工作負載(workload)安全移至云端的最佳實踐
作者:星期三, 六月 5, 20190

Gartner最新發布的全球IT支出預測認為,2019年,數據中心系統的支出將達到1950億美元,但到2022年這一數字將減少至1900億美元。相比之下,云基礎設施服務的支出將從2019年的395億美元增長至2021年的630億美元。如果許多組織仍然不愿意著手進行云轉型項目,或是擔心將工作負載遷移至云端所面臨的安全風險,那么這種“云移”( cloud shift)趨勢將更加明顯。接下來,讓我們來考慮一下對于云安全的擔憂是否真的合理。

根據IDC 發布的《2018年云計算調查報告》顯示,34%的受訪企業認為 “安全是云變革面臨的最大挑戰”。盡管存在這種統計數據,但許多組織仍然將安全問題放在一邊,紛紛以各種方式開展云計算業務。他們之所以這樣做,主要是因為他們需要更高的靈活性、敏捷性和成本節約需求。Gartner甚至預測,在成本優化和競爭力方面,那些沒有加入云變革浪潮的組織將最終處于落后地位,這可能會直接影響到他們的業務估值。

如今的動態威脅場景

在遷移至云端的過程中,了解 “云安全是云服務提供商和客戶之間的共同責任” 這一點至關重要。云服務提供商通常會將核心基礎架構和服務作為其共同職責的一部分進行保護。然而,保護操作系統、平臺和數據仍然是客戶的責任。

在制定云安全策略時,另一個重要的考慮因素是 “網絡攻擊者訪問敏感數據(即便它存儲在云端)最簡單的方法是通過入侵最終用戶的身份和憑證來實現的”。如果被盜身份屬于特權用戶(擁有異常廣泛的訪問權限),那么情況會變得更加糟糕,這基本上就等于為入侵者提供了 “通關密碼”。通過利用獲取到的“可信”身份,攻擊者可以在不觸及任何危險信號的情況下輕松訪問和滲漏敏感數據集。

需要注意的是,只需一個受損的特權憑證即可影響數百萬條數據記錄,并導致數百萬美元的經濟損失。最近的一個案例是2018年2月針對特拉斯(Tesla)的網絡攻擊事件。這里我們要討論的不是什么“內鬼”事件——特拉斯聲稱一名心懷不滿的員工破壞了訪問憑證來報復公司——而是一名具備惡意企圖的行為者,他竊取了DevOps工程師的特權憑證,從而獲取了對Tesla AWS云基礎架構的訪問權限。這名攻擊者的最終目的是在一個隱藏得很好的加密劫持活動中安裝挖礦惡意軟件。而這起案件只是針對云環境的眾多違規行為中的一個而已。

最佳實踐

為了防止云基礎設施和服務暴露于這些攻擊之中,組織需要重新考慮他們的企業安全策略,并轉向基于 “零信任” 模型的 “以身分為中心” 的方法。所謂 “零信任” 模型,即 “永不信任,始終驗證,實施最低權限”。這個概念應該擴展到組織的員工隊伍、合作伙伴、特權IT管理員和外包IT之中。

如今,當提及云環境安全時,應該考慮以下最佳實踐來阻止這一造成當今違規行為的罪魁禍首——特權訪問濫用。

1. 在整個基礎架構中應用通用安全模型

在提及云變革問題時,一個主要的抑制因素是云需要一種特殊的安全模型,因為它位于傳統的網絡邊界之外。但事實上,傳統的安全性和合規性概念仍然適用于云。為什么云服務環境要與本地部署(on-premises)的數據中心有所不同?要知道,無論是對于云服務環境還是本地數據中心而言,用戶的角色和責任仍然是相同的。因此,應該實現跨越本地和云環境的通用安全基礎架構。例如,應該將Active Directory擴展至云端。

2. 整合身份

避免額外的 “身份孤島” 現象,因為這種現象不僅會擴大攻擊面,增加開銷,還會導致身份濫用。組織應該使用中心化身份(例如Active Directory)并啟用聯合身份登錄,而不是使用本地云提供商IAM賬戶和訪問密鑰。

3. 確保問責制

共享特權帳戶(例如,AWS EC2用戶和管理員)是匿名的。通過讓用戶使用其個人帳戶登錄并僅根據需要提升權限,可以確保100%的問責制。通過Active Directory集中管理授權,將角色和組映射到云提供者角色中。

4. 應用最低權限和權限提升

組織可以授予用戶“僅夠用的權限”來完成云提供商管理控制臺,云提供商服務和云提供商實例中的任務。為云提供商管理控制臺、Windows和Linux實例實施跨平臺權限管理。此外,還可以通過精確控制“誰可以訪問什么”以及“何時訪問”來保護Windows、Linux和UNIX系統。通過實施動態權限來避免默認權限提升的情況,以便用戶只能在特定時間或某段時間以及某些資源上提升權限。也可以基于時間和信任關系來隔離服務器,以進一步保護敏感數據。

5. 審核所有內容

記錄并監控授權和未授權用戶會話到云提供商實例中。 將所有活動與個人相關聯,并報告特權活動和訪問權限。

6. 實施多重身份驗證

為了防止正在進行的攻擊,并確保實現更高級別的用戶保護,組織應該為云服務管理、云提供商實例的登錄和權限提升實施多因素身份驗證(MFA)。

除此之外,使用零信任權限服務可以將企業安全策略和最佳實踐擴展至云環境中,同時還能降低成本(例如,通過避免site-to-site VPN實現身份目錄同步目的),提高跨多個VPC、SaaS和目錄環境的可擴展性,并通過集中管理最大限度地減少安全盲點。

相關閱讀

是時候認真思考Workload了

遷移到公有云時 這些事情一定要注意

 


相關文章

寫一條評論

 

 

0條評論