2021年新冠疫情反复肆虐,全球性的远程办公已经成了“基本操作”,大量企业主动或被动转向云计算大规模迁徙,但是正如塞伦盖提大草原上的动物迁徙,沿途危机四伏。在Menlo Security对200位IT经理进行的一项调查中,有40%的受访者表示,由于企业大规模上云,他们正面临着来自云应用和物联网(IoT)的安全威胁。
企业上云面临的安全威胁很多都是老问题,但这些威胁因为敦刻尔克式的大规模仓促行动而被放大了,例如影子IT、BYOD和虚拟专用网。远程办公导致2020个人PC市场迎来“伟大复兴”,但我们也应该意识到,“个人”PC不再是个人使用,同一台计算机可能同时也在运行孩子的网校、网游和社交应用,而相关的安全意识培训和规则却并未跟上。可以肯定的是,这对于任何企业的安全策略来说都不是好苗头。
以下是企业上云过程中,常见的七个安全错误:
1. 依赖虚拟专用网进行远程访问
过去的一年已经证明,虚拟专用网可能不是远程访问的最佳答案,甚至顶尖的网络安全公司也吃了大亏。2020年12月发生震惊整个网络安全业界的FireEye黑客事件中,遭到入侵的虚拟专用网账户显然是黑客窃取其工具的切入点。过去,虚拟专用网是保护远程工作者安全的首选方法,但是大规模远程办公时代,虚拟专用网的安全性远远不如零信任架构,后者提供基于身份和上下文的持续访问控制。此外,安全主管还应确保自疫情大流行以来已经制订了基于家庭的信息安全策略,并将远程办公带来的新的攻击面(例如多用户家用PC)考虑在内。
2. 错误的云产品组合
需要考虑的因素有很多,例如,您是否需要在私有云上运行关键业务数据,与其他云服务隔离开?您是否有合适的操作系统子版本运行那些需要在特定配置的Windows和Linux中运行的应用程序?是否准备了正确的连接器和身份验证保护,以与不上云的本地应用程序和设备一起运行?如果您有旧版大型机应用程序,则可能要先在私有云中运行它,然后尝试找到最接近于现有大型机设置的正确的云环境。
3. 安全状况可能不适合上云
常见的云安全错误包括不安全的存储容器、访问权限、身份验证参数设置不当,以及大量开放端口。无论是从本地还是远程进行连接,企业都希望保持一致的安全状态。因此在将单个应用程序迁移到云之前,应当从一开始就将安全性问题考虑进去。强生公司几年前就这样做了,当时他们将大部分工作负载迁移到了云中,安全管理模型也随之变成了集中式。一个可以参考的工具是Netflix刚刚发布的ConsoleMe开源工具,该工具可以在一个浏览器会话中管理多个Amazon Web Services(AWS)账户。
4. 没有测试灾难恢复计划
您上次测试灾难恢复(DR)计划是什么时候?应用程序在云中运行并不意味着可以高枕无忧。事实上这些应用程序仍然依赖特定的Web和数据库服务器以及其他基础架构组件。好的灾难恢复计划会记录这些依赖关系,并为关键业务流程提供预案。
灾难恢复计划的另一个重要部分是对云故障进行连续测试。云计算也会宕机和抛锚,过去几周内Google、亚马逊、微软、苹果的云服务都遭遇了较为严重的业务中断。几年前,Netflix开发的Chaos Monkey工具使整体混沌工程广为流行,它旨在通过不断(随机)关闭各种生产服务器来测试公司的云基础架构。
企业可以基于这些工具和方法来开发自己的混乱故障测试,尤其是与安全相关的测试,这些测试可以揭示云配置中的弱点,通过自动连续执行测试以发现基础架构的瓶颈和缺陷。除了Netflix的开源工具外,还有一些商业产品,例如Verodin/Mandiant的安全验证,SafeBreach的Breach和Attack Simulation,Cymulate的仿真工具以及AttackIQ的Security Optimization Platform。
5. 没有为多数云产品组合优化身份验证
企业上云之前可能已经拥有身份和访问管理、SIEM、CASB或单点登录工具,但这些工具在大多数云和远程访问环境未必是最适合的身份验证手段。企业需要仔细研究这些工具,确保它们可以适应涵盖特定云环境和整个应用程序组合。例如,虽然CASB非常擅长管理云应用访问,但是您需要确保这个方案可以与内部自定义应用程序一起使用,可以进行基于风险的身份验证的应用程序,可以保护您免受更复杂的混合云环境威胁。
6. 过时的Active Directory
Gartner的David Mahdi曾在演讲中说:“在数据四处流动的今天,身份是新的安全边界。概括来说就是必须是正确的人,在正确的时间、正确的地点,以正确的理由,访问正确的资源。”可以肯定的是,企业的安全团队还有很多事情要做。上云意味着,您的Active Directory(AD)可能无法反映现实,包括当前(授权)用户、应用程序和服务器列表。只有准确的信息,才能确保上云的过程平滑顺畅。
7. 羞于寻求专业帮助
许多网络安全厂商,例如托管安全服务提供商(MSSP)提供云迁移相关的安全咨询和服务,因此,不要羞于向他们寻求帮助。因为企业的IT团队很可能因为急于将所有内容迁移到云中,留下了一些后门或引入了漏洞。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】