美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架是一個(gè)很有價(jià)值的工具,可改善IT度量和標(biāo)準(zhǔn),尤其是數(shù)據(jù)安全保護(hù)。
研究表明,將近三分之二的組織將安全性視為采用云技術(shù)的最大挑戰(zhàn),這使NIST網(wǎng)絡(luò)安全框架成為重視數(shù)據(jù)安全的IT領(lǐng)導(dǎo)者的寶貴工具。
但是,隨著越來(lái)越多的企業(yè)采用越來(lái)越復(fù)雜的多云和混合云環(huán)境,照搬NIST網(wǎng)絡(luò)安全框架暗藏著巨大風(fēng)險(xiǎn),因?yàn)镹IST網(wǎng)絡(luò)安全框架忽略了很多關(guān)鍵的云安全問(wèn)題。
不幸的是,NIST標(biāo)準(zhǔn)給大量企業(yè)和組織(從小型企業(yè)到大型政府組織)營(yíng)造了錯(cuò)誤的安全感。因?yàn)檫@些企業(yè)沒(méi)有意識(shí)到,盡管NIST安全框架有很多優(yōu)點(diǎn),但也給網(wǎng)絡(luò)內(nèi)部埋下了巨大的云安全問(wèn)題隱患。以下,我們簡(jiǎn)要總結(jié)NIST安全框架漏掉的四個(gè)關(guān)鍵云安全問(wèn)題。
日志文件和審計(jì)報(bào)告
許多組織會(huì)驚訝地發(fā)現(xiàn),沒(méi)有NIST標(biāo)準(zhǔn)規(guī)定日志文件應(yīng)保留30天以上??紤]到日志中存在的大量信息,30天的保留期太短,對(duì)于組織,尤其是大型企業(yè)而言,這對(duì)于安全報(bào)告來(lái)說(shuō)是一個(gè)重大的挑戰(zhàn)。
考慮到企業(yè)平均需要四個(gè)月以上的時(shí)間才能檢測(cè)到數(shù)據(jù)泄露,因此當(dāng)前的30天限制根本無(wú)法滿(mǎn)足需要。擴(kuò)展的審核日志保留功能可確保IT團(tuán)隊(duì)擁有調(diào)查安全事件溯源所需的取證數(shù)據(jù),也是遵守GDPR等數(shù)據(jù)隱私法規(guī)的關(guān)鍵一步。
共同責(zé)任
云(數(shù)據(jù))安全的問(wèn)責(zé)是個(gè)十分讓人頭疼的問(wèn)題,尤其是在使用多云或混合云環(huán)境的企業(yè)中。
SaaS之類(lèi)的高級(jí)云平臺(tái)需要大量IT驅(qū)動(dòng)的安全職責(zé)。在PaaS和SaaS解決方案中,身份和訪問(wèn)管理是一項(xiàng)共同的職責(zé),需要有效的實(shí)施計(jì)劃,其中包括身份提供者的配置、管理服務(wù)的配置、用戶(hù)身份的建立和配置以及服務(wù)訪問(wèn)控制的實(shí)現(xiàn)。
隨著全球企業(yè)數(shù)字化轉(zhuǎn)型計(jì)劃的推進(jìn)和大流行期間遠(yuǎn)程辦公的流行,越來(lái)越多的組織將業(yè)務(wù)應(yīng)用遷移到云托管環(huán)境中。盡管云計(jì)算責(zé)任分擔(dān)模型明確規(guī)定了云提供商及其用戶(hù)的安全義務(wù)以確保問(wèn)責(zé)制度,但可見(jiàn)性和安全監(jiān)控應(yīng)用程序仍存在空白,需要解決。
隨著越來(lái)越多的企業(yè)選擇云計(jì)算節(jié)省成本和改進(jìn)業(yè)務(wù),企業(yè)比以往任何時(shí)候都更需要彌合可見(jiàn)性和安全監(jiān)控的差距以實(shí)現(xiàn)最高安全性。
租戶(hù)代理
NIST要求對(duì)最小特權(quán)訪問(wèn)進(jìn)行范圍界定,但并未覆蓋租戶(hù)代理或“虛擬租戶(hù)”。虛擬租戶(hù)隔離了整個(gè)環(huán)境的各個(gè)區(qū)域,并防止管理員弄亂不屬于他們的區(qū)域。讓管理員控制他們的“虛擬”區(qū)域,從而幫助保護(hù)M365中的資源和數(shù)據(jù)。
可以理解,當(dāng)涉及個(gè)人隱私信息(PII)和知識(shí)產(chǎn)權(quán)時(shí),缺少租戶(hù)代理產(chǎn)生了重大的安全挑戰(zhàn)。因此,組織(尤其是大型的分布式組織)應(yīng)考慮采用可對(duì)特定業(yè)務(wù)部門(mén)的訪問(wèn)進(jìn)行細(xì)分的工具,以提高整體安全水平。
管理員角色和規(guī)則
微軟應(yīng)用管理員(Microsoft Application Administrator)包含大約有75個(gè)屬性,但是幾乎沒(méi)有人(無(wú)論微軟還是企業(yè)IT人士)確切了解它們的含義。如果授予用戶(hù)Application Administrator權(quán)限,則幾乎不可能確切知道該用戶(hù)具有哪種訪問(wèn)權(quán)限,從而帶來(lái)不必要的安全風(fēng)險(xiǎn)。
盡管IT員工在工作中經(jīng)常需要執(zhí)行某些功能,例如創(chuàng)建新的用戶(hù)賬戶(hù)和更改密碼,但是這些“流動(dòng)性”較強(qiáng)的功能并不容易歸屬到某個(gè)特定的角色。這種流動(dòng)性使傳統(tǒng)安全方法(例如基于角色的訪問(wèn)控制)的效力被削弱。
值得注意的是,NIST在管理員角色和規(guī)則方面也并非毫無(wú)作為,功能訪問(wèn)控制(FAC)就是其中之一。RBAC是實(shí)現(xiàn)最低特權(quán)訪問(wèn)的一種方法,而功能訪問(wèn)控制(FAC)是實(shí)現(xiàn)RBAC的一種方法。
作為NIST認(rèn)可的方法,F(xiàn)AC為IT管理員的功能權(quán)限提供了一種更細(xì)粒度的分配方法,使企業(yè)能夠調(diào)整特定用戶(hù)訪問(wèn)權(quán)限的大小,從而改善安全性。