云計算因其與生俱來的可擴展性和靈活性,以及高性能計算能力,獲得了大量企業(yè)用戶的青睞,成為企業(yè)關(guān)鍵任務(wù)負載的首選項。云原生安全作為一種新興的安全理念,不僅解決云計算普及帶來的安全問題,更強調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應(yīng)用,推動安全與云計算深度融合。以下是需要關(guān)注的6個云原生安全重點能力,這些領(lǐng)域?qū)τ诎踩珜I(yè)人員、軟件開發(fā)人員和信息技術(shù)專家來說非常重要。
1.身份和訪問管理
如今的信息技術(shù)世界需要身份和訪問管理(IAM)。企業(yè)使用IAM系統(tǒng),通過為人員及其設(shè)備創(chuàng)建身份,可以輕松管理和跟蹤每個身份,并僅授予相關(guān)權(quán)限以支持他們的工作。在云上實施IAM有助于確保企業(yè)開發(fā)人員、客戶、供應(yīng)商和其他合作伙伴高效、安全地訪問服務(wù)和數(shù)據(jù)。
特別是使用多因素身份驗證和行為分析(例如預(yù)期登錄時間和位置),可以幫助企業(yè)通過IAM識別個人和設(shè)備之間的可疑活動,利用人工智能和自動化IAM來幫助企業(yè)更快地識別這些問題。隨著企業(yè)面臨的監(jiān)管壓力越來越大,這些自動化解決方案將越來越有可能發(fā)揮更大作用。
此外,設(shè)備和云的通信(無論是通過藍牙還是Wi-Fi)越來越多。未實施IAM的設(shè)備很容易受到攻擊,從而導(dǎo)致數(shù)據(jù)被盜、企業(yè)形象受損或發(fā)生違規(guī)行為。
2.供應(yīng)鏈安全
與IAM和第三方訪問相關(guān)的是供應(yīng)鏈安全。通常,供應(yīng)鏈由許多供應(yīng)商和第三方組成。供應(yīng)鏈安全的關(guān)鍵問題之一是供應(yīng)鏈具有很大的攻擊面,這意味著需要在供應(yīng)鏈中建立安全性來保護它們。由于現(xiàn)代供應(yīng)鏈日趨復(fù)雜和一體化,這一問題將進一步加劇。
當(dāng)攻擊者成功入侵供應(yīng)鏈時,他們可能會訪問整個供應(yīng)鏈中的數(shù)據(jù)。這意味著他們可以注入惡意代碼或篡改硬件并訪問私人數(shù)據(jù)。如果供應(yīng)商的系統(tǒng)不安全,那么授予這樣的供應(yīng)商訪問企業(yè)系統(tǒng)勢必會帶來嚴(yán)重危害。
解決此問題的最簡單方法之一是取消供應(yīng)商對數(shù)據(jù)的訪問權(quán)限。實際上,大多數(shù)供應(yīng)商可能也并不需要訪問云上企業(yè)數(shù)據(jù)。通過消除該攻擊向量,企業(yè)可以消除攻擊者使用供應(yīng)商系統(tǒng)訪問數(shù)據(jù)的能力。在所有供應(yīng)商中實施標(biāo)準(zhǔn)化的基線安全模型,將幫助企業(yè)在基于云的環(huán)境中變得更加安全。
3.API安全
API安全與供應(yīng)鏈安全密切相關(guān)。通常,供應(yīng)商可能會利用API與企業(yè)應(yīng)用程序集成。API對于現(xiàn)代云應(yīng)用程序至關(guān)重要。微服務(wù)也依賴API相互交互并執(zhí)行工作。一些工作負載可能有數(shù)千個API,但API本身可能并不安全,它們可能會成為一種負擔(dān)。因為在攻擊者看來,API是一個特別誘人的目標(biāo),因為它們的漏洞通常有據(jù)可查且可以公開訪問。攻擊者可以使用開放文檔對API進行逆向工程,以進入企業(yè)系統(tǒng)并在不被發(fā)現(xiàn)的情況下竊取數(shù)據(jù)。
提高API安全性是云原生安全的重要發(fā)展趨勢,企業(yè)安全團隊?wèi)?yīng)努力將API安全性集成到Web和基于云的應(yīng)用程序開發(fā)過程中。API安全性也應(yīng)該是自動化的,因為自動化API安全性可減少人為錯誤,并最大限度地降低工作量。目前,市場上有許多可用的API安全工具都可以與企業(yè)的CI/CD管道集成,并在軟件開發(fā)生命周期中增強可見性和安全性。
4.秘密憑證管理
基于云的應(yīng)用程序使用許多工具、微服務(wù)和特權(quán)賬戶來支撐其運行。在許多情況下,每個區(qū)域都需要從應(yīng)用程序到應(yīng)用程序,以及從應(yīng)用程序到數(shù)據(jù)庫通信所需的密鑰和密碼。但是,如果缺乏強大的秘密憑證管理策略,管理員和開發(fā)人員在面對安全事件時可能就會感到措手不及。秘密憑證可以涵蓋普通、特殊的密碼規(guī)則,以及安全密鑰、令牌、訪問代碼,甚至是物理秘密。雖然通用業(yè)務(wù)計劃對于支持和發(fā)展業(yè)務(wù)而言至關(guān)重要,但包含技術(shù)信息安全性的安全計劃(例如密鑰和密碼管理)將能夠有效地降低風(fēng)險。
在管理秘密時,請務(wù)必記住,第三方軟件可能需要訪問這些秘密才能正確集成到企業(yè)的工作流程中。因此,即便企業(yè)內(nèi)部所有工具都是安全的,不安全的第三方工具也同樣會釀造巨大的安全威脅。此外,DevOps工具可以訪問多種資源和編排軟件,這也可能帶來巨大的安全問題。試想一下,如果攻擊者成功訪問DevOps工具,他們將很容易接觸到敏感信息。因此,企業(yè)的所有團隊都應(yīng)接受有關(guān)處理密鑰和密碼的最佳實踐培訓(xùn)。
秘密管理可能很復(fù)雜,但企業(yè)內(nèi)所有人員都必須了解其重要性,企業(yè)應(yīng)利用工具來管理其秘密,并為其基于云的工作負載提供安全性。值得注意的是,秘密憑證管理應(yīng)該是自動化的,而非手動的,因為手動生成密碼可能會導(dǎo)致人為錯誤,并為網(wǎng)絡(luò)犯罪分子留下可以利用的安全漏洞。另外,管理員應(yīng)該創(chuàng)建復(fù)雜的密鑰或密碼,因為網(wǎng)絡(luò)犯罪分子能夠很容易猜到簡單的密鑰或密碼。
5.云安全態(tài)勢管理
云配置錯誤是數(shù)據(jù)泄露的主要原因之一。云安全態(tài)勢管理(CSPM)是確保云配置正確的有用工具,它將掃描企業(yè)的云配置和應(yīng)用程序組件,并突出顯示任何可能導(dǎo)致數(shù)據(jù)泄露的錯誤配置,CSPM通過自動化手段正確配置云中的服務(wù)和資源,有效阻止攻擊者侵入系統(tǒng),幫助企業(yè)保護系統(tǒng)安全。
6.社會工程安全
在安全方面,一個經(jīng)常被忽略的存在就是社會工程。在社會工程場景中,攻擊者會操縱他們的目標(biāo)輸入可能導(dǎo)致數(shù)據(jù)泄露的信息。網(wǎng)絡(luò)犯罪分子甚至可以直接通過企業(yè)的系統(tǒng)工程師或軟件開發(fā)人員,了解現(xiàn)有的安全協(xié)議,再使用這些信息來查找系統(tǒng)中的安全漏洞。為避免這種情況,請考慮為員工制定社交媒體政策。
社交媒體政策需要明確規(guī)定:企業(yè)信息不得發(fā)布在個人社交媒體賬戶上。此外,還需要為組織內(nèi)的各個級別員工創(chuàng)建信息和培訓(xùn)計劃,以便他們了解在公司內(nèi)部和外部共享信息的風(fēng)險;隔離和分類團隊間的信息,以幫助企業(yè)確定安全漏洞的來源等。
請記住,企業(yè)可以使用任意數(shù)量的自動保護和預(yù)防工具,但如果有人泄露了他們的密碼,檢測“冒名頂替者”的任務(wù)可能會非常困難。
小結(jié)
云安全正在不斷演進,更新的技術(shù)將進一步增強安全性。但是,通過踐行最佳安全實踐并創(chuàng)建集成的安全策略,企業(yè)將更加安全。繼續(xù)監(jiān)控行業(yè)發(fā)展趨勢并實施上述一些策略,將能夠解決基于云的組織所面臨的諸多現(xiàn)代威脅。