Gartner最新发布的全球IT支出预测认为,2019年,数据中心系统的支出将达到1950亿美元,但到2022年这一数字将减少至1900亿美元。相比之下,云基础设施服务的支出将从2019年的395亿美元增长至2021年的630亿美元。如果许多组织仍然不愿意着手进行云转型项目,或是担心将工作负载迁移至云端所面临的安全风险,那么这种“云移”( cloud shift)趋势将更加明显。接下来,让我们来考虑一下对于云安全的担忧是否真的合理。

根据IDC发布的《2018年云计算调查报告》显示,34%的受访企业认为 “安全是云变革面临的最大挑战”。尽管存在这种统计数据,但许多组织仍然将安全问题放在一边,纷纷以各种方式开展云计算业务。他们之所以这样做,主要是因为他们需要更高的灵活性、敏捷性和成本节约需求。Gartner甚至预测,在成本优化和竞争力方面,那些没有加入云变革浪潮的组织将最终处于落后地位,这可能会直接影响到他们的业务估值。

如今的动态威胁场景

在迁移至云端的过程中,了解 “云安全是云服务提供商和客户之间的共同责任” 这一点至关重要。云服务提供商通常会将核心基础架构和服务作为其共同职责的一部分进行保护。然而,保护操作系统、平台和数据仍然是客户的责任。

在制定云安全策略时,另一个重要的考虑因素是 “网络攻击者访问敏感数据(即便它存储在云端)最简单的方法是通过入侵最终用户的身份和凭证来实现的”。如果被盗身份属于特权用户(拥有异常广泛的访问权限),那么情况会变得更加糟糕,这基本上就等于为入侵者提供了 “通关密码”。通过利用获取到的“可信”身份,攻击者可以在不触及任何危险信号的情况下轻松访问和渗漏敏感数据集。

需要注意的是,只需一个受损的特权凭证即可影响数百万条数据记录,并导致数百万美元的经济损失。最近的一个案例是2018年2月针对特拉斯(Tesla)的网络攻击事件。这里我们要讨论的不是什么“内鬼”事件——特拉斯声称一名心怀不满的员工破坏了访问凭证来报复公司——而是一名具备恶意企图的行为者,他窃取了DevOps工程师的特权凭证,从而获取了对Tesla AWS云基础架构的访问权限。这名攻击者的最终目的是在一个隐藏得很好的加密劫持活动中安装挖矿恶意软件。而这起案件只是针对云环境的众多违规行为中的一个而已。

最佳实践

为了防止云基础设施和服务暴露于这些攻击之中,组织需要重新考虑他们的企业安全策略,并转向基于 “零信任” 模型的 “以身份为中心” 的方法。所谓 “零信任” 模型,即 “永不信任,始终验证,实施最低权限”。这个概念应该扩展到组织的员工队伍、合作伙伴、特权IT管理员和外包IT之中。

如今,当提及云环境安全时,应该考虑以下最佳实践来阻止这一造成当今违规行为的罪魁祸首——特权访问滥用

1. 在整个基础架构中应用通用安全模型

在提及云变革问题时,一个主要的抑制因素是云需要一种特殊的安全模型,因为它位于传统的网络边界之外。但事实上,传统的安全性和合规性概念仍然适用于云。为什么云服务环境要与本地部署(on-premises)的数据中心有所不同?要知道,无论是对于云服务环境还是本地数据中心而言,用户的角色和责任仍然是相同的。因此,应该实现跨越本地和云环境的通用安全基础架构。例如,应该将Active Directory扩展至云端。

2. 整合身份

避免额外的 “身份孤岛” 现象,因为这种现象不仅会扩大攻击面,增加开销,还会导致身份滥用。组织应该使用中心化身份(例如Active Directory)并启用联合身份登录,而不是使用本地云提供商IAM账户和访问密钥。

3. 确保问责制

共享特权帐户(例如,AWS EC2用户和管理员)是匿名的。通过让用户使用其个人帐户登录并仅根据需要提升权限,可以确保100%的问责制。通过Active Directory集中管理授权,将角色和组映射到云提供者角色中。

4. 应用最低权限和权限提升

组织可以授予用户“仅够用的权限”来完成云提供商管理控制台,云提供商服务和云提供商实例中的任务。为云提供商管理控制台、Windows和Linux实例实施跨平台权限管理。此外,还可以通过精确控制“谁可以访问什么”以及“何时访问”来保护Windows、Linux和UNIX系统。通过实施动态权限来避免默认权限提升的情况,以便用户只能在特定时间或某段时间以及某些资源上提升权限。也可以基于时间和信任关系来隔离服务器,以进一步保护敏感数据。

5. 审核所有内容

记录并监控授权和未授权用户会话到云提供商实例中。 将所有活动与个人相关联,并报告特权活动和访问权限。

6. 实施多重身份验证

为了防止正在进行的攻击,并确保实现更高级别的用户保护,组织应该为云服务管理、云提供商实例的登录和权限提升实施多因素身份验证(MFA)。

除此之外,使用零信任权限服务可以将企业安全策略和最佳实践扩展至云环境中,同时还能降低成本(例如,通过避免site-to-site VPN实现身份目录同步目的),提高跨多个VPC、SaaS和目录环境的可扩展性,并通过集中管理最大限度地减少安全盲点。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。