随着越来越多的组织采用云计算, 内部部署数据中心的时代将会逐渐终结. 从小规模企业到规模最大的跨国公司, 无论在哪里, 都可以看到云计算应用程序. 云计算服务的使用量每年都会持续增长, 截至 2016 年, 每个组织平均使用 1427 个云服务.
虽然这一强劲的增长前景看好, 但也带来了一系列新的网络安全威胁. 通常每个企业每个月都会遭受到 23 个云安全威胁的影响, 这使得云计算看起来像是一项有风险的责任. 此外, 敏感信息占上传到云端的数据的 18%. 但是, 通过适当的安全配置和工具, 即使是最隐秘的数据, 也可以在云中轻松实现. 为了正确理解云计算的安全性, 人们了解大型漏洞背后的主要罪魁祸首至关重要.
影子 IT: 云计算的未知风险
对于云安全来说, 最大的威胁之一是影子 IT(Shadow IT), 这是在未经组织 IT 部门了解或同意的情况下员工使用未经授权的云服务. 由于以下几个原因, 影子 IT 对云安全构成很大风险:
首先, 企业员工在决定是否使用云服务时通常不会审查应用程序的安全性. 另一方面, IT 专家在批准公司范围使用之前, 需要经过广泛的审查过程, 权衡应用程序的安全风险和云计算功能.
其次, IT 部门只知道组织中使用的影子云应用程序的 10%. 剩下的 90% 超出了 IT 部门的职责范围.
如何保护组织的受制裁和影子云服务
(1)可见性
可见性是克服影子 IT 固有风险的基础. 这是由于影子 IT 根据定义提出了未知级别的威胁, 因为企业没有意识到员工正在使用的全部云服务. 更高的可见性使 IT 部门能够开始量化风险, 并制定降低风险的策略.
可见性的一个要素包括监控风险云服务的使用, 对其 URL 或 IP 进行编目, 并根据安全风险评估等级批准或阻止它们. 为应用程序提供安全风险评级, 将需要对应用程序的安全功能进行彻底调查, 例如对数据进行静态加密, 还是在本地提供多因素身份验证 (MFA) 等.
(2)威胁检测
每天, 全球各组织可以从他们的云计算应用中产生数十亿个事件. 从下载 / 上传文档到尝试登录服务的任何事情都会生成一个事件.
表示威胁的事件很容易丢失或被忽略. 通过数据科学, 机器学习以及用户和实体行为分析(UEBA), 组织可以筛选可能会显示出异常活动的事件, 并标记出只是那些实际威胁的事件.
想象一下, 用户反复尝试登录 Salesforce 失败. 经过多次失败尝试后, 检测到帐户可能发生异常. 但是, 如果用户将 Caps Lock 键放开, 该怎么办? IT 专业人员如何将其视为正常行为并忽略它?
再进一步, 威胁防护软件如何准确地将其归类为正常行为并忽略它, 使 IT 安全专业人员不必调查这些日常活动的警报? 虽然网络攻击者可能能够窃取员工的凭证, 但攻击者无法模仿员工的行为模式. 事实证明, 人们导航和使用应用程序的方式是独特的, 这是一种数字身体语言. 这种模式几乎不可能由网络犯罪分子复制. 回到 Salesforce 用户登录, 在验证了几次失败尝试后, 如果用户的行为与先前的行为一致, 可以查明用户是正确的还是冒充的.
使用数据科学和机器学习来观察和分析行为模式并不是一项新技术. 信用卡提供商使用数据科学和分析来识别欺诈信用卡收费. 虽然尽可能地进行尝试, 信用卡的盗窃者很难完全模仿正常交易的细节, 而随着时间的推移, 建立和完善的算法已经变得非常精通于检测, 即使是最无害的交易.
(3)保护数据本身 -- 加密和标记
数据安全的两个重要元素是加密和标记, 它们用于保护敏感信息的相同目的, 但操作方式稍有不同. 加密通过使用加密密钥将数据转换为密码文本来工作. 在加密数据后, 再次使信息可以被理解的唯一方法是输入适当的解密密钥.
令牌化以不同的方式保护数据. 本质上, 为纯文本生成一个随机标记, 然后将其存储在数据库中. 标记化的最大好处是它存储了本地的实际数据, 并且只有标记值被上传到云端. 但是, 如果令牌到文本映射数据库被攻击, 其敏感信息仍然可能被暴露. 令牌化通常用于结构化数据.
(4)云安全的合规性
数据安全有许多法规和规定, 如 PCI-DSS,HIPAA-HITECH 和 EU-GDPR. 但是, 重要的是要记住, 将数据存储在云中与将数据存储在本地数据库中不同. 为了遵守内部 / 外部政策, 应从以下步骤开始:
识别上传到云端的信息类型(健康信息, 个人身份信息, 支付卡信息等).
限制敏感数据的第三方控制.
避免将机密信息上传到云端.
在每个云计算应用程序中应用统一的 DLP 策略, 以确保所有数据的安全.
清点现有政策并将其适应云计算环境.
(5)其他云安全工具
这些最佳实践是保护云中数据的重要第一步, 但以下工具可以增加更多安全性.
SIEM: 安全信息和事件管理 (SIEM) 是大型企业的重要工具. 该工具可以查看入站事件, 并实时标记潜在的安全威胁.
用户访问控制: 最小权限原则规定, 员工只能访问他们需要的工作. 单点登录 (SSO) 和访问管理 (IDM) 可以通过管理用户登录, 访问以及角色和权限来确保这一点.
云计算防火墙: 云计算防火墙更适合较低级别的威胁, 但它们为从云端定位网络的威胁提供了重要的屏障, 反之亦然.
云访问安全代理: 作为客户与云应用程序之间的控制点, 云访问安全代理 (CASB) 提供云中用户活动和威胁检测的可视性, 以保护数据免受各种攻击.
云数据加密: 通过将信息转换为密码文本, 即使所有其他安全层被破坏, 黑客也无法使用敏感数据, 而无需解密密钥.
一个试图从数据库转移到云端的组织最初可能会被影子 IT 和内部威胁带来的风险抛出. 幸运的是, 通过有效的最佳实践和各种云计算安全工具, 企业现在可以安心地将数据存储在云中.
来源: http://cloud.51cto.com/art/201806/576011.htm