如今，很多企業(yè)致力于提高云計(jì)算安全指標(biāo)的可見性，這是由于云計(jì)算的安全性與本地部署的安全性根本不同，并且隨著企業(yè)將應(yīng)用程序、服務(wù)和數(shù)據(jù)移動(dòng)到新環(huán)境，需要不同的實(shí)踐。

安全廠商Threat Stack公司產(chǎn)品管理副總裁Chris Ford表示，人們不能再將安全視為一種可以“圍繞一切的圍欄”。他說(shuō)，“在基礎(chǔ)設(shè)施這個(gè)高度變化的新世界中，人們需要了解基礎(chǔ)設(shè)施的所有不同區(qū)域，在這些區(qū)域中檢測(cè)風(fēng)險(xiǎn)，并開始采取安全措施。這一切都取決于人們觀察行為的能力?！?/p>

CloudKnox公司首席執(zhí)行官Balaji Parimi表示，當(dāng)涉及到當(dāng)今的云安全實(shí)踐時(shí)，很多企業(yè)處于“被動(dòng)模式”。他們主要是通過(guò)使用能夠提供異?；顒?dòng)可見性的工具來(lái)保護(hù)云環(huán)境，然后對(duì)異?；顒?dòng)做出響應(yīng)。

Parimi說(shuō)，“雖然這些‘反應(yīng)式’工具有一些優(yōu)點(diǎn)，但企業(yè)必須優(yōu)先考慮先發(fā)制人的措施，以防止災(zāi)難性的情況發(fā)生。”他建議，企業(yè)評(píng)估有助于防止或至少小化與配置不當(dāng)?shù)纳矸菹嚓P(guān)的風(fēng)險(xiǎn)的工具。

監(jiān)視過(guò)度配置或錯(cuò)誤配置的身份是企業(yè)改進(jìn)云安全監(jiān)控的方法之一。在這里，專家們分享了他們?cè)谠朴?jì)算中如何實(shí)施云安全監(jiān)控的佳實(shí)踐。

1.了解自己的責(zé)任

企業(yè)應(yīng)與供應(yīng)商進(jìn)行溝通，以澄清安全責(zé)任的誤解。Ford說(shuō)， “很多企業(yè)希望與云計(jì)算提供商溝通，并準(zhǔn)確理解共享責(zé)任模式所涵蓋的內(nèi)容?！彼赋?，很多企業(yè)可能對(duì)基礎(chǔ)設(shè)施的某些領(lǐng)域視而不見。

除了詢問(wèn)涵蓋哪些安全領(lǐng)域之外，他還建議詢問(wèn)哪些工具可以提供有助于識(shí)別更復(fù)雜的攻擊行為的洞察力。

Parimi提供了一個(gè)用戶詢問(wèn)云計(jì)算服務(wù)提供商的問(wèn)題列表：“你們負(fù)責(zé)哪些安全性，以及我們負(fù)責(zé)的是什么?你們的產(chǎn)品和服務(wù)符合哪些安全和隱私標(biāo)準(zhǔn)?你們是否保留了已簽名的審計(jì)跟蹤，其中包含哪些身份通過(guò)其UI和API執(zhí)行哪些操作以及何時(shí)執(zhí)行?你們對(duì)日志提供什么訪問(wèn)權(quán)限?”

2.了解供應(yīng)商的能力

Sncurosis公司分析師兼首席執(zhí)行官Rich Mogull在一次網(wǎng)絡(luò)研討會(huì)上表示，“云計(jì)算管理平臺(tái)可以讓企業(yè)完全控制一切。這就像一次登錄就可以訪問(wèn)數(shù)據(jù)中心的所有內(nèi)容一樣，對(duì)于那些知道如何利用它的人來(lái)說(shuō)，這是一個(gè)巨大的安全優(yōu)勢(shì)。”

收集云計(jì)算數(shù)據(jù)的方法有兩種：云計(jì)算提供商支持管理平臺(tái)活動(dòng)完整日志記錄的直接方式，以及服務(wù)器和應(yīng)用程序日志。Mogull指出，有些人試圖通過(guò)云訪問(wèn)安全代理(CASB)進(jìn)行路由，這對(duì)于軟件即服務(wù)(SaaS)而言并非適用于基礎(chǔ)設(shè)施即服務(wù)(IaaS)，其理想的方法是直接從提供者處收集。

“這是企業(yè)追蹤一切的唯一規(guī)范來(lái)源。”他解釋說(shuō)。但是，云計(jì)算提供商具有不同程度的支持，因此熟悉提供商的日志記錄功能的范圍非常重要。

“亞馬遜公司如今是強(qiáng)大的云計(jì)算供應(yīng)商。”Mogull說(shuō)。 CloudTrail涵蓋幾乎所有API調(diào)用，Config隨時(shí)間處理配置狀態(tài)監(jiān)控，CloudWatch涵蓋基本核心日志記錄，GuardDuty查看用戶永遠(yuǎn)無(wú)法訪問(wèn)的有關(guān)Amazon資產(chǎn)的數(shù)據(jù)。Microsoft Azure提供了各種日志服務(wù)，但它的大部分日志記錄都是由Azure安全中心提供的，Mogull稱其比CloudTrail更難從中獲取數(shù)據(jù)。

3. 發(fā)展速度對(duì)于安全監(jiān)控提出挑戰(zhàn)

Mogull在網(wǎng)絡(luò)研討會(huì)上表示，云計(jì)算帶來(lái)的變化率與傳統(tǒng)數(shù)據(jù)中心的變化率大不相同，其發(fā)展速度對(duì)監(jiān)控安全威脅提出了挑戰(zhàn)。例如，許多傳統(tǒng)工具沒(méi)有跟上發(fā)展步伐，因?yàn)樗鼈儾恢С諥PI，或者它們無(wú)法隨時(shí)管理數(shù)據(jù)。他指出，云計(jì)算技術(shù)的波動(dòng)性意味著靜態(tài)庫(kù)存工具的用處不大。

一些企業(yè)認(rèn)為他們可以采用現(xiàn)有的安全堆棧并將其移至云端，但他不建議這樣做。例如，這樣做會(huì)提示如何處理無(wú)服務(wù)器架構(gòu)或處理未管理容器服務(wù)器平臺(tái)上的容器的問(wèn)題。

Threat Stack公司的Ford表示，超過(guò)一半的用戶似乎愿意用安全換取速度和靈活性。企業(yè)將面臨大限度降低風(fēng)險(xiǎn)而不妨礙快速行動(dòng)的挑戰(zhàn)。他說(shuō)，“我認(rèn)為這是我們必須直接面對(duì)的挑戰(zhàn)之一?！?/p>

4.可見性是關(guān)鍵

在安全監(jiān)控方面，大多數(shù)企業(yè)完全依賴于他們從云計(jì)算提供商那里獲得的信息，F(xiàn)ord稱這種方法可能會(huì)在可見性方面留下空白，特別是在工作負(fù)載方面。

他解釋說(shuō)：“用戶應(yīng)該有能力觀察云計(jì)算基礎(chǔ)設(shè)施每一層的行為?！边@其中包括主機(jī)可見性、容器可見性、對(duì)控制平臺(tái)的可見性以及對(duì)應(yīng)用程序?qū)拥目梢娦?，以查看跨站點(diǎn)腳本、SQL注入和其他威脅。

云計(jì)算客戶在限制重要數(shù)據(jù)的關(guān)鍵服務(wù)訪問(wèn)方面變得越來(lái)越明智，但攻擊者的知識(shí)和技術(shù)也在不斷發(fā)展。攻擊者不必直接訪問(wèn)數(shù)據(jù)，而是尋找可用于訪問(wèn)服務(wù)層并在網(wǎng)絡(luò)上建立持久性的密鑰。在那里，他們可以進(jìn)行在整個(gè)基礎(chǔ)設(shè)施中橫向移動(dòng)，他們可以找到擁有訪問(wèn)數(shù)據(jù)存儲(chǔ)所需的身份識(shí)別與訪問(wèn)管理(IAM)憑據(jù)的人員。

Cloudknox的Parimi說(shuō)，大多數(shù)企業(yè)很難保持良好的安全態(tài)勢(shì)，因?yàn)樗麄內(nèi)狈?duì)混合云環(huán)境的基本可見性。許多工具并不是為支持動(dòng)態(tài)云計(jì)算環(huán)境而開發(fā)的。例如，嘗試在混合云中應(yīng)用小權(quán)限原則的企業(yè)使用依賴于基于角色的訪問(wèn)控制(RBAC)的解決方案。

“這種做法的問(wèn)題在于傳統(tǒng)的基于角色的訪問(wèn)控制(RBAC)只能在靜態(tài)環(huán)境中工作。”Parimi說(shuō)，“這意味著當(dāng)今典型的特權(quán)身份有權(quán)在廣泛的關(guān)鍵基礎(chǔ)設(shè)施上執(zhí)行許多高風(fēng)險(xiǎn)行為，盡管他們只使用并需要一小部分特權(quán)來(lái)執(zhí)行他們的日常工作，這將帶來(lái)風(fēng)險(xiǎn)?！?/p>

5.可見性可能成為一個(gè)挑戰(zhàn)

Securosis公司的Mogull表示，管理層提供的可見性很好，但可能變得難以控制。他補(bǔ)充說(shuō)，“我們需要考慮一下，將如何通過(guò)提高可見度來(lái)發(fā)現(xiàn)噪聲中的信號(hào)，并將這種可見性轉(zhuǎn)化為真正可行的洞察力?”

他說(shuō)，“在某個(gè)時(shí)刻，企業(yè)需要確定要查找的信息類型以及希望如何收集這些數(shù)據(jù)。這有多種選擇，而找出關(guān)注的數(shù)據(jù)和原因至關(guān)重要。例如，希望監(jiān)控網(wǎng)絡(luò)流量嗎?防病毒與這有關(guān)系嗎?云計(jì)算配置是內(nèi)置的?還是需要其他工具?”

Mogull建議將云監(jiān)控視為是一種望遠(yuǎn)鏡，而不是顯微鏡。他說(shuō)，“用戶不要認(rèn)為可以捕獲環(huán)境中每個(gè)部分的數(shù)據(jù)。龐大的數(shù)據(jù)量可能變得無(wú)法管理?！?/p>

Threat Stack公司Ford說(shuō)，“重要的是要了解得不到什么。”他警告說(shuō)，不要讓可見度帶來(lái)一種虛假的安全感。這可能讓組織很難知道對(duì)于給定的數(shù)據(jù)集采取哪些操作，而且在處理云安全數(shù)據(jù)時(shí)，場(chǎng)景是必不可少的。對(duì)于從多個(gè)供應(yīng)商或提供容器的供應(yīng)商處獲得服務(wù)的組織來(lái)說(shuō)將會(huì)增加復(fù)雜性。

6.將警報(bào)置于場(chǎng)景中

Ford表示，僅僅依靠來(lái)自安全工具的警報(bào)是不夠的。他說(shuō)，“用戶需要提供警報(bào)的深層次場(chǎng)景，這樣才能理解產(chǎn)生警報(bào)時(shí)發(fā)生的事情?！?/p>

Ford解釋說(shuō)，例如，某個(gè)組織收到亞馬遜網(wǎng)絡(luò)服務(wù)公司的GuardDuty關(guān)于有問(wèn)題連接的警報(bào)。除非可以確定哪個(gè)用戶啟動(dòng)了創(chuàng)建連接的進(jìn)程，否則很難有足夠的場(chǎng)景來(lái)使這些警報(bào)進(jìn)行操作。他建議通過(guò)安全編排平臺(tái)或SIEM與其他工具的組合，盡可能多地訪問(wèn)遙測(cè)數(shù)據(jù)，以收集所需的數(shù)據(jù)量。

如果組織正在研究網(wǎng)絡(luò)流，那么用戶和應(yīng)用程序行為的知識(shí)可以幫助其確定什么是正常與異常行為。另一個(gè)例子是，F(xiàn)ord指出可以查看權(quán)限提升的配置。如果組織注意到權(quán)限升級(jí)與未經(jīng)授權(quán)的文件修改相結(jié)合，那么對(duì)其配置的查看更加緊迫。

7.過(guò)濾數(shù)據(jù)，減少成本

Securosis公司的Mogull建議組織在通過(guò)互聯(lián)網(wǎng)傳輸日志之前過(guò)濾日志。他說(shuō)，云計(jì)算提供商按數(shù)據(jù)的字節(jié)收費(fèi)，其目標(biāo)是減少成本，而不是將收集的所有數(shù)據(jù)都推送到SIEM中。

他解釋說(shuō)，管理平臺(tái)日志的數(shù)據(jù)少于實(shí)例和其他云資源，但是它們的成本仍然會(huì)增加。他建議組織將其擁有的賬戶與記錄的內(nèi)容相關(guān)聯(lián)。這取決于提供商，但通常組織可以將結(jié)算和項(xiàng)目ID與日志ID進(jìn)行比較。他說(shuō)，只有項(xiàng)目管理員才能訪問(wèn)項(xiàng)目日志。

服務(wù)器和應(yīng)用程序日志可能會(huì)帶來(lái)更棘手的問(wèn)題，這在很大程度上取決于項(xiàng)目需求。服務(wù)器和應(yīng)用程序日志通常包含更大的數(shù)據(jù)量，這會(huì)使成本管理變得困難。

8.使用基于身份的方法

CloudKnox公司的Parimi建議企業(yè)從身份角度評(píng)估他們的安全狀況。作為此過(guò)程的一部分，他們應(yīng)該著眼于了解有多少人員可以接觸他們的關(guān)鍵基礎(chǔ)設(shè)施，這些身份是他們真正需要的特權(quán)，在特定時(shí)間段內(nèi)采取行動(dòng)。

“重要的是，企業(yè)必須認(rèn)識(shí)到他們的關(guān)鍵工作負(fù)載在當(dāng)今的現(xiàn)代化基礎(chǔ)設(shè)施中是多么脆弱。”他解釋說(shuō)。采用一行腳本或簡(jiǎn)單地采用某人的身份都會(huì)造成“災(zāi)難性的破壞”，并且對(duì)可能導(dǎo)致這種損害的人和因素的整體理解應(yīng)該是網(wǎng)絡(luò)安全策略的核心。

所有企業(yè)都應(yīng)該假設(shè)其混合云的大風(fēng)險(xiǎn)是具有過(guò)多特權(quán)的可信身份，并且降低風(fēng)險(xiǎn)的唯一方法是實(shí)施小特權(quán)原則。Parimi補(bǔ)充說(shuō)，“企業(yè)不要過(guò)度或錯(cuò)誤地提供高風(fēng)險(xiǎn)特權(quán)的人員身份?！?/p>