詳解混合云安全性與合規性，降低風(fēng)險的指導原

混合云安全已經(jīng)經(jīng)過(guò)一段時(shí)間的發(fā)展。云計算帶來(lái)了各種維度，這些維度需要一種方法來(lái)擴展當前的政策、實(shí)踐和技能。必須采取以企業(yè)為中心的視圖，以實(shí)現集中可見(jiàn)性、保護控制和控制風(fēng)險。

1.安全策略

擁有私有云和公共云環(huán)境(混合云和多云)的企業(yè)應明確定義云安全策略以監控和執行保護控制。該政策應涵蓋監管合規要求(例如 PCI、HIPAA、ISO、FFIEC、GDPR、政府或國家級要求等)、企業(yè)控制、數據駐留、隱私評估的需求。

他們應根據云服務(wù)提供商定義的共享責任模型和必須納入的客戶(hù)團隊責任來(lái)確定覆蓋范圍。監管政策不斷變化，企業(yè)風(fēng)險和合規團隊必須監控、評估和整合這些變化。

2.網(wǎng)絡(luò )彈性計劃

企業(yè)還應將其網(wǎng)絡(luò )彈性計劃擴展到云。他們必須考慮針對云環(huán)境的額外響應方案。風(fēng)險管理人員應在計劃中包括頻繁的進(jìn)攻性測試、桌面練習、員工教育，并將所有云環(huán)境納入其中。

3.安全互連

擁有多個(gè)私有數據中心設施的企業(yè)將通過(guò)支持電信的網(wǎng)絡(luò )連接在它們之間實(shí)現安全連接。強烈建議從數據中心擴展支持電信的連接，利用云原生連接，例如(直接連接、快速路由)以及 Equinix 等互連位置。

連接方法將支持私有云和公共云之間的安全傳輸。在互連處啟用深度數據包檢查可以提供額外的保證，以監控和管理受信任和不受信任區域之間的連接和流量管理。

通過(guò)這種方法，通過(guò)企業(yè)標識和訪(fǎng)問(wèn)管理工具擴展用戶(hù)訪(fǎng)問(wèn)權限將得到簡(jiǎn)化。對漫游用戶(hù)連接到云和私有云環(huán)境的額外監控將加強企業(yè)監控。

4.保護控制平面

云服務(wù)提供商控制平面或門(mén)戶(hù)是風(fēng)險面之一。主賬戶(hù)和其他高級特權賬戶(hù)可以訪(fǎng)問(wèn)在云本地啟用的計算、存儲元素、數據、格式模板、安全性和合規性配置。

對控制平面擁有更高權限的用戶(hù)可以在移動(dòng)部門(mén)或離開(kāi)公司時(shí)擁有相同的訪(fǎng)問(wèn)權限。如果用戶(hù)是惡意的或意外刪除、修改了基于云的資產(chǎn)，對用戶(hù)的這種訪(fǎng)問(wèn)可能會(huì )使企業(yè)面臨風(fēng)險。

企業(yè)應該了解所有簽約的云服務(wù)提供商和相關(guān)的控制平面。風(fēng)險管理人員應保管云服務(wù)提供商提供的主帳戶(hù)。安全管理人員應僅通過(guò)公司 ID 嚴格管理啟用具有較高權限的個(gè)人。

用戶(hù)的入職和離職必須按照安全策略的定義進(jìn)行管理。積極就業(yè)和持續業(yè)務(wù)需要訪(fǎng)問(wèn)，或者提升特權必須經(jīng)常審查。強烈建議使用多因素身份驗證并擴展到企業(yè)身份以降低風(fēng)險。

也建議使用 Privileged-id 管理和監控其使用情況，以跟蹤用戶(hù)行為并防止對云資源的無(wú)意刪除或修改。

5.保護數據平面

除了支持第三方供應商提供商安全工具之外，云服務(wù)提供商還支持原生云安全功能。每個(gè)云服務(wù)提供商都在這些功能上都有細微差別;它們被深入到工作負載部署方法的自動(dòng)化過(guò)程中。

迄今為止發(fā)生的大多數數據泄露事件都是云配置錯誤造成的。VPC、安全組、IAM 控制、密鑰管理服務(wù)等功能的配置由客戶(hù)端負責。

它們必須根據工作負載部署進(jìn)行適當設計，并持續監控與設計標準的任何偏差，并應立即采取糾正措施。

云原生安全功能是服務(wù)提供商支持的類(lèi)似產(chǎn)品的特性。這些是云環(huán)境結構的一部分。需要專(zhuān)業(yè)的云服務(wù)提供商知識來(lái)啟用、創(chuàng )建、執行策略并持續監控它們。所以建議對應用程序開(kāi)發(fā)和安全團隊的技能開(kāi)發(fā)進(jìn)行投資。

6.衛生監控和補救

缺乏基本衛生是利用混合多云環(huán)境的企業(yè)的最高風(fēng)險因素。衛生的定義范圍從識別為 COTS 軟件(操作系統、應用程序、中間件)的一部分的漏洞、自定義應用程序、訪(fǎng)問(wèn)管理控制、根據公司安全策略進(jìn)行的系統強化。

作為公司政策的一部分，應根據基于風(fēng)險的漏洞排名持續監控衛生狀況和適當的漏洞管理、對零日漏洞實(shí)施二級控制、識別操作系統上的偏差、應用程序級強化并通過(guò)自動(dòng)化立即修復它們。

7.集成的安全和合規管理

云控制平面、工作負載、應用程序的安全和合規是相互交織的。必須以自動(dòng)化和集成的方式監控和評估本機到云配置和工作負載配置的所有資產(chǎn)、合規性狀況。監控、漂移分析并利用補救措施來(lái)保護環(huán)境，同時(shí)利用補救措施來(lái)證明環(huán)境的合規性狀態(tài)。

8.“關(guān)鍵資產(chǎn)”的發(fā)現和保護

客戶(hù)必須了解關(guān)鍵資產(chǎn)，并對其進(jìn)行分類(lèi)。隨著(zhù)企業(yè)利用混合多云環(huán)境來(lái)支持他們的工作負載，也可以通過(guò)云訪(fǎng)問(wèn)核心數據和關(guān)鍵客戶(hù)數據。

客戶(hù)需要發(fā)現這些資產(chǎn)的使用情況，啟用額外的全天候監控和管理措施，例如安全訪(fǎng)問(wèn)、傳輸、監控和管理云配置、防止數據丟失以保護和防止任何對核心數據的入侵和數據泄露。

9.企業(yè)安全可見(jiàn)性和響應

對于具有混合環(huán)境工作負載(VM、基于容器的工作負載、無(wú)服務(wù)器功能)的企業(yè)客戶(hù)，用戶(hù)活動(dòng)和數據移動(dòng)發(fā)生在私有到云、多云環(huán)境之間。通常，云服務(wù)提供商支持對云中的工作負載、用戶(hù)活動(dòng)和本機服務(wù)進(jìn)行日志記錄和遙測。

必須使用 SIEM 或安全分析工具將基于云的遙測集成到私有和多云遙測中。通過(guò)安全分析工具應用的關(guān)聯(lián)規則將識別異?；顒?dòng)、配置偏差、對用戶(hù)或基于云的配置的過(guò)多權限以及數據泄露等。

監控工具成為單一窗口，為混合多云環(huán)境提供企業(yè)可見(jiàn)性。通過(guò)響應自動(dòng)化平臺或云原生功能實(shí)現自動(dòng)化執行策略將有助于立即進(jìn)行保護并將風(fēng)險降至最低。

10.影子 IT 和影子數據的可見(jiàn)性和保護

訪(fǎng)問(wèn)云控制平面可幫助用戶(hù)靈活地以云速度部署工作負載。標準工作負載保護、衛生控制、強化、網(wǎng)絡(luò )安全、云原生配置可能不會(huì )作為工作負載部署的一部分啟用。

未經(jīng)適當分類(lèi)、駐留監控、隱私評估而存儲在不同云服務(wù)中的數據會(huì )導致更高的安全風(fēng)險，并可能使客戶(hù)面臨適用于 GDPR 的罰款。

在沒(méi)有適當監控的情況下實(shí)施 IT 并將數據從私有環(huán)境移動(dòng)到公共環(huán)境會(huì )產(chǎn)生影子 IT 和影子數據。影子IT通常成為入侵者利用系統進(jìn)行攻擊的最脆弱攻擊面，并將其用作通過(guò)合法連接進(jìn)一步擴展到客戶(hù)端混合環(huán)境的途徑，或使用這些系統發(fā)起外部攻擊。

客戶(hù)應該有一個(gè)企業(yè)安全策略來(lái)啟動(dòng)具有基本保護和衛生控制的工作負載。安全監控和管理工具應通過(guò)全天候監控和自動(dòng)響應系統檢測并防止影子 IT 和數據。

安全管理者應強制執行編排器、代理、具有內置安全和合規技術(shù)的形成模板、策略監控和管理服務(wù)，以使用戶(hù)遵循公司標準并將其鏈接到全天候的監控和管理。

11.監控自動(dòng)化

使用形成模板進(jìn)行自動(dòng)化部署，使用云服務(wù)提供商功能、元服務(wù)、API、微服務(wù)、訪(fǎng)問(wèn)分配和密鑰監控和管理云原生的工作負載是云結構的一部分。

建議企業(yè)為這些服務(wù)啟用審計日志記錄。安全運營(yíng)管理者應將來(lái)自這些來(lái)源的遙測數據匯總到支持云服務(wù)提供商的安全分析平臺或客戶(hù)端 SIEM，以檢測和管理異?；顒?dòng)。

利用自動(dòng)化來(lái)監控和管理自動(dòng)化。利用 SRE、Chaos Monkey、滲透測試等技術(shù)不斷檢查自動(dòng)化和實(shí)用程序。

12.左移

創(chuàng )新、應用程序現代化、快速應用程序開(kāi)發(fā)和部署的發(fā)生主要歸功于業(yè)務(wù)部門(mén)決策和負責BU的 DevOps 團隊。

DevOps 團隊主要專(zhuān)注于通過(guò)云可用功能、開(kāi)源實(shí)用程序、采用持續集成/持續交付工具來(lái)改進(jìn)應用程序增強。綜合安全性和合規性尚未考慮或納入該方法。

DevOps 團隊還可能假設云提供的基礎架構足以保證安全，并且主要集中在應用層控制上。在工作負載分析期間，建議企業(yè)了解新構建或將工作負載遷移到云的應用程序安全性、公司合規性、法規合規性和隱私要求?？蛻?hù)必須評估共享責任，即作為云的一部分內置，由客戶(hù)添加以滿(mǎn)足需求。

部署在公共云中的工作負載必須利用云配置、原生云安全功能或第三方供應商產(chǎn)品來(lái)保護，即使在開(kāi)發(fā)/測試/預生產(chǎn)模式下也是如此。

13.人與文化

只有當人的文化、流程和工具得到增強并適應采用云環(huán)境帶來(lái)的細微差別時(shí)，以上所有才可能實(shí)現。開(kāi)發(fā)人員應采用安全設計或威脅建模概念來(lái)識別生命周期早期的漏洞，以便他們可以在部署易受攻擊的應用程序之前對其進(jìn)行補救。堅持嚴格的衛生和謹慎使用云配置將有助于團隊避免意外的數據泄露。

14.專(zhuān)注于技能提升

云和云安全為行業(yè)現有的技能差距帶來(lái)了另一個(gè)維度。在整合云配置、利用本地到云提供的安全功能時(shí)，需要具備深厚的云服務(wù)提供商環(huán)境專(zhuān)業(yè)知識。

進(jìn)入云計算領(lǐng)域的企業(yè)應該投資于提高現有員工的技能，或者通過(guò)計劃來(lái)獲取技能熟練的員工，以規劃的方式將他們整合到當前的團隊中。

必須向團隊提供適當的培訓，讓他們在利用特定云服務(wù)提供商標準的同時(shí)，利用企業(yè)定義的標準。

通過(guò)應用這些指導原則，大多數風(fēng)險都會(huì )得到緩解。隨著(zhù)混合云的進(jìn)一步發(fā)展，可以在這些基本原則的基礎上構建其他原則。