信息化觀察網(wǎng)

快速擴(kuò)展的大量云服務(wù)為企業(yè)IT和安全團(tuán)隊(duì)創(chuàng)造了一個(gè)永無止境且異?？焖俚淖兓芷?。許多團(tuán)隊(duì)都在爭先恐后地保護(hù)公共云中的數(shù)據(jù)，而且大多數(shù)組織都在使用過時(shí)的安全策略，這些策略在應(yīng)用于AWS、Azure和Google Cloud等云環(huán)境時(shí)會失敗。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的技術(shù)策略師Jay Gazlay最近告訴美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)信息安全和隱私咨詢委員會：“身份現(xiàn)在就是一切。我們可以談?wù)撐覀兊木W(wǎng)絡(luò)防御，我們可以談?wù)摲阑饓途W(wǎng)絡(luò)分段的重要性，但實(shí)際上，身份已經(jīng)成為邊界，我們需要開始以這種方式重新定位我們的基礎(chǔ)設(shè)施。”

了解身份的重要性

Gazlay的評估表明身份是新的邊界。安全團(tuán)隊(duì)習(xí)慣于考慮使用網(wǎng)絡(luò)創(chuàng)建邊界，將安全堆棧放置在這些邊界相交的地方，并根據(jù)已知和鎖定的數(shù)據(jù)路徑對其進(jìn)行配置。這根本不能作為云中的整體安全解決方案。相反，云安全團(tuán)隊(duì)必須考慮他們控制哪些身份、這些身份可以用于什么以及他們可以訪問哪些資源。

現(xiàn)代攻擊周期始于身份。攻擊者尋求通過身份獲得訪問權(quán)限，然后在資源之間切換，發(fā)現(xiàn)憑據(jù)以及其他人和非人身份，從而使他們能夠更好地訪問關(guān)鍵數(shù)據(jù)并導(dǎo)致數(shù)據(jù)泄露。重要的是要了解身份將安全性擴(kuò)展到企業(yè)的傳統(tǒng)壁壘之外，這就是為什么我們看到數(shù)據(jù)泄露是將舊的網(wǎng)絡(luò)安全策略應(yīng)用于云時(shí)失敗的原因。

在評估他們的云安全職位時(shí)，安全團(tuán)隊(duì)?wèi)?yīng)該問自己以下問題：

我們是否將身份作為我們的邊界來管理？如果您的團(tuán)隊(duì)仍在管理舊的網(wǎng)絡(luò)邊界，那么您的公司就會面臨風(fēng)險(xiǎn)。您的組織必須管理個(gè)人和非個(gè)人身份。

我們是否已確定云中的安全風(fēng)險(xiǎn)？云安全風(fēng)險(xiǎn)和漂移可能很快發(fā)生。身份、資源和服務(wù)配置錯(cuò)誤可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。組織可以通過首先識別未經(jīng)授權(quán)的身份和過多的權(quán)限來最大限度地降低風(fēng)險(xiǎn)。數(shù)據(jù)所有者和云運(yùn)營、安全和審計(jì)團(tuán)隊(duì)必須不斷評估風(fēng)險(xiǎn)，以最大限度地提高數(shù)據(jù)的控制管理、安全和治理。

數(shù)據(jù)暴露指標(biāo)是否不足？在風(fēng)險(xiǎn)評估策略中，僅靠透明的云數(shù)據(jù)存儲是不夠的。雖然數(shù)據(jù)所有者可能會信任他們的DevOps來管理數(shù)據(jù)對象的存儲，但這并不能揭示外部方可訪問性和特權(quán)的全部范圍。云用戶必須完全了解他們的數(shù)據(jù)真正存在的位置、哪些身份可以訪問它、它是如何被訪問的以及它從哪里移入和移出。

我們的協(xié)調(diào)問題是什么？向單個(gè)團(tuán)隊(duì)發(fā)送安全警報(bào)以進(jìn)行分類和管理的過時(shí)范式根本不可行。在云運(yùn)營模型中，不同的團(tuán)隊(duì)同時(shí)使用環(huán)境，包括審計(jì)、DevOps和安全團(tuán)隊(duì)。在這里，過時(shí)的范式崩潰了。解決方案是將問題提交給創(chuàng)建它們的團(tuán)隊(duì)，因?yàn)樗麄冏钣心芰鉀Q這些問題。

我們是否解決了云安全員工的技能差距？許多開發(fā)人員天生就不是安全專家，應(yīng)該接受最佳網(wǎng)絡(luò)安全實(shí)踐培訓(xùn)。不想為現(xiàn)有開發(fā)人員增加更多職責(zé)的組織可能需要一種新型的操作人員，將操作與安全(DevSecOps)相結(jié)合。未能提升員工技能意味著他們不具備保護(hù)當(dāng)今組織所需的技能和知識。

是時(shí)候改進(jìn)您的企業(yè)戰(zhàn)略了

云涉及多個(gè)賬戶、信任關(guān)系和權(quán)限繼承，使得數(shù)據(jù)所有者密切關(guān)注它變得極具挑戰(zhàn)性。以下是您可以用來改進(jìn)策略的一些領(lǐng)域：

作為零信任策略的一部分，組織應(yīng)采取措施轉(zhuǎn)移到最低權(quán)限，確定對安全影響最直接的活動，并制定實(shí)施計(jì)劃。這意味著投資于滿足零信任策略的解決方案，通過持續(xù)監(jiān)控每個(gè)權(quán)限、訪問和身份來確定其有效權(quán)限、可以做什么以及可以訪問哪些數(shù)據(jù)。

在數(shù)據(jù)風(fēng)險(xiǎn)造成損害之前預(yù)防數(shù)據(jù)風(fēng)險(xiǎn)。像對待人一樣對待補(bǔ)救和預(yù)防機(jī)器人。發(fā)現(xiàn)的問題應(yīng)該上報(bào)給正確的團(tuán)隊(duì)或機(jī)器人（團(tuán)隊(duì)跟蹤和審計(jì)）。這將為您的環(huán)境帶來高性能的合規(guī)性結(jié)構(gòu)。制定預(yù)防規(guī)則并確保規(guī)則得到持續(xù)滿足。

不完全了解其在保護(hù)公有云中的身份和數(shù)據(jù)方面所扮演的角色的企業(yè)會采用可能導(dǎo)致災(zāi)難性后果的過時(shí)策略承擔(dān)不必要的風(fēng)險(xiǎn)。