维护公有云环境对于企业和云计算供应商来说是一项共同的责任。云计算用户应使用互联网安全中心(CIS)基准,以确保其帐户级别的云安全。
CIS为云平台提供了基于共识且与云计算供应商无关的配置标准。这些被称为CIS基准的最佳实践是为了帮助企业在帐户级别保护公有云环境。
安全领导者和云计算工程团队可以通过两种方式将CIS基准用于云安全:首先,参考最佳实践安全控制和配置的独立标准可以帮助定义安全云计算部署的内部要求。在定义和批准所有业务部门和IT运营团队在其自己的云帐户和订阅中应遵守的策略和标准时,这一点至关重要。其次,这些基准可以帮助企业为云计算控制平台和资产合规性制定持续的监控和报告策略。
实施CIS基准如何提高安全性
公有云客户可以从实施云安全的CIS基准测试中体验到短期和长期的好处。短期回报包括安全态势的改善和常见云计算资产类别(如虚拟机和其他工作负载)中漏洞数量的减少。实施这一框架还可以缩小与数据泄露的和可能配置错误的云控制平台服务相关的直接攻击面。
长期回报包括改善企业云计算环境中的总体安全状况,以及增强对配置的监视和报告。这样可以开发更准确的度量标准并报告漏洞,从而提高安全性和运营效率。
许多人质疑CIS云安全框架是应该被视为高级最终目标还是应被视为安全起点。在许多方面,其答案都是两者兼有。CIS基准创建有两个级别的项目:第一级项目旨在提供即时的安全利益。它们相对实用,易于实施,并且很少以任何方式抑制或破坏云服务或资产功能。第一级基准项目应该是所有企业的起点,并且被广泛认为是基准最佳实践,几乎任何企业都可以快速而轻松地启用。
但是,第二级项目提供了更强大的安全功能和更深入的纵深防御态势。这一级别的CIS云安全控制可能会导致某些服务或资产在某些情况下表现不佳甚至中断。对于安全有着更严格要求的企业可以将第二级CIS基准项目视为短期目标,但大多数企业会将其作为长期战略的一部分。
CIS公有云基础的范围
当前可以为以下公有云环境下载CIS基准测试:
- 阿里云
- AWS
- 谷歌云平台
- Google Workspace
- IBM云
- Microsoft Azure
- Oracle云计算基础设施
尽管一个给定平台的CIS基准可能与其他平台的基准有所不同,但仍存在明显的共性。公有云的所有CIS基准都有类似的控制建议类别,从虚拟机工作负载安全到存储和数据安全设置,再到特权访问控制。
CIS云安全的控制建议
普遍和可行的建议如下:
- 创建符合行业最佳实践和强化标准的安全云工作负载,存储和监视这些新图像。
- 通过AWS CloudTrail或Google Cloud的操作套件(以前称为Stackdriver)之类的工具启用云计算控制平台日志记录,以提供对在云服务帐户内进行的所有API调用的可见性。此外,应配置和启用云原生监视和警报。
- 对任何云管理界面(包括Web门户或命令行)启用强身份验证。为不同的云计算操作角色实施最低特权身份策略。
- 为云存储服务启用加密和其他数据保护措施。
- 安全的云原生网络访问控制,以最大程度地减少访问,并启用网络流数据以监视网络行为。
CIS云安全框架如何改进
大型云服务环境正在以越来越快的速度发展。尽管CIS基准涵盖了云安全控制和配置的核心基础,但更频繁地更新基于共识的指导原则将有助于通过提供更新的指导来更好地为企业服务。
此外,将基准与行业攻击模型和框架(例如针对云计算的Mitre ATT&CK)结合起来,将有助于教育利益相关者在现实世界的云攻击场景中采用哪些控件可以保护他们。