云计算的主要好处之一是为托管资源提供了高可用性。他们可以从任何地方进入。太好了。但这意味着你的云基础设施将不可避免地受到影响-面向互联网。这使得任何威胁参与者都能轻松尝试连接到您的服务器和服务,进行端口扫描、字典攻击和侦察活动。
云基础设施需要解决的一些安全问题与内部部署的传统基础设施相同。有些是不同的,或者包括额外的挑战。第一步是识别与云基础设施相关的风险。为了降低或降低这些风险,您需要实施应对措施和其他应对措施。确保您真正记录它们,并在所有利益相关者的存在和参与下排练它们。这将形成您的整体云安全策略。
没有云安全策略就像忽视地面网络的网络安全。事实上,这可能更糟,因为云的本质是面向互联网的。
企业面临的具体风险略有不同,这取决于使用云的方式和使用云产品的组合:基础设施即服务、平台即服务、软件即服务、容器即服务等。有不同的方法来分类风险。我们把它们聚集在一起,形成一个连贯但通用的风险群体。可能有一些不适合企业的确切用例,但在丢弃它们之前,我们需要确保这是真的。
配置错误,人为错误
在各种规模的组织中,由于疏忽、过度工作或不知道更好的方法,错误仍然无处不在。忘记的项目和错过的设置将导致每周的系统故障。2017年Equifax大规模漏洞泄漏超过1.61亿人的个人数据利用了过时的个人数据SSL证书。如果有一个管理可更新项目的流程并有明确的指导,说明谁负责流程,证书很可能会更新,违约也不会发生。
几乎每周都使用安全研究人员Shodan发现不安全容器等工具,Shodan它是一个搜索设备、端口和服务的搜索引擎。一些违约和风险敞口的出现是因为人们希望事情在违约时安全,但事实并非如此。一旦远程服务器启动,就需要执行与其他服务器相同的强化步骤和安全改进。维修也很重要。为了保持服务器防御的完整性,需要及时使用安全和维护补丁。
安装后还需要加强应用程序,特别是数据存储和数据库,如弹性搜索。默认情况下,账户需要更改其凭证,并使用提供的最高安全级别保护API。
如果可用,应使用双因素或多因素身份验证。避免基于SMS双因素身份验证容易受到影响。不需要未使用的。API,关闭或使用未发布的API密钥和专用API阻止使用密钥。Web防火墙的应用程序SQL注入攻击和跨站点脚本等威胁提供保护。
缺乏变更控制
与配置错误有关的是更改或更新工作系统时引入的漏洞。它应该以可控和可预测的方式进行。这意味着计划并同意更改,检查代码,将更改应用于沙箱系统,测试它们,并将其引入活动系统。这是一个非常适合自动化的东西。只要管道开发到部署,它就是适当和强大的,并测试你认为它做了什么,并尽可能彻底地测试你需要什么。
您需要注意的其他变化是在威胁环境中。您无法控制新的漏洞被发现并添加到威胁参与者可以使用的漏洞列表中。您所能做的就是确保扫描云基础设施,以解决当前已知的所有漏洞。
应为您的云基础设施进行频繁和彻底的渗透扫描。发现和纠正漏洞是保持云投资安全的核心要素。渗透扫描可以搜索忘记的开放端口、薄弱或未受保护的端口API、过时的协议堆栈、常见的错误配置、常见的漏洞和暴露数据库中的所有漏洞等。当发现可操作项时,可自动执行并设置为报警。
账户劫持
账户劫持是指通过访问授权人员的电子邮件账户、登录凭证或其他需要验证计算机系统或服务身份的信息来破坏系统的行为。然后,威胁行为人有权更改账户密码并进行恶意和非法活动。如果他们破坏了管理员的账户,他们可以为自己创建一个新账户,然后登录到账户,这样管理员的账户就不会受到影响。
钓鱼攻击或字典攻击是获取凭据的常见手段。除了使用常用数字和字母替换的字典单词和排列之外,字典攻击还使用来自其他数据泄露的密码数据库。如果任何帐户持有人在其他系统上被发现以前的漏洞,并在您的系统上重新使用泄露的密码,他们已经在您的系统上创建了一个漏洞。密码不应在其他系统上重复使用。
双因素和多因素身份验证将在这里有所帮助,自动扫描日志找到失败的访问尝试也将有所帮助。但一定要检查您的托管服务提供商的政策和程序。你假设他们会遵循行业的最佳实践,但在2019年,谷歌将G套件密码以纯文本的形式存储了14年。
能见度降低
雾天开车是一项吃力不讨好的工作。管理一个低层次、细粒度的信息系统,没有安全专业人员来监控和验证网络安全,也是类似的前景。如果你能看到你需要什么,你就做不好。
大多数云服务器通常支持远程桌面协议、安全等多种连接方式Shell和内置web门户网站等等。所有这些都可以被攻击。如果攻击正在发生,你需要知道。一些托管提供商可以为您提供更好的日志记录或更透明的日志访问,但您必须要求这样做。默认情况下,他们不会这样做。
访问日志只是第一步。你需要分析它们,寻找可疑的行为或不寻常的事件。在未来,来自多个不同系统的日志聚集在一起,并在一个时间轴上查看它们可能比逐个浏览每个日志更有启发性。真正做到这一点的唯一方法是使用自动工具来寻找无法解释或可疑的事件。更好的工具将匹配并找到可能是攻击结果的事件模式,这当然值得进一步调查。
不遵守数据保护法规
不合规是数据保护和数据隐私相当于系统配置错误。另一种脆弱性是不执行法律要求的政策和程序,以确保个人数据的合法收集、处理和传输,但它仍然是脆弱的。
这也是一个很容易落入的陷阱。数据保护显然是一件好事,要求组织以保护和保护人们数据的方式运作的立法也是一件好事。然而,没有专家的帮助或足够的技能和经验,很难跟踪立法本身。
新立法一直在颁布,现有立法也在修订中。当英国于2020年1月31日离开欧洲经济联盟时(EEU)当时,英国公司发现自己处于一个奇怪的境地。对于他们持有的任何英国公民数据,他们必须遵守《2018年英国数据保护法》第二章中包含的英国特定版本的一般数据保护条例。如果他们持有的任何个人信息都属于居住在欧洲其他地方的人,那么欧盟GDPR起作用。
GDPR适用于所有组织,无论它们在哪里。如果您收集、处理或存储属于英国或欧洲公民的个人数据,其中一个GDPRs将适用于您,必须处理此问题的不仅仅是英国和欧盟组织。同样的模式也适用于加州消费者隐私法案(CCPA)。无论数据处理发生在哪里,它都保护加州居民。因此,这不仅是加州组织需要解决的问题。重要的不是你的位置。重要的是你处理数据的人的位置。
加州并不是唯一一个通过立法解决数据隐私问题的州。内华达州和缅因州也有立法,纽约、马里兰州、马萨诸塞州、夏威夷和北达科他州也在实施自己的数据隐私法。
除了垂直集中的联邦立法,如健康保险便携性和责任法案(HIPAA),儿童在线隐私保护规则(COPPA)和格莱姆-里奇-布莱利法案(GLBA)如果其中任何一项适用于您的活动,立法。
如果您通过云基础设施的门户或网站收集信息,或在托管服务器上处理数据,这些立法将适用于您。在数据泄露的情况下,不合规行为可能会导致重大的经济处罚,损害声誉,并可能导致集体诉讼。
做好就是全职工作
安全是一个无穷无尽的挑战,云计算带来了它自己独特的关注。仔细选择主机或服务提供商是一个关键因素。确保您在正式联系他们之前进行了彻底的尽职调查。
•他们认真对待安全问题吗?他们的表现如何?
•他们是提供指导和支持,还是向你推销他们的服务,让你做?
•他们提供了哪些安全工具和措施作为服务的一部分?
•哪些日志可以使用?
在讨论云计算时,人们通常会给出这样一个众所周知的声音:“云只是指别人的电脑。”就像所有的声音一样,这是一个严重的过于简单的问题。但这仍然有一些原因。这是一个清晰的想法。