日前推出的两个新的调查报告表明企业在部署公共云、私有云和混合云的风险有着巨大差异。以下是关于企业成功实施云计算安全策略所需的工具、信息和组织结构的建议。
如今,将数据和服务迁移到云端已经让很多公司反思他们的安全策略和措施。他们是否需要云计算安全策略?他们的云计算安全策略有什么不同?最近的两项调查揭示了企业的安全策略如何变化,更重要的是它们应该如何改变。
在云端部署更多的IT基础设施在某种程度上比内部部署的数据中心更加安全。例如,企业可以清楚了解系统正在运行的最新版本,并及时提供适当的补丁。云计算服务提供商也正在构建新的功能,例如使用机器语言进行异常检测。但是这也带来了新的风险,其中一些是企业误解了如何管理云计算安全的结果。
企业需要了解云计算IT战略(无论是混合云、私有托管还是公共云)如何影响其网络安全策略以及该策略的战术执行情况,这一点非常重要。
什么是云计算安全风险?
在云计算安全提供商Alert Logic公司的调查报告中,分析了与内部部署数据中心相比的各种形式的云环境的风险性质和数量。在18个月的时间里,该公司分析了来自3800多名客户的147 PB数据,并对安全事件进行了量化和分类。在此期间,该公司分析了超过220万个企业积极应对的安全事件。其主要发现包括:
- 混合云环境的安全事件数量最高,达到977起,,其次是托管私有云(684),内部部署数据中心(612)和公共云(405)。
到目前为止,最常见的事件类型是Web应用程序的攻击(75%),其次是暴力攻击(16%),侦测(5%)和服务器端勒索软件(2%)。
- Web应用程序攻击最常见的因素是SQL(47.74%),Joomla(26.11%),Apache Struts(10.11%)和Magento(6.98%)。
Wordpress是最常见的暴力攻击的目标(41%),其次是MS SQL(19%)。
无论是公共云、私有云还是混合云环境,Web应用程序的威胁是主要因素。他们之间的不同是企业所面临的风险水平。“Alert Logic公司从安全厂商的角度来看,公共云的有效保护能力较高,因为有着更好的信噪比和较少嘈杂的攻击。”Alert Logic公司Misha Govshteyn联合创始人说,“在公共云环境中发生安全事件时,企业应该会更多地关注,因为它们通常比较隐秘,不易被人发现。”
调查表明,一些平台的安全性比其他平台更脆弱。 Govshteyn说:“尽管企业尽了最大的努力,但还是会增加攻击面。”他举例说,“人们普遍认为,LAMP堆栈比基于微软的应用堆栈更加脆弱。”他还将PHP应用程序视为一个热点。
Govshteyn说:“内容管理系统(尤其是Wordpress,Joomla和Django)作为Web应用程序的平台,其安全性的脆弱性远远超过大多数人的想象,并且具有许多漏洞。只有了解这些特性的开发团队倾向于使用的Web框架和平台,才能保证这些系统的安全。大多数安全人员很少关注这些细节,而是根据糟糕的假设做出决定。”
为了最大限度地减少云计算威胁的影响,Alert Logic公司有三个主要建议:
- 依靠应用程序白名单来阻止对未知程序的访问。这包括为组织中使用的每个应用程序进行风险与价值评估。
- 了解企业自己的修补过程并优先安装补丁程序。
- 根据当前用户的职责限制管理和访问权限。这将需要企业保持最新的应用程序和操作系统的权限。
如何保护云平台
网络监控解决方案提供商Gigamon公司委托市场研究机构VansonBourne公司进行的调查表明,73%的受访者表示他们的大部分应用工作负载运行在公共云或私有云中。然而,这些受访者中有35%的人希望以“完全相同的方式”处理网络安全,就像他们在内部部署数据中心操作一样。其余的人表示他们别无选择,只能改变他们对云计算的安全策略。
当然,并不是每个公司都将敏感或重要的数据迁移到云中,所以对于他们而言,改变策略的理由就更少了。但是,大多数公司正在迁移关键和专有公司信息(56%)或营销资产(53%)。47%的人希望在云端拥有个人身份信息,这由于将会受到新的隐私法规即将实施(例如欧盟的GDPR)的影响。
Govshteyn表示,企业应该把重点放在云计算安全策略的三个主要领域上:
1.工具。企业在云环境中部署的安全工具必须是原生的,并且能够保护Web应用程序和云端工作负载。 Govshteyn表示:“安全技术都集中在端点保护制定一套攻击向量。这在云端并不常见,并且没有足够的能力处理OWASP的十大威胁,这占到所有云计算攻击的75%。”他指出,端点威胁针对的是Web浏览器和客户端软件,而基础设施威胁则针对服务器和应用程序框架。
2.体系。体系结构的定义围绕云计算提供的安全和管理优势,而不是企业在传统数据中心中使用的相同体系结构。 Govshteyn说:“现在有数据显示,纯粹的公共云环境可以让企业降低事件率,但只有使用云计算功能来设计更安全的基础架构才能实现。”他建议企业将每个应用程序或微服务隔离在自己的虚拟私有云中,这样可以减少任何入侵的范围。
“像雅虎公司数据泄露这样的主要违规行为最初是以简单的Web应用程序作为初始输入向量,因此不太重要的应用程序往往成为企业最大的问题。”另外,企业不要在云部署中修补漏洞。相反,部署运行最新代码的新的云计算基础设施,并停用原有的基础设施。
Govshteyn表示:“只有在部署自动化的情况下才能做到这一点,但是企业将获得传统数据中心永远无法实现的基础设施控制级别的能力。”
3.连接点。企业需要确定云部署与运行传统代码的传统数据中心相互连接的点。他说:“这些问题很可能是企业最大的问题来源,因为我们看到一个明显的趋势,即混合云部署往往会遭遇大部分安全事件。”
并非企业现有安全策略的所有内容都必须为云计算而改变。“企业在某些方面可以使用相同的安全策略,例如,对于取证和威胁检测的深度内容检测。对于云端来说,其本身并不是一个坏主意。追求这一目标的企业一般都在寻求其安全架构之间的一致性,以减少其安全状况的差距。”Gigamon产品营销高级经理Tom Clavel说。
Clavel补充说:“企业面临的挑战是如何获得网络流量来进行这种检查。虽然这些数据可以通过多种方式在本地部署的数据中心获得,但在云端无法使用。另外,即使他们能够访问流量,也不必将信息泄漏到内部工具进行检查,而没有人工智能的帮助则成本高,并且会适得其反。”
云计算的可见性问题
在VansonBourne公司进行的调查中,很多受访者抱怨说,云计算可能会在安全领域造成盲点。总体而言,有一半的受访者表示,云计算能够“隐藏”识别威胁的信息。他们还表示在云端缺少有关正在加密(48%的受访者表示)、不安全的应用程序或流量(47%)或SSL/TLS证书有效性的信息(35%的受访者表示)。
49%的受访者表示,混合云环境可能会进一步阻碍可见性,因为它可以阻止企业安全团队看到数据实际存储的位置。78%的受访者表示,孤立的数据(一些由安全操作部门掌控,另一部分由网络操作部门掌控)可能会使查找数据更加恶化。
不仅仅数据是这样,企业安全团队的可视性也很有限。67%的调查受访者表示,网络盲点是他们保护组织数据安全的障碍。为了获得更好的可视性,Clavel建议企业首先确定如何组织和实施安全状态。“人们会问,这一切都在云端吗?还是从内部部署扩展到云端?在这两种情况下,确保应用程序网络流量的普遍可见性是安全策略的核心。企业看到的越多,就能获得更多的安全保障。”他说。
“为了解决可见性需求,企业需要确定一种方法来获取、汇总和优化网络流量的安全工具,无论它们是入侵检测系统(IDS)、安全信息和事件管理(SIEM)、取证、数据丢失防护DLP、高级威胁检测(ATD),或同时进行所有这些检测。”Clavel补充说,“最后,添加SecOps程序,即使随着企业的云计算足迹增长,也能自动检测威胁的可见性和安全性。”
这些盲点和低信息可见性可能会导致GDPR合规性问题。66%的受访者表示缺乏可见性会使GDPR合规困难。只有59%的受访者认为他们的组织将在2018年5月的截止日期之前为GDPR的实施做好了准备。
机器学习会提供帮助吗?
云计算服务提供商正在努力提高客户识别和解决潜在威胁的能力。例如,亚马逊网络服务(AWS)在2017年推出了了两项依靠机器学习来保护客户资产的服务。
在2017年8月,AWS推出了Macie服务,主要侧重于PCI、HIPAA和GDPR合规。它会根据用户在Amazon S3存储桶中的内容进行培训,并在检测到可疑活动时通知客户。AWS GuardDuty于2017年11月份发布,它使用机器学习来分析AWS CloudTrail,VPC Flow Logs和AWS DNS日志。像Macie一样,GuardDuty专注于异常检测,以提醒客户的可疑活动。
机器学习的有效性取决于由算法和训练数据组成的模型。这个模型与其所训练的数据一样好,任何超出模型数据的事件都不会被Macie或GuardDuty等服务检测到。
也就是说,像AWS这样的云计算安全提供商将拥有比任何个人客户都更加丰富的数据集。AWS在其整个网络中都具有可视性,使得在正常的和可能是恶意的情况下训练其机器学习模型变得更加容易。但是,客户需要了解机器学习不会检测到机器学习模型中的培训数据之外的威胁。他们不能只靠guardduty Macie和GuardDuty这样的服务。
谁拥有云安全?
考虑到这一点,毫不奇怪的是,62%的受访者表示希望他们的安全运营中心(SOC)能够控制网络流量和数据,以确保在云计算环境中提供充分的保护。他们中有一半人会意识到需要保护网络流量和数据。
由于管理云环境的结构问题,对于许多组织来说,获得控制权甚至获得完全可见性可能是一个挑战。虽然69%的受访者组织负责安全操作,但云端操作(54%)或网络操作也会涉及云计算安全,这导致出现了企业与云计算安全厂商以及IT团队应该如何合作的问题。事实上,有48%的受访者表示,团队之间缺乏合作是识别和报告违规行为的最大障碍。
Clavel说:“企业通常将网络、安全和云端的责任分开。每方面都有不同的预算、独特的所有权,甚至是管理这些领域的独特工具。要获得云计算的可视性,需要打破这三个组织之间的沟通障碍。部署在本地部署数据中心的相同安全工具也将能够保护云端,因此云计算提供商和安全团队需要沟通。”
哪些人应该关注组织的云安全?企业需要具有专业技能和长期能力的工作人员或团队。 Govshteyn说:“企业需要找到能够最快地转向新的云计算安全模式的人员或团队,并让他们在未来三到五年内建立企业安全策略。
“在过去的几年中,这些往往是IT运营团队或企业安全团队在实施,但总是有一个架构师级别的个人贡献者或专门的云计算安全团队。这个新的安全专业人员可以编写代码,花费超过80%的时间自动完成工作,并将开发团队视为同行而不是对手。”Govshteyn说。他补充说,在科技公司,安全有时是工程团队所做的工作。
尽管目前很多企业的高层对安全问题非常感兴趣,但他们不会提供具体的帮助。他说:“事实上,一半以上(53%)的受访者表示云计算安全的任务进一步复杂化,这是因为他们的组织没有实施云计算安全策略或框架。虽然几乎所有这些组织都打算在未来这样做,但谁在领导实施很多人却不清楚。”
Clavel说:“安全和监控工具也将能够利用同一个安全交付平台提供更大的灵活性,因此网络、安全和云计算方面的团队也需要同意分担安全交付平台的责任。作为SOC的一部分——或至少要建立共同预算和共享所有权的安全交付平台,巩固其安全和监控活动的企业,将获得更好的灵活性、更快的决策,以及跨平台和云端部署的一致安全性。”