互联网技术

新冠疫情对云安全防护策略的影响

2023年11月6日 · admin
openmagic ad

新冠疫情对云安全防护策略的影响

新冠疫情的持续发展对云安全造成了深远的影响。根据FlexeRa软件公司在其2020年云端安全状态报告中的数据,新冠疫情促使部分云用户重新审视其使用策略。调查显示,约有一半的云用户表示,因远程工作的需求激增,他们的云使用量远超最初预期。此外,考虑到访问传统数据中心的困难及供应链延误,许多组织可能会加速其云迁移计划。

openmagic_cn_banner

然而,随着越来越多的组织迁移至云端,安全问题随之而来。根据网络安全专家发布的《2020年云安全报告》,75%的受访者对公共云安全表示极大的关切。ContinuITy CentRal的报告显示,68%的受访者的雇主使用了两家或更多的公共云提供商进行安全备份,这意味着安全团队需要借助多个工具来确保云基础架构的安全性。

这些担忧引发了重要的问题:组织在保护云环境时为何会遇到如此多的困难?它们所面临的挑战具体是什么?

本文将重点讨论组织在保护云环境时常见的三个挑战:配置错误、有限的网络安全监控能力以及未受保护的云运行时环境。接下来,我们将简要分析每个问题,并提出建议,帮助组织应对这些挑战并加强云安全。

1. 云和容器配置错误

云配置错误指的是管理员不小心将不符合组织安全策略的设置应用于云系统。这种错误可能危及组织云端数据的安全性,具体风险取决于受影响的资产或系统。专业术语来说,攻击者可利用其环境中的证书或软件漏洞,最终扩散至受害者的环境。攻击者利用受感染节点的高级权限,远程访问其他节点,探测不安全的应用程序和数据库,或滥用薄弱的网络控制。通过将数据复制至网络上的匿名节点或创建存储网关,攻击者可在不被监控的情况下窃取组织数据。

openmagic_cn_banner

错误配置的发现对安全人员来说非常困难,且大多数企业只能依靠手动方法管理云配置,而攻击者则利用自动化手段寻找云防御的漏洞。

需要强调的是,这并非仅仅是理论上的威胁。DivvyCloud在其2020年的Cloud Misconfigurations报告中指出,从2018年至2019年,发生了196起因云配置错误导致的数据泄漏事件。这些事件共暴露超过330亿条记录,相关受害组织损失达到5万亿美元。

2. 有限的网络安全监控能力

网络安全监控能力意味着组织能够意识到网络中发生的事情,包括与网络连接的硬件和软件及其事件。然而,在网络安全监控能力有限的情况下,组织往往对潜在威胁缺乏足够的认识,例如攻击者利用配置错误渗透网络、安装恶意软件或横向移动以获取敏感数据。

在云中实现全面的网络安全监控并不总是容易。正如Help Net Security所指出的,管理员无法像在数据中心通过交换机或防火墙那样轻松访问云环境的流量,因为他们无法直接接触CSP提供的云基础架构。相反,他们必须浏览CSP的产品列表,这些工具可能并不总能提供完整的洞察。

此外,云与传统数据中心安全性之间的差异还体现在默认计算资源的分段上,管理员可能需要比IP地址更多的数据点来跟踪云中的对象。他们还需依赖角色和策略来启用特定连接,而非仅依赖防火墙禁止某些连接尝试。

3. 未受保护的云运行时环境

除了配置错误和不足的网络安全监控外,云运行时环境的安全问题也不容忽视。如果未受到保护,云运行时环境为恶意攻击者提供了大量机会,使其能够渗透组织。例如,攻击者可以利用组织代码中的漏洞,或在运行时环境中执行的应用程序所使用的软件包中的漏洞。

保护云运行时环境的首要问题是,组织有时不清楚自己在云中的安全职责,或缺乏相关技能。在公共云中,组织与CSP共同承担安全责任,前者负责云内的安全,后者则负责云的安全性。有时,组织未能理解共享责任模型,导致难以履行这些责任,从而无法有效提升云安全性或实施CSP提供的安全措施。

理解适用于云计算的安全工具类型也成为挑战,确保IT安全的工具和方法在云计算中往往无效。由于攻击技术迅速发展,安全防护技术相对滞后,导致云计算中的网络安全面临重大挑战。此外,云计算的快速发展催生了大量特定点的解决方案,这些解决方案常常存在功能重叠,使得安全管理变得复杂。在某些情况下,组织可能错误地认为传统的杀毒软件足以保护其云系统和数据,然而,这些解决方案无法应对针对云工作负载的特定威胁。

如何应对这些威胁

尽管未来充满不确定性,但确保云工作负载安全的原则相对简单。为了解决配置错误问题,组织可参考Gartner发布的《云工作负载保护平台市场指南》,运用安全配置管理为网络中连接的资产建立基准,并监控这些资产是否偏离该基准,如有偏差则及时恢复至批准基准。此外,组织应自动化防御措施,以保护系统免受因配置错误或其他安全漏洞而可能被利用的攻击。

在网络安全监控能力方面,组织不仅需了解网络中的内容,还需识别哪些资产处于潜在攻击状态。可借助资产发现工具,如SentinelOne的RangeR技术,该工具利用受保护的端口作为传感器,在不增加资源消耗或需额外硬件的情况下,实现跨网络设备发现和恶意设备隔离。

最后,组织可以通过使用运行时保护和EDR等工具,主动实时应对数字威胁,从而保护云运行时环境。这包括应用程序控制引擎等工具,能够锁定容器并保护其免受未经授权安装及滥用攻击者工具的影响,无论这些工具是合法的LOLBIns还是自定义的恶意软件。

[[[IMG_1]]]

[[[IMG_2]]]

[[[IMG_3]]]