查(cha)報告中，分(fen)析(xi)了(le)與內(nei)部部署(shu)(shu)數(shu)據(ju)(ju)中心相比的(de)(de)各種(zhong)形式的(de)(de)云(yun)環境的(de)(de)風險性質和數(shu)量。在18個(ge)月的(de)(de)時間(jian)里，該公(gong)司(si)分(fen)析(xi)了(le)來自3800多名客戶的(de)(de)147 PB數(shu)據(ju)(ju)，并對安(an)全(quan)(quan)(quan)事件進(jin)行了(le)量化和分(fen)類。在此期間(jian)，該公(gong)司(si)分(fen)析(xi)了(le)超過220萬(wan)個(ge)企業積極應對的(de)(de)安(an)全(quan)(quan)(quan)事件。其(qi)主(zhu)要發現包(bao)括(kuo)：混合云(yun)環境的(de)(de)安(an)全(quan)(quan)(quan)事件數(shu)量最(zui)高，達(da)到977起，，其(qi)次是托管私有云(yun)（684），內(nei)部部署(shu)(shu)數(shu)據(ju)(ju)中心（612）和公(gong)共(gong)云(yun)（405）。

到目前為止，最常見的事件類型是Web應用程序的攻擊（75%），其次是暴力攻擊（16%），偵測（5%）和服務器端勒索軟件（2%）。

Web應用程(cheng)序攻擊最(zui)常見的因素是SQL（47.74%），Joomla（26.11%），Apache Struts（10.11%）和(he)Magento（6.98%）。

Wordpress是最常見的暴力攻擊的目標（41%），其次是MS SQL（19%）。

無論(lun)是(shi)公共(gong)云、私有(you)云還是(shi)混(hun)合云環境，Web應用(yong)程(cheng)序的(de)威脅(xie)是(shi)主要因(yin)素。他(ta)們之(zhi)間的(de)不(bu)同(tong)是(shi)企業(ye)所(suo)面臨的(de)風險水平(ping)。“Alert Logic公司從安(an)全(quan)廠商的(de)角度來看，公共(gong)云的(de)有(you)效(xiao)保護能力(li)較高，因(yin)為(wei)有(you)著更(geng)好(hao)的(de)信噪比(bi)和較少(shao)嘈雜的(de)攻擊。”Alert Logic公司Misha Govshteyn聯合創(chuang)始人說，“在公共(gong)云環境中發生安(an)全(quan)事件時，企業(ye)應該會更(geng)多地關(guan)注，因(yin)為(wei)它(ta)們通(tong)常比(bi)較隱秘，不(bu)易被人發現。”

調查表明，一些平臺的安全性比其他平臺更脆弱。 Govshteyn說：“盡管企業盡了最大的努力，但還是會增加攻擊面。”他舉例說，“人們普遍認為，LAMP堆棧比基于微軟的應用堆棧更加脆弱。”他還將PHP應用程序視為一個熱點。

Govshteyn說：“內容(rong)管理系(xi)統（尤(you)其是Wordpress，Joomla和Django）作為(wei)Web應(ying)用程(cheng)序的(de)平臺(tai)，其安(an)(an)全性(xing)的(de)脆弱(ruo)性(xing)遠遠超過大多數人的(de)想(xiang)象，并且具有許(xu)多漏洞。只有了解(jie)這些特(te)性(xing)的(de)開發(fa)團(tuan)隊傾向于使用的(de)Web框架(jia)和平臺(tai)，才能保證這些系(xi)統的(de)安(an)(an)全。大多數安(an)(an)全人員(yuan)很少關注這些細節，而是根據糟糕的(de)假設做出決(jue)定。”

為了最大限度地減少云計算威脅的影響，Alert Logic公司有三個主要建議：依靠應用程序白名單來阻止對未知程序的訪問。這包括為組織中使用的每個應用程序進行風險與價值評估。

了解(jie)企業自己的修補過(guo)程并優先安裝補丁程序。

根據當前用戶的職責限制管理和訪問權限。這將需要企業保持最新的應用程序和操作系統的權限。

如何保護云平臺

網絡監控解決方案提供商Gigamon公司委托市場研究機構VansonBourne公司進行的調查表明，73%的受訪者表示他們的大部分應用工作負載運行在公共云或私有云中。然而，這些受訪者中有35%的人希望以“完全相同的方式”處理網絡安全，就像他們在內部部署數據中心操作一樣。其余的人表示他們別無選擇，只能改變他們對云計算的安全策略。

當(dang)然，并(bing)不(bu)是(shi)(shi)每個公司都將敏感或(huo)重(zhong)要的(de)數據遷移到云(yun)中，所以對于(yu)他們(men)而言，改變策略的(de)理由(you)就更少了(le)。但是(shi)(shi)，大多數公司正在遷移關鍵和專有公司信息(xi)（56%）或(huo)營銷資產(chan)（53%）。47%的(de)人希望在云(yun)端擁有個人身份信息(xi)，這由(you)于(yu)將會受到新的(de)隱私法規即將實施（例(li)如歐(ou)盟的(de)GDPR）的(de)影響(xiang)。

Govshteyn表示，企業應該把重點放在云計算安全策略的三個主要領域上：

1.工具。企業在云(yun)環境中(zhong)部署的安全(quan)工具必須是原生的，并且能(neng)夠保護Web應(ying)用(yong)程序(xu)(xu)和云(yun)端(duan)(duan)(duan)工作負(fu)載。 Govshteyn表示：“安全(quan)技(ji)術都集中(zhong)在端(duan)(duan)(duan)點保護制定一(yi)套攻擊(ji)向量。這在云(yun)端(duan)(duan)(duan)并不常見，并且沒有足夠的能(neng)力處理OWASP的十大威(wei)脅(xie)，這占到所(suo)有云(yun)計算攻擊(ji)的75%.”他指出(chu)，端(duan)(duan)(duan)點威(wei)脅(xie)針對(dui)(dui)的是Web瀏覽器(qi)和客戶端(duan)(duan)(duan)軟件，而基(ji)礎設施威(wei)脅(xie)則針對(dui)(dui)服務器(qi)和應(ying)用(yong)程序(xu)(xu)框架。

2.體系。體系結構的定義圍繞云計算提供的安全和管理優勢，而不是企業在傳統數據中心中使用的相同體系結構。 Govshteyn說：“現在有數據顯示，純粹的公共云環境可以讓企業降低事件率，但只有使用云計算功能來設計更安全的基礎架構才能實現。”他建議企業將每個應用程序或微服務隔離在自己的虛擬私有云中，這樣可以減少任何入侵的范圍。

“像(xiang)雅虎公司數據(ju)泄露這樣的(de)主要(yao)違規行(xing)為最初是以簡單的(de)Web應(ying)用程序作(zuo)為初始輸入向量，因此不(bu)太重要(yao)的(de)應(ying)用程序往(wang)(wang)往(wang)(wang)成為企(qi)業最大(da)的(de)問(wen)題(ti)。”另(ling)外，企(qi)業不(bu)要(yao)在云(yun)部(bu)署中修補漏洞。相反，部(bu)署運行(xing)最新(xin)代碼的(de)新(xin)的(de)云(yun)計(ji)算基礎(chu)設施，并停用原有的(de)基礎(chu)設施。

Govshteyn表示：“只有在部署自動化的情況下才能做到這一點，但是企業將獲得傳統數據中心永遠無法實現的基礎設施控制級別的能力。”

3.連接(jie)點。企(qi)業需要確定云部(bu)署(shu)與運行傳統代碼的(de)(de)傳統數據中心相互連接(jie)的(de)(de)點。他說(shuo)：“這些問(wen)題(ti)很可(ke)能(neng)是企(qi)業最大的(de)(de)問(wen)題(ti)來源，因為我們看到一個(ge)明顯的(de)(de)趨勢(shi)，即混(hun)合云部(bu)署(shu)往往會遭遇大部(bu)分安(an)全(quan)事件。”

并非企業現有安全策略的所有內容都必須為云計算而改變。“企業在某些方面可以使用相同的安全策略，例如，對于取證和威脅檢測的深度內容檢測。對于云端來說，其本身并不是一個壞主意。追求這一目標的企業一般都在尋求其安全架構之間的一致性，以減少其安全狀況的差距。”Gigamon產品營銷高級經理Tom Clavel說。

Clavel補充說：“企業面臨的(de)挑戰是如何獲得網(wang)絡流量(liang)來進行這(zhe)種(zhong)檢查。雖然這(zhe)些數據可(ke)以(yi)通過多種(zhong)方式在本(ben)地部署的(de)數據中(zhong)心(xin)獲得，但(dan)在云端無(wu)法使(shi)用。另外，即(ji)使(shi)他們能夠訪(fang)問流量(liang)，也不必將信(xin)息泄漏(lou)到內(nei)部工(gong)具進行檢查，而沒有的(de)幫助則成本(ben)高(gao)，并且會適得其(qi)反。”

云計算的可見性問題

在(zai)(zai)VansonBourne公司(si)進行(xing)的(de)(de)(de)調查(cha)中，很多受訪者(zhe)抱怨說(shuo)，云計算(suan)可能會在(zai)(zai)安全領域造成盲點。總體而(er)言，有(you)一半的(de)(de)(de)受訪者(zhe)表(biao)示(shi)(shi)，云計算(suan)能夠“隱藏”識別威脅的(de)(de)(de)信(xin)息。他們還(huan)表(biao)示(shi)(shi)在(zai)(zai)云端缺少有(you)關正在(zai)(zai)加密(mi)（48%的(de)(de)(de)受訪者(zhe)表(biao)示(shi)(shi)）、不安全的(de)(de)(de)應用程序或(huo)(huo)流量（47%）或(huo)(huo)SSL/TLS證書有(you)效性的(de)(de)(de)信(xin)息（35%的(de)(de)(de)受訪者(zhe)表(biao)示(shi)(shi)）。

49%的受訪者表示，混合云環境可能會進一步阻礙可見性，因為它可以阻止企業安全團隊看到數據實際存儲的位置。78%的受訪者表示，孤立的數據（一些由安全操作部門掌控，另一部分由網絡操作部門掌控）可能會使查找數據更加惡化。

不僅(jin)僅(jin)數(shu)據是這(zhe)(zhe)樣，企(qi)業(ye)安(an)全(quan)(quan)團(tuan)隊(dui)的(de)可(ke)視(shi)性(xing)也(ye)很有(you)限。67%的(de)調查(cha)受訪者表示，網絡盲點是他(ta)們保(bao)護(hu)組織數(shu)據安(an)全(quan)(quan)的(de)障礙。為了獲得更好(hao)的(de)可(ke)視(shi)性(xing)，Clavel建議(yi)企(qi)業(ye)首(shou)先確(que)定如何組織和實(shi)施(shi)安(an)全(quan)(quan)狀態。“人(ren)們會(hui)問，這(zhe)(zhe)一(yi)切都在(zai)云(yun)端(duan)嗎(ma)？還是從內部部署擴展到(dao)云(yun)端(duan)？在(zai)這(zhe)(zhe)兩種情況下，確(que)保(bao)應用程序網絡流量的(de)普遍可(ke)見性(xing)是安(an)全(quan)(quan)策略的(de)核心。企(qi)業(ye)看到(dao)的(de)越多，就(jiu)能獲得更多的(de)安(an)全(quan)(quan)保(bao)障。”他(ta)說(shuo)。

“為了解決可見性需求，企業需要確定一種方法來獲取、匯總和優化網絡流量的安全工具，無論它們是入侵檢測系統（IDS）、安全信息和事件管理（SIEM）、取證、數據丟失防護DLP、高級威脅檢測（ATD），或同時進行所有這些檢測。”Clavel補充說，“最后，添加SecOps程序，即使隨著企業的云計算足跡增長，也能自動檢測威脅的可見性和安全性。”

這些盲點和低信息(xi)可(ke)(ke)見(jian)(jian)性可(ke)(ke)能會(hui)導致(zhi)GDPR合規(gui)性問(wen)題。66%的受(shou)訪者表示(shi)缺(que)乏(fa)可(ke)(ke)見(jian)(jian)性會(hui)使GDPR合規(gui)困(kun)難。只有59%的受(shou)訪者認為(wei)他(ta)們的組織將在(zai)2018年5月的截止日期之前為(wei)GDPR的實施做好了準(zhun)備。

機器學習會提供幫助嗎？

云計算服務提供商(shang)正在努力(li)提高客戶識別和解決潛在威脅(xie)的(de)能力(li)。例如，亞馬遜網(wang)絡服務（AWS）在2017年推(tui)出(chu)了了兩(liang)項依靠機器學習來(lai)保護客戶資產的(de)服務。

在2017年8月，AWS推出了Macie服務，主要側重于PCI、HIPAA和GDPR合規。它會根據用戶在Amazon S3存儲桶中的內容進行培訓，并在檢測到可疑活動時通知客戶。AWS GuardDuty于2017年11月份發布，它使用機器學習來分析AWS CloudTrail，VPC Flow Logs和AWS DNS日志。像Macie一樣，GuardDuty專注于異常檢測，以提醒客戶的可疑活動。

機(ji)器學習的(de)(de)有效性取決于(yu)由(you)算法和訓練數(shu)據組成的(de)(de)模型。這個模型與其所訓練的(de)(de)數(shu)據一樣好(hao)，任何超出模型數(shu)據的(de)(de)事件都(dou)不會(hui)被(bei)Macie或GuardDuty等服(fu)務檢(jian)測到。

也就是說，像AWS這樣的云計算安全提供商將擁有比任何個人客戶都更加豐富的數據集。AWS在其整個網絡中都具有可視性，使得在正常的和可能是惡意的情況下訓練其機器學習模型變得更加容易。但是，客戶需要了解機器學習不會檢測到機器學習模型中的培訓數據之外的威脅。他們不能只靠guardduty Macie和GuardDuty這樣的服務。

誰擁有云安(an)全？

考慮到這一點，毫不奇怪的是，62%的受訪者表示希望他們的安全運營中心（SOC）能夠控制網絡流量和數據，以確保在云計算環境中提供充分的保護。他們中有一半人會意識到需要保護網絡流量和數據。

由于(yu)(yu)管(guan)理云(yun)環(huan)境的(de)(de)結構問題，對于(yu)(yu)許多組(zu)織來(lai)說，獲得控制(zhi)權甚至獲得完全(quan)可見性可能(neng)是(shi)(shi)一個挑戰。雖然69%的(de)(de)受訪者(zhe)組(zu)織負責(ze)安(an)全(quan)操作(zuo)，但云(yun)端操作(zuo)（54%）或網絡(luo)操作(zuo)也會(hui)涉(she)及云(yun)計算安(an)全(quan)，這導致出現了企(qi)業與云(yun)計算安(an)全(quan)廠商(shang)以及IT團(tuan)隊應(ying)該如(ru)何(he)合作(zuo)的(de)(de)問題。事(shi)實上，有48%的(de)(de)受訪者(zhe)表示(shi)，團(tuan)隊之間缺乏合作(zuo)是(shi)(shi)識別和報(bao)告違規行為的(de)(de)最大障礙(ai)。

Clavel說：“企業通常將網絡、安全和云端的責任分開。每方面都有不同的預算、獨特的所有權，甚至是管理這些領域的獨特工具。要獲得云計算的可視性，需要打破這三個組織之間的溝通障礙。部署在本地部署數據中心的相同安全工具也將能夠保護云端，因此云計算提供商和安全團隊需要溝通。”

哪(na)些人(ren)(ren)應(ying)該關注組織(zhi)的(de)云安(an)全？企業需要具有(you)專(zhuan)業技能(neng)和長(chang)期(qi)能(neng)力的(de)工(gong)作人(ren)(ren)員或(huo)團(tuan)(tuan)隊(dui)。 Govshteyn說：“企業需要找(zhao)到能(neng)夠最快地轉向新(xin)的(de)云計算安(an)全模(mo)式的(de)人(ren)(ren)員或(huo)團(tuan)(tuan)隊(dui)，并讓他們在未來三到五年內建立企業安(an)全策略。

“在過去的幾年中，這些往往是IT運營團隊或企業安全團隊在實施，但總是有一個架構師級別的個人貢獻者或專門的云計算安全團隊。這個新的安全專業人員可以編寫代碼，花費超過80%的時間自動完成工作，并將開發團隊視為同行而不是對手。”Govshteyn說。他補充說，在科技公司，安全有時是工程團隊所做的工作。

盡管目前很(hen)多企(qi)業的(de)高層對安(an)全(quan)問(wen)題非常感興趣，但(dan)他們不(bu)會提供具體的(de)幫助。他說：“事實(shi)上，一半以(yi)上（53%）的(de)受訪(fang)者(zhe)表示云(yun)(yun)計(ji)算(suan)安(an)全(quan)的(de)任務進一步復雜(za)化，這(zhe)是(shi)因為他們的(de)組織沒有實(shi)施(shi)云(yun)(yun)計(ji)算(suan)安(an)全(quan)策略或框架。雖然幾(ji)乎(hu)所有這(zhe)些組織都打算(suan)在未來這(zhe)樣做，但(dan)誰在領(ling)導實(shi)施(shi)很(hen)多人卻(que)不(bu)清楚(chu)。”

Clavel說：“安全和監控工具也將能夠利用同一個安全交付平臺提供更大的靈活性，因此網絡、安全和云計算方面的團隊也需要同意分擔安全交付平臺的責任。作為SOC的一部分——或至少要建立共同預算和共享所有權的安全交付平臺，鞏固其安全和監控活動的企業，將獲得更好的靈活性、更快的決策，以及跨平臺和云端部署的一致安全性。”

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類線，屏蔽模塊，配線架及相關模塊配件的研發(fa)和生產(chan)。

歡迎來電咨詢0574 88168918,郵箱sales@aliance.cn，網址aliance.cn