深入了解云威胁以及保护措施(下)
在上一篇文章中,我们介绍了什么是云安全风险以及云的6种威胁。本篇文章中将为大家详细讲述如何保护云。
如何保护云
根据市场研究公司VansonBourne的调查,并由网络监控解决方案提供商Gigamon的赞助,73%的受访者预计他们的大部分应用程序工作负载都在公共云或私有云中。然而,35%的受访者希望以与他们的内部部署操作“完全相同的方式”处理网络安全。其余的人虽然不愿意改变,但他们也别无选择,只能改变他们的云安全策略。
当然,并不是每家公司都想要将敏感或关键数据迁移到云端。但是,大多数公司正在迁移关键性和专有的公司信息(56%)或营销资产(53%)。47%的受访者希望在云中拥有个人身份信息,这可能是受到新的隐私法规(如欧盟的GDPR)的影响。
根据Govshteyn的说法,公司应该关注云安全战略的三个主要领域:
1.工具。您在云环境中部署的安全工具,必须能够保护Web应用程序和云工作负载。Govshteyn说:
为终端保护制定的安全技术,主要集中在一组在云中不常见的攻击媒介,并且不具备应对OWASP Top 10威胁的能力,这些威胁占所有云攻击的75%。” 他指出,终端威胁针对Web浏览器和客户端软件,而基础架构威胁则针对服务器和应用程序框架。
2.结构。围绕云提供的安全和管理优势定义您的架构,而不是您在传统数据中心中使用的相同架构。Govshteyn说:
我们现在有数据显示,纯公共环境允许企业降低事故率,但只有使用云功能设计更安全的基础设施才能实现这一目标。
他建议您在自己的虚拟私有云中隔离每个应用程序或微服务,这样可以减少入侵范围。例如雅虎,利用Web应用程序作为初始入口,因此在人们看来最不重要的应用程序通常成为您最大的问题。此外,不要修补云部署中的漏洞。相反,部署运行最新代码的新云基础架构,并停用旧基础架构。Govshteyn说:
只有自动化部署才能实现这一目标,但在传统数据中心,您将无法获得对基础架构的控件。
3.连接点。问题在于确定云部署与运行旧代码的传统数据中心互连的点。
并非关于公司现有安全策略的所有内容都必须针对云进行更改。Gigamon产品营销高级经理Tom Clavel说:
使用相同的安全策略,例如,对威胁检测的深入内容检查(对于云作为内部部署其实是一个很好的想法)。追求这一目标的公司通常会寻求其安全架构之间的一致性,以限制其安全状况的差距。但问题在于他们如何获得网络流量来进行这种检查。
云的可见性问题
VansonBourne受访者提出了一个问题,云可能会在安全领域内造成盲点。总体而言,有一半人表示云可以“隐藏”信息,使他们能够识别威胁。使用云,他们也丢失了一些加密内容(48%)、不安全应用程序或流量(47%)或SSL / TLS证书有效性(35%)的信息。
据49%的调查受访者称,混合云环境可能会进一步阻碍可见性,因为它可能会阻止安全团队查看数据的实际存储位置。78%的受访者表示,在Siloed的数据中,其中一些由安全运营部门和一些网络运营部门控制,这会使搜索数据更模糊。
这些数据不仅仅对安全团队对可见性是有限的。百分之七十七的VansonBourne受访者表示,网络盲点是他们保护组织的障碍。为了获得更好的可见性,Clavel建议您首先确定如何组织和实施安全状态。他说:
不管是在云中,还是从内部扩展到云?在这两种情况下,确保应用程序网络流量的普遍可见性是的安全策略的核心。你能看得越多,你就能越安全。
为了满足可见性需求,确定一种获取和优化安全工具的网络流量的方法,无论是入侵检测系统(IDS)、安全信息和事件管理(SIEM)、取证、数据丢失防护( DLP)、高级威胁检测(ATD)、或同时对所有这些,添加SecOps程序,可以自动化检测到威胁的可见性和安全性。
这些盲点可见性可能会产生GDPR合规性问题。66%的受访者表示,缺乏可见性将使GDPR合规性变得困难。只有59%的受访者认为他们的组织将在2018年5月前为GDPR做好准备。
安全策略无法跟上云应用的步伐
根据2018年Oracle和毕马威云计算威胁报告,87%的公司现在采用云优先战略,90%的公司表示他们在云中拥有的数据中有一半是敏感的。来自同一报告的数据显示,虽然这些公司已采取积极的方式采用云,但安全实践和政策似乎并没有赶上。
Oracle / KPMG报告中的数据来自450个网络安全和来自世界各地的专业人士的调查。受访者虽然担心云安全,但大多数人都没能采取一些明显的措施来降低云中敏感数据的风险。
· 82%的人认为他们的员工不遵守云安全程序,但86%的员工表示无法收集和分析大部分安全事件数据。
· 只有38%的受访者表示,检测和响应云安全事件是他们面临的首要网络安全挑战。
· 只有41%的人拥有专业的云安全架构。
有迹象表明公司将在不久的将来会更加重视云安全。84%的受访者希望提高他们的安全自动化水平,89%的受访者希望在未来一年增加他们的网络安全预算。
机器学习会有帮助吗?
云服务提供商正在努力提高客户的识别和应对潜在威胁的能力。例如,亚马逊网络服务(AWS)在2017年宣布了两项依靠机器学习来保护客户资产的服务。
8月,AWS宣布其Macie服务,主要关注PCI、HIPAA和GDPR合规性。它在Amazon S3存储桶中训练用户的内容,并在检测到可疑活动时向客户发出警报。AWS GuardDuty于11月宣布,它使用机器学习来分析AWS CloudTrail、VPC Flow Logs和AWS DNS日志。与Macie一样,GuardDuty专注于异常检测,来提醒客户注意可疑活动。
机器学习的有效性取决于模型,模型由算法和训练数据组成。该模型仅仅与其训练的数据一样有效; 任何超出模型数据的事件都可能无法被Macie或GuardDuty等服务检测到。
也就是说,像AWS这样的云安全提供商将拥有比任何个人客户更丰富的数据集。AWS在整个网络中具有可见性,因此可以更轻松的在正常和恶意情况下培训其机器学习模型。但是,客户需要了解,机器学习不会检测到机器学习模型之外的培训数据的威胁,所以他们不能单靠像Macie和GuardDuty这样的服务。
谁来负责云安全?
鉴于利害攸关的问题,62%的受访者表示希望他们的安全运营中心(SOC)能够控制网络流量和数据,以确保在云环境中提供足够的保护。其中一半人愿意了解网络流量和数据。
由于管理云环境的组的结构,获得控制甚至完全可见性可能对许多组织来说是一个挑战。虽然安全运营负责69%的受访者组织的云安全,但云计算运营或网络运营也参与其中。这导致谁在云安全方面处于领先地位,以及团队应如何协作方面出现问题。事实上,48%的受访者表示,团队之间缺乏协作是识别和报告违规行为的最大障碍。
Clavel说:
通常,公司在网络、安全和云之间分配责任,每个人都有不同的预算、独特的所有权、甚至是管理这些领域的独特工具。获得对云的可视性来确保其安全,则需要打破这三个组织之间的沟通墙。内部部署的相同安全工具也能够保护云,因此需要云和安全团队进行沟通。
那么到底谁应该关注组织的云安全性?它需要是具有正确技能和承诺能力的人或团队。我们需要找到这类人或团队,并让他们在未来三到五年内建立组织的安全策略。
在过去几年中,这往往是IT运营团队或企业安全团队,但始终会有一个架构师级别的个人贡献者或专门的云安全团队作为这项工作的核心。这种新型的安全专业人员可以编写代码,花费80%以上的时间自动化他们的工作,并将开发团队视为他们的同行而不是对手。
虽然一些公司的董事会对安全问题非常感兴趣,但他们却没什么能帮助的。Govshteyn说:
实际上,当今云安全问题的关键决策,大部分来自能够跟上公共云快速变化的技术人员。
超过一半的受访者认为,保护云的任务更加复杂的是,他们的组织尚未实施云战略或框架。虽然几乎所有的组织都计划在未来这样做,但目前尚不清楚究竟是谁主导了这一倡议。