BetterCloud最近的一項(xiàng)調(diào)查發(fā)現(xiàn)���,企業(yè)平均使用80個(gè)單獨(dú)的第三方云應(yīng)用程序來實(shí)現(xiàn)協(xié)作����、通信�、開發(fā)、管理合同和HR功能�����、授權(quán)簽名以及支持處理和存儲(chǔ)敏感數(shù)據(jù)的業(yè)務(wù)功能����。這些類型的應(yīng)用程序統(tǒng)稱為SaaS(軟件即服務(wù))�。
除此之外���,企業(yè)組織還在公共平臺(tái)(PaaS或平臺(tái)即服務(wù))和基礎(chǔ)架構(gòu)(IaaS或基礎(chǔ)架構(gòu)即服務(wù))上部署應(yīng)用程序和整個(gè)業(yè)務(wù)�。數(shù)據(jù)顯示��,2020年有76%的企業(yè)在Amazon Web Server(AWS)上運(yùn)行其應(yīng)用程序��,而63%的企業(yè)在Microsoft Azure上運(yùn)行其應(yīng)用程序���。
Capital One顧問兼前CISOMichael Johnson表示�����,這些公共云服務(wù)都是必要且高效的�,甚至有望比傳統(tǒng)數(shù)據(jù)中心提供更安全的環(huán)境��。但是���,它們也為這些正在云中存儲(chǔ)和處理的敏感數(shù)據(jù)帶來了獨(dú)特的風(fēng)險(xiǎn),其中大多數(shù)風(fēng)險(xiǎn)都是由于用戶在設(shè)置和管理這些服務(wù)時(shí)操作錯(cuò)誤造成的��。
據(jù)悉����,Johnson曾在2019年的一次公開事件中參與指導(dǎo)Capital One公司完成響應(yīng)過程����,該事件當(dāng)時(shí)暴露了8000萬個(gè)人記錄���。在這起事件中�,攻擊者正是利用了配置不當(dāng)?shù)牡谌皆骗h(huán)境��。好在Johnson及其團(tuán)隊(duì)及時(shí)遏制了這一漏洞�����,并借助強(qiáng)大的響應(yīng)計(jì)劃�,與董事會(huì)和執(zhí)行團(tuán)隊(duì)的透明性,以及與執(zhí)法部門之間的既有關(guān)系�,成功實(shí)現(xiàn)在數(shù)據(jù)被利用之前將數(shù)據(jù)竊取者抓捕歸案。
制定響應(yīng)計(jì)劃以應(yīng)對(duì)在云中放置敏感數(shù)據(jù)的風(fēng)險(xiǎn)����,這應(yīng)該是任何云安全策略必不可少的一部分。想要針對(duì)公共云環(huán)境部署數(shù)據(jù)保護(hù)策略�,重要的是要知道如何暴露或竊取來自公共第三方服務(wù)的數(shù)據(jù)。
數(shù)據(jù)在云中因何如此脆弱?
根據(jù)云安全聯(lián)盟(CSA)的年度威脅報(bào)告指出���,第三方云服務(wù)中的數(shù)據(jù)泄漏主要是由于配置錯(cuò)誤和變更控制不充分(例如過多的權(quán)限����、默認(rèn)憑據(jù)、配置不正確的AWS S3存儲(chǔ)桶以及禁用的云安全控制)造成的�����。而缺乏云安全策略或體系結(jié)構(gòu)正是造成數(shù)據(jù)泄露的第二個(gè)最常見的原因�����,其次是身份和密鑰管理不足�,隨后還有內(nèi)部威脅、不安全的API�、結(jié)構(gòu)故障以及對(duì)云活動(dòng)和安全控制的有限可見性等等。
云安全聯(lián)盟CEO Jim Reavis表示:
| “由于遠(yuǎn)程工作需要���,SaaS在2021年已經(jīng)成為我們的重要關(guān)注點(diǎn)��。我們看到公有云采用率出現(xiàn)了驚人的增長(zhǎng)�,但是忙亂中��,組織卻忘記了將邊緣網(wǎng)絡(luò)保護(hù)到云中����。例如,人們正在跨多個(gè)云服務(wù)重用其憑據(jù)����,因此現(xiàn)在憑據(jù)填充攻擊正在增加?��!?/td> |
McAfee的一項(xiàng)調(diào)查顯示�����,到2020年5月�,思科WebEx的使用率增加了600%�,Zoom增長(zhǎng)了350%,Microsoft Teams增長(zhǎng)了300%��,Slack增長(zhǎng)了200%�����。在最初匆忙開展遠(yuǎn)程工作時(shí)����,Reavis就指出了許多可能導(dǎo)致數(shù)據(jù)泄露的問題:IT團(tuán)隊(duì)并未保護(hù)云中的存儲(chǔ)桶�,未實(shí)施安全的開發(fā)人員實(shí)踐或協(xié)調(diào)身份和訪問程序��。如今��,網(wǎng)絡(luò)犯罪分子甚至已經(jīng)在存儲(chǔ)庫(kù)中發(fā)現(xiàn)了一些硬編碼的應(yīng)用程序憑據(jù)����。可怕的是�����,這些明明都是一些非?���;A(chǔ)的東西。
專家建議�,遵循下述3個(gè)最佳實(shí)踐將顯著降低在云中存儲(chǔ)或處理數(shù)據(jù)的風(fēng)險(xiǎn):
保護(hù)云中敏感數(shù)據(jù)的3種最佳實(shí)踐
清點(diǎn)云使用情況
為大中型公司提供咨詢的CISO Ian Poynter建議,應(yīng)對(duì)云中數(shù)據(jù)威脅的最佳方法�����,是在任何涉及公共云服務(wù)的新計(jì)劃的規(guī)劃階段�����,將云應(yīng)用程序納入控制并進(jìn)行風(fēng)險(xiǎn)評(píng)估。CISO之間的共識(shí)是��,用戶的云實(shí)例并非都是獲得授權(quán)的���,而且很少針對(duì)公開數(shù)據(jù)進(jìn)行有效地監(jiān)控。這也是CISO需要成為執(zhí)行團(tuán)隊(duì)成員的原因所在��。他們需要這個(gè)權(quán)限去了解正在發(fā)生的事情����,并且還要一個(gè)協(xié)作環(huán)境,在這樣的環(huán)境中��,業(yè)務(wù)經(jīng)理能夠直接與他們進(jìn)行溝通����,共享其正在運(yùn)行的新項(xiàng)目或產(chǎn)品,然后讓他們對(duì)其中涉及的云產(chǎn)品進(jìn)行評(píng)估��。
就一家公司而言����,CISO甚至可以向財(cái)務(wù)發(fā)出警告,告知其哪些第三方云應(yīng)用程序和平臺(tái)可以報(bào)銷。如果業(yè)務(wù)部門或個(gè)人用戶在未經(jīng)事先批準(zhǔn)的情況下購(gòu)買了報(bào)銷范圍以外的產(chǎn)品����,則可以直接拒絕他們的報(bào)銷申請(qǐng)。
這是強(qiáng)制執(zhí)行云應(yīng)用程序白名單的手動(dòng)方式�,但無疑也是有效的方式。云應(yīng)用程序白名單和黑名單通常也是部署在公司控制的端點(diǎn)上���,或通過零信任技術(shù)(例如瀏覽器隔離)來控制用戶�、企業(yè)和云應(yīng)用程序之間的遠(yuǎn)程會(huì)話的強(qiáng)大技術(shù)控制�。
應(yīng)用云原生安全產(chǎn)品
Johnson建議,在組織已標(biāo)準(zhǔn)化的成熟云服務(wù)和應(yīng)用程序中利用云原生安全產(chǎn)品�。例如,應(yīng)用AWS Inspector評(píng)估正在使用的應(yīng)用程序的配置合規(guī)性�����,以及應(yīng)用Amazon GuardDuty來檢測(cè)惡意活動(dòng)和未經(jīng)授權(quán)的行為���。采購(gòu)產(chǎn)品之前���,企業(yè)組織需要竭盡所能地對(duì)云提供商的聲譽(yù)進(jìn)行盡職調(diào)查,并盡量避開一些小的提供商��。越大的提供商通常會(huì)在數(shù)據(jù)保護(hù)和可見性控制方面做得更好。
服務(wù)模型之間的原生安全性會(huì)有所不同�。IaaS和PaaS供應(yīng)商為購(gòu)買者在其基礎(chǔ)架構(gòu)或平臺(tái)中升級(jí)的應(yīng)用程序提供安全性和配置工具。這些一般是本地提供的或是通過第三方付費(fèi)提供的�。對(duì)于SaaS應(yīng)用程序(例如DocuSign、Slack或Box)而言�,安全性多數(shù)是原生的。例如���,Microsoft 356為Exchange、SharePoint和Azure(以及其他安全產(chǎn)品)Active Directory提供高級(jí)審核��。
通過研究Box公司的cloud enterprise���,我們可以窺見出入第三方提供商的敏感數(shù)據(jù)的處理方式���。Box管理著多個(gè)應(yīng)用程序,以支持工作流程���、數(shù)字合同�����、HR�、Zoom會(huì)議、歷史數(shù)據(jù)存儲(chǔ)�����、HR加載和其他HR功能�����。用戶通過Box Shuttle將Box連接到其他云服務(wù)(例如具有完整數(shù)據(jù)傳輸功能的Facebook Workplace)時(shí)��,Box中便出現(xiàn)了云���。
Box安全����、隱私和合規(guī)性產(chǎn)品副總裁Alok Ojha表示��,隨著越來越多的應(yīng)用程序在Box世界中興起�����,面向用戶的嵌入式安全性和合規(guī)性工具集將成為關(guān)鍵的差異化因素�����。Ojha引用內(nèi)容云(Content Cloud)作為Box用戶在不同工作流中實(shí)現(xiàn)一致安全性和可視性的地方,以查看應(yīng)用程序中正在處理哪些文件和數(shù)據(jù)�����,以及誰在訪問數(shù)據(jù)及出于什么目的�。
另一個(gè)原生工具Box Shield也可以配置來查找和分類敏感數(shù)據(jù),并對(duì)分類后的數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂?����,以降低?nèi)部人員和惡意軟件威脅的風(fēng)險(xiǎn)���,同時(shí)還可以了解與數(shù)據(jù)相關(guān)的法規(guī)要求,并確保對(duì)監(jiān)管機(jī)構(gòu)進(jìn)行審核跟蹤���。此外����,他還建議重新關(guān)注身份和訪問管理(IAM)�����,尤其是對(duì)外部用戶和合作伙伴使用多因素身份認(rèn)證��,而不要再使用可重用的密碼組合。
在數(shù)據(jù)層保護(hù)數(shù)據(jù)
Titaniam數(shù)據(jù)保護(hù)公司創(chuàng)始人兼CEO Arti Raman警告稱�����,不要過度依賴身份和訪問控制來防止數(shù)據(jù)泄漏���,同時(shí)控件還需要直接關(guān)注通過公共云進(jìn)行交易并存儲(chǔ)在公共云中的數(shù)據(jù)���。但是,從端點(diǎn)到企業(yè)再到云的數(shù)據(jù)保護(hù)非常困難�,并且必須具有足夠的靈活性以跨越所有這些邊界,以便在整個(gè)生命周期內(nèi)保護(hù)數(shù)據(jù)���。
Raman認(rèn)為�,在對(duì)數(shù)據(jù)進(jìn)行索引���、搜索����、聚合����、查詢或以其他方式進(jìn)行操作時(shí)�����,加密和數(shù)據(jù)保護(hù)應(yīng)始終存在����。這包括傳統(tǒng)的加密技術(shù)以及新的可搜索技術(shù)��,這些新技術(shù)是在其上使用傳統(tǒng)加密來滿足合規(guī)性標(biāo)準(zhǔn)��。
最后����,Box公司的Ojha補(bǔ)充道,數(shù)據(jù)終止(data kill)政策也很重要��。根據(jù)企業(yè)和法規(guī)為數(shù)據(jù)設(shè)置的要求���,最好可以自動(dòng)刪除不再需要在第三方應(yīng)用程序和基礎(chǔ)架構(gòu)中存在的數(shù)據(jù)。
