如今,越来越多的组织将其业务从内部部署基础设施迁移到云平台。根据调研机构Gartner公司的预测,到2022年,云计算服务行业的增长速度将比整体IT服务快三倍。典型的业务依赖于公共云和私有云的组合以及传统的内部部署基础设施。随着越来越多的企业将关键业务转移到云计算应用程序(例如,选择Salesforce进行客户关系管理或使用Microsoft Azure托管其数据库),网络攻击手段不断发展。
不过,随着混合云和多云战略的不断采用,仅仅保护云中的资产是不够的。组织还需要保护进出云平台以及云平台之间和云平台内部的数据途径。外部托管的服务和应用程序并不是孤立的,它们可以连接到企业的运营环境。对扩展生态系统的一部分带来风险就会对其整体带来风险。
此外,主要的云计算提供商只提供有限的内部部署安全控制措施。这些通常包括安全组、Web应用程序防火墙和日志流。但是,这些安全控制措施本身不足以抵御网络攻击和高级持续威胁(APT)。这存在许多漏洞,尤其是那些使网络攻击者在云中和云平台之间横向移动几乎完全不受阻碍的漏洞。
全方位的威胁
然而,组织可以跨混合生态系统保护业务,在网络攻击者能够触及业务关键资产之前就阻止其恶意攻击。云计算安全战略需要解决四个潜在的问题:
- 从一个云平台转到另一个云平台:网络攻击者在侵入一个云平台环境之后,其目标可能是转到另一个云平台或在同一云计算基础设施中分段的其他系统。
- 在云平台资产之间:例如,尝试获得更高的特权以访问关键服务,例如存储或配置资产;或破坏应用程序服务器(例如Tomcat),以攻击其各自连接的云计算数据库。
- 从组织网络到云计算网络:恶意行为者可能试图捕获内部DevOps团队使用的Microsoft Azure凭据,以获得对云计算系统的更高特权访问。在进行这项工作之前,可能需要在组织网络内进行大量横向移动以到达DevOps机器。一旦进入Azure环境,网络攻击者就可以开始努力在系统和服务之间移动,寻找有价值的数据以及特权用户和角色。
- 从云计算到内部部署资产:在这种情况下,恶意攻击者会使用多种技术(例如暴力攻击)来破坏面向公众的Web应用程序服务器,并将其作为获取后端企业系统凭据的工具。一旦网络攻击者获得访问权限,他可能最终将目标锁定在内部部署数据库上,并希望从云平台连接内部部署环境,或者可能是有拥有Azure 访问权限的具有恶意的内部人员试图转移到另一个目标。
为了打击网络攻击者,这种方法仍然很常见:发现、监视和消除连接和凭证违规行为,同时提倡基于端点的欺骗策略,在整个网络的端点和服务器上散布对网络攻击者有用的伪造对象。现在还提供了一些新功能,可以解决针对云计算环境中的许多挑战,防止网络攻击者移动到任何地方。
广泛的欺骗和更高的可见性
以下优秀实践将使安全团队能够在云生态系统中获得更大的可见性和潜在的漏洞。
- 发现并纠正特权证书违规:在所有常见的SaaS应用程序(包括G Suite、Box、Salesforce等)上,查看不安全的使用情况和用户,可以缓解由影子IT管理者、未启用多因素身份验证的用户、外部帐户和已禁用帐户创建的违规行为。
- 管理云攻击面:可视化并自动发现哪些云计算数据是需要保护的重要资产,查找并消除针对该数据的常见攻击者途径。
- 将特权访问和违规行为链接到云端并返回。映射和连接云计算服务提供商的高特权用户,并将他们连接到内部部署目录服务中的信息。发现并识别凭证和SaaS应用程序的缓存连接,以及来自授权部门的SaaS应用程序的凭证信息的存在。这为安全团队提供了云计算内部和外部的全面可见性和修复能力。
- 创建监视和补救规则:实施程序以确定应用于云计算用户和应用程序的配置错误或保护层不足,并纠正这些违规行为。
由于组织看到了效率和降低成本的可能性,因此云迁移继续进行。但是扩大风险范围也是一种现实的可能性,组织必须对这些风险进行评估,并利用当今的功能来提高对云计算环境的可见性和监视能力。欺骗技术在使网络攻击者远离关键数据(无论他们如何尝试接近关键数据)方面发挥着至关重要的作用。这种广泛的安全性将使组织有信心在内部部署数据中心和云平台中扩展业务活动。