2021年新冠疫情反複肆虐,全球性的(de)遠(yuǎn)程辦公已經成了(le)“基本操作”,大(dà)量企業主動或被動轉向雲計算(suàn)大(dà)規模遷徙,但是正如塞倫蓋提大(dà)草(cǎo)原上的(de)動物(wù)遷徙,沿途危機四伏。在Menlo Security對(duì)200位IT經理(lǐ)進行的(de)一項調查中,有40%的(de)受訪者表示,由于企業大(dà)規模上雲,他(tā)們正面臨著(zhe)來(lái)自雲應用(yòng)和(hé)物(wù)聯網(IoT)的(de)安全威脅。
企業上雲面臨的(de)安全威脅很多(duō)都是老問題,但這(zhè)些威脅因爲敦刻爾克式的(de)大(dà)規模倉促行動而被放大(dà)了(le),例如影(yǐng)子IT、BYOD和(hé)虛拟專用(yòng)網。遠(yuǎn)程辦公導緻2020個(gè)人(rén)PC市場(chǎng)迎來(lái)“偉大(dà)複興”,但我們也(yě)應該意識到,“個(gè)人(rén)”PC不再是個(gè)人(rén)使用(yòng),同一台計算(suàn)機可(kě)能同時(shí)也(yě)在運行孩子的(de)網校、網遊和(hé)社交應用(yòng),而相關的(de)安全意識培訓和(hé)規則卻并未跟上。可(kě)以肯定的(de)是,這(zhè)對(duì)于任何企業的(de)安全策略來(lái)說都不是好苗頭。
以下(xià)是企業上雲過程中,常見的(de)七個(gè)安全錯誤:
1. 依賴虛拟專用(yòng)網進行遠(yuǎn)程訪問
過去的(de)一年已經證明(míng),虛拟專用(yòng)網可(kě)能不是遠(yuǎn)程訪問的(de)最佳答(dá)案,甚至頂尖的(de)網絡安全公司也(yě)吃(chī)了(le)大(dà)虧。2020年12月(yuè)發生震驚整個(gè)網絡安全業界的(de)FireEye黑(hēi)客事件中,遭到入侵的(de)虛拟專用(yòng)網賬戶顯然是黑(hēi)客竊取其工具的(de)切入點。過去,虛拟專用(yòng)網是保護遠(yuǎn)程工作者安全的(de)首選方法,但是大(dà)規模遠(yuǎn)程辦公時(shí)代,虛拟專用(yòng)網的(de)安全性遠(yuǎn)遠(yuǎn)不如零信任架構,後者提供基于身份和(hé)上下(xià)文的(de)持續訪問控制。此外,安全主管還(hái)應确保自疫情大(dà)流行以來(lái)已經制訂了(le)基于家庭的(de)信息安全策略,并将遠(yuǎn)程辦公帶來(lái)的(de)新的(de)攻擊面(例如多(duō)用(yòng)戶家用(yòng)PC)考慮在内。
2. 錯誤的(de)雲産品組合
需要考慮的(de)因素有很多(duō),例如,您是否需要在私有雲上運行關鍵業務數據,與其他(tā)雲服務隔離開?您是否有合适的(de)操作系統子版本運行那些需要在特定配置的(de)Windows和(hé)Linux中運行的(de)應用(yòng)程序?是否準備了(le)正确的(de)連接器和(hé)身份驗證保護,以與不上雲的(de)本地應用(yòng)程序和(hé)設備一起運行?如果您有舊(jiù)版大(dà)型機應用(yòng)程序,則可(kě)能要先在私有雲中運行它,然後嘗試找到最接近于現有大(dà)型機設置的(de)正确的(de)雲環境。
3. 安全狀況可(kě)能不适合上雲
常見的(de)雲安全錯誤包括不安全的(de)存儲容器、訪問權限、身份驗證參數設置不當,以及大(dà)量開放端口。無論是從本地還(hái)是遠(yuǎn)程進行連接,企業都希望保持一緻的(de)安全狀态。因此在将單個(gè)應用(yòng)程序遷移到雲之前,應當從一開始就将安全性問題考慮進去。強生公司幾年前就這(zhè)樣做(zuò)了(le),當時(shí)他(tā)們将大(dà)部分(fēn)工作負載遷移到了(le)雲中,安全管理(lǐ)模型也(yě)随之變成了(le)集中式。一個(gè)可(kě)以參考的(de)工具是Netflix剛剛發布的(de)ConsoleMe開源工具,該工具可(kě)以在一個(gè)浏覽器會話(huà)中管理(lǐ)多(duō)個(gè)Amazon Web Services(AWS)賬戶。
4. 沒有測試災難恢複計劃
您上次測試災難恢複(DR)計劃是什(shén)麽時(shí)候?應用(yòng)程序在雲中運行并不意味著(zhe)可(kě)以高(gāo)枕無憂。事實上這(zhè)些應用(yòng)程序仍然依賴特定的(de)Web和(hé)數據庫服務器以及其他(tā)基礎架構組件。好的(de)災難恢複計劃會記錄這(zhè)些依賴關系,并爲關鍵業務流程提供預案。
災難恢複計劃的(de)另一個(gè)重要部分(fēn)是對(duì)雲故障進行連續測試。雲計算(suàn)也(yě)會宕機和(hé)抛錨,過去幾周内Google、亞馬遜、微軟、蘋果的(de)雲服務都遭遇了(le)較爲嚴重的(de)業務中斷。幾年前,Netflix開發的(de)Chaos Monkey工具使整體混沌工程廣爲流行,它旨在通(tōng)過不斷(随機)關閉各種生産服務器來(lái)測試公司的(de)雲基礎架構。
企業可(kě)以基于這(zhè)些工具和(hé)方法來(lái)開發自己的(de)混亂故障測試,尤其是與安全相關的(de)測試,這(zhè)些測試可(kě)以揭示雲配置中的(de)弱點,通(tōng)過自動連續執行測試以發現基礎架構的(de)瓶頸和(hé)缺陷。除了(le)Netflix的(de)開源工具外,還(hái)有一些商業産品,例如Verodin/Mandiant的(de)安全驗證,SafeBreach的(de)Breach和(hé)Attack Simulation,Cymulate的(de)仿真工具以及AttackIQ的(de)Security Optimization Platform。
5. 沒有爲多(duō)數雲産品組合優化(huà)身份驗證
企業上雲之前可(kě)能已經擁有身份和(hé)訪問管理(lǐ)、SIEM、CASB或單點登錄工具,但這(zhè)些工具在大(dà)多(duō)數雲和(hé)遠(yuǎn)程訪問環境未必是最适合的(de)身份驗證手段。企業需要仔細研究這(zhè)些工具,确保它們可(kě)以适應涵蓋特定雲環境和(hé)整個(gè)應用(yòng)程序組合。例如,雖然CASB非常擅長(cháng)管理(lǐ)雲應用(yòng)訪問,但是您需要确保這(zhè)個(gè)方案可(kě)以與内部自定義應用(yòng)程序一起使用(yòng),可(kě)以進行基于風險的(de)身份驗證的(de)應用(yòng)程序,可(kě)以保護您免受更複雜(zá)的(de)混合雲環境威脅。
6. 過時(shí)的(de)Active Directory
Gartner的(de)David Mahdi曾在演講中說:“在數據四處流動的(de)今天,身份是新的(de)安全邊界。概括來(lái)說就是必須是正确的(de)人(rén),在正确的(de)時(shí)間、正确的(de)地點,以正确的(de)理(lǐ)由,訪問正确的(de)資源。”可(kě)以肯定的(de)是,企業的(de)安全團隊還(hái)有很多(duō)事情要做(zuò)。上雲意味著(zhe),您的(de)Active Directory(AD)可(kě)能無法反映現實,包括當前(授權)用(yòng)戶、應用(yòng)程序和(hé)服務器列表。隻有準确的(de)信息,才能确保上雲的(de)過程平滑順暢。
7. 羞于尋求專業幫助
許多(duō)網絡安全廠商,例如托管安全服務提供商(MSSP)提供雲遷移相關的(de)安全咨詢和(hé)服務,因此,不要羞于向他(tā)們尋求幫助。因爲企業的(de)IT團隊很可(kě)能因爲急于将所有内容遷移到雲中,留下(xià)了(le)一些後門或引入了(le)漏洞。
【本文是51CTO專欄作者“安全牛”的(de)原創文章(zhāng),轉載請通(tōng)過安全牛(微信公衆号id:gooann-sectv)獲取授權】