今天,许多组织正在努力提高云计算安全指标的可见性,因为云计算的安全性与本地部署的安全性根本不同,并且随着公司的转移、应用程序对新环境的服务和数据必须不同。实践
安全提供商Threat Stack产品管理副总裁克里斯·福特表示,人们再也不能将安全视为一切。 “在高度变化的基础设施领域,人们需要了解基础设施的所有不同领域,发现风险并开始采取安全措施,”他说。 “一切都取决于人们观察行为的能力。”
CloudKnox首席执行官Balaji Parimi表示,当涉及云中的当前安全实践时,许多公司处于“被动模式”。它们主要通过使用提供异常活动可见性的工具来保护云环境,然后响应异常活动。
“虽然这些”反应性“工具具有一些优势,但公司必须优先采取预防措施,以防止灾难性情况,”Parimi说。他建议企业评估有助于防止或至少最小化和配置错误的工具以识别与身份相关的风险。
监控配置或配置错误的身份是公司改进云安全监控的方法之一。在这里,专家们分享了他们如何在云计算中实施云安全监控的最佳实践。
1.了解你的责任
公司应与供应商沟通,以澄清对安全责任的误解。福特说:“许多公司希望与云计算提供商进行沟通,并准确理解共享责任模型涵盖的内容。”他指出,许多公司可能会对基础设施的某些领域视而不见。
除了询问涵盖哪些安全领域外,它还建议哪些工具可以提供有助于识别更复杂攻击的信息。
Parimi提供了用户询问云服务提供商的问题列表:“哪些安全性负责,我们负责什么?您的产品和服务符合哪些安全和隐私标准?签名审计?,其中包含通过其用户界面和API以及何时执行这些身份的身份。访问哪些访问权限可以访问记录?“
2.了解提供商的能力。
Sncurosis的分析师兼首席执行官Rich Mogull在一次网络研讨会上说:“云计算管理平台让公司完全控制一切,就像只需一次启动即可访问数据中心的所有内容对于那些知道如何使用它的人来说,对于它的人来说,这是一个很大的安全优势。“收集云计算数据有两种方式:云提供商支持直接管理平台活动记录的方式,以及服务器和应用程序日志。 Mogull指出,有些人试图通过云访问安全代理(CASB),不进行软件适用于基础设施即服务(IaaS)作为一种服务(SaaS)的路由,是理想直接从供应商领取。
“这是公司跟进所有事情的唯一监管来源,”他解释说。但是,云计算提供商有不同程度的支持,因此熟悉提供商注册功能的范围非常重要。
“亚马逊现在是最强大的云计算提供商,”Mogull说。
CloudTrail涵盖几乎所有API调用,Config处理随时间变化的配置状态监控,CloudWatch涵盖核心核心注册,GuardDuty分析用户永远无法访问的Amazon资产数据。 Microsoft Azure提供了各种注册服务,但其大部分注册都是由Azure安全中心提供的,Mogull说这很难从CloudTrail获得。
3.发展速度对安全监测提出了挑战
Mogull在网络研讨会上表示,云计算带来的变化速度与传统数据中心的变化速度大不相同,其发展速度对安全威胁的监控提出了挑战。例如,许多传统工具没有跟上开发的步伐,因为它们与API不兼容或无法随时管理数据。他指出,云计算技术的波动性意味着静态库存工具几乎没有用处。
一些公司认为他们可以使用现有的安全堆栈并将其移至云端,但他不推荐使用。例如,这将要求您解决非托管容器服务器平台上的无服务器体系结构或容器处理问题。
威胁堆栈福特表示,超过一半的用户似乎愿意使用安全性来提高速度和灵活性。公司将面临在不影响快速行动的情况下将风险降至最低的挑战。他说:“我认为这是我们必须直接面对的挑战之一。”
4.可见性是关键。
在安全监控方面,大多数公司完全依赖从云计算提供商那里获得的信息,福特表示这种方法可以在可见性方面留下空白,特别是在工作量方面。他解释说:“用户应该能够观察云计算基础设施的每一层的行为。”这包括主机、、容器能见度474B和应用看跨站脚本,注入、SQL和其他威胁的控制平台层的可见性的可见性。
云计算的客户越来越敏感地限制对关键数据的关键服务的访问,但攻击者的知识和技术也在不断发展。而不必直接访问数据的,攻击者在寻找可用于访问服务层和持久在建立网络的关键。在那里,他们可以在基础架构中水平移动,并且可以找到具有访问数据仓库所需的访问和身份管理(IAM)凭据的人员。
CloudKnox Parimi表示,大多数公司都努力保持良好的安全状态,因为他们在混合云环境中缺乏基本的可视性。许多工具不是为支持云中的动态计算环境而开发的。例如,试图一个公司申请至少权限原则在混合云使用基于在基于访问控制(RBAC)的溶液中。
“这种方法的问题在于,传统的基于角色的访问控制(RBAC)只能在静态环境中工作,”Parimi说。 “这意味着,典型的特权身份今天有大范围的关键基础设施的执行许多功能,高调的权利。风险的行为,但只使用和需要的权限少量进行日常工作,这将带来风险。“
5.可见性可能是一个挑战。
Seguosis的Mogull说,政府提供的能见度很好,但很难控制。他补充说:“我们必须考虑如何通过提高可见度并将这种可见性转化为真正可行的愿景来找到噪声中的信号”。
“在某些时候,企业应该确定的信息,他们正在寻找的类型,以及他们如何想收集它。有很多选择,这是必须找到值得关注的数据和理由,例如,你会监视网络流量?防病毒是否与此相关?是否内置了云计算配置?或者您是否需要其他工具?“
Mogull建议将云监视为望远镜而不是显微镜。他说:“用户不相信他们可以捕获环境的每个部分的数据,大量的数据可能变得无法管理。”福特威胁栈说:“理解无法获得的东西很重要”。他告诫不要让可见性产生虚假的安全感。这可能使组织难以知道如何处理给定的数据集,并且在涉及云中的安全数据时,该方案是必不可少的。对于从提供容器的多个供应商或供应商接收服务的组织而言,复杂性将会增加。
6.将警报放在场景上。
福特表示仅依靠安全工具警报是不够的。他说:“用户必须提供深层警报方案,以便他们了解生成警报时会发生什么。”
例如,福特解释说,一个组织收到了来自亚马逊网络服务的关于有问题连接的GuardDuty警报。除非可以确定哪个用户启动了创建连接的过程,否则很难有足够的方案来使这些警报起作用。它建议通过安全的编排平台或SIEM与其他工具的组合尽可能多地访问遥测数据,以收集所需的数据量。
如果组织正在调查网络流,那么用户行为和应用程序的知识可以帮助确定正常和异常行为。另一个例子是福特指出你可以看到特权升级的配置。如果组织注意到特权升级和未经授权的文件修改的组合,则更严格地查看其配置。
7.过滤数据并降低成本。
来自Seguosis的Mogull建议组织在通过Internet传输记录之前对其进行过滤。他说,云提供商正在加载数据字节,目标是降低成本,而不是将所有收集的数据发送到SIEM。
他解释说,管理平台的记录数据少于云的实例和其他资源,但其成本将继续增加。他建议组织将其拥有的帐户与注册表的内容相关联。这取决于提供商,但通常组织可以将结算和项目ID与注册ID进行比较。他说只有项目经理才能访问项目的注册表。
服务器和应用程序日志可能会导致更多难题,主要取决于项目的要求。应用程序和服务器日志通常包含更多数据,这使得成本管理变得困难。
8.使用基于身份的方法
CloudKnox Parki建议公司从身份角度评估其安全性。作为此过程的一部分,他们应该看到有多少人可以访问他们的关键基础架构,这是他们在特定时间段内采取行动所需的特权。“最重要的是,公司必须意识到他们的关键工作量对当今现代化的基础设施有多么脆弱,”他解释道。使用脚本的单行或者干脆采取人的身份可能会导致“灾难性破坏”和人们一般的理解和因素会导致这种损害应该在中心网络安全战略。
所有公司必须假设它的混合云的高风险是一个可靠的身份有太多的特权,并减少风险的唯一途径是实现最小特权原则。 Parimi补充说:“公司不应该过度或错误地提供特权高风险人员。”
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
