从制造业、金融服务到公共部门的行业中的公司信任云服务提供商及其关键的数据,软件即服务(SaaS)应用程序(如Office 365和Salesforce)的快速增长取决于信任。但是,SaaS在IT安全专业人员确定云服务提供商可以产生与传统软件相当或具备更好的安全性之前采用量一直很低。主要的挑战仍在企业方面,Gartner预测95%的云安全事件是用户的错误。
现在,第二波的云采用浪潮正在迅速蔓延,围绕着基础设施即服务(IaaS)展开。对于IaaS来说,企业需要使用共享责任模型来更新其安全方法。
更新IaaS的共享责任模型
Cloud-first的公司使用SaaS工具实现不同功能:Office 365协作,Workday人力资源和Salesforce用户关系管理。每个组织还拥有规模不等的为员工、用户和合作伙伴服务的应用程序。组织正在消除其数据中心,并将这些专有应用程序大量地迁移到IaaS云产品中,从而使IaaS增长率达到SaaS的两倍。
即便已经对SaaS安全采取主动方法的公司也必须重新评估其在IaaS平台上托管的应用程序的性能。SaaS和IaaS平台在不同的共享责任模式下运行,或者在云服务提供商和用户之间分配安全能力。SaaS提供商所处理的很多安全漏洞都落在IaaS服务上承载的应用程序所属企业用户的肩膀上。
此外,企业快速迁移的压力意味着安全团队可能对IaaS安全几乎没有有效地监控;开发团队没有额外的资源专门应用于更新预定迁移到云端的现有内部应用程序的安全性。专有应用程序没有SaaS应用程序等专用安全解决方案,也没有与安全产品集成的API。虽然过去我们认为创业公司和云服务提供商是处理AWS、Azure或谷歌云平台安全性的公司,但如今财富榜前2000的公司仍然面临着在云端保护应用程序的挑战。
IaaS安全威胁来自组织的内部和外部。黑客攻击企业IaaS账户以窃取数据或计算资源,可以通过窃取凭据,获取错误的访问密钥或利用配置错误的设置来利用此向量。一位研究人员在GitHub上发现了超过10000个AWS凭证。在托管公司代码空间的最坏情况下,被黑客入侵的账户可以用于挖掘比特币。
在企业内部,具有访问IaaS账户的恶意员工可能会通过窃取、更改或删改平台上的数据而造成巨大损失。人为错误和疏忽可能会将公司数据和资源暴露给攻击者。医疗保健公司CareSet发生配置错误,导致黑客利用其谷歌云平台账户对其他目标发起入侵攻击,在几天之后都没有恢复,谷歌暂时关闭了该公司的账户。组织不能错误地假设IaaS环境是安全的,在上述每种情况下,云服务提供商都无力为用户解决这些漏洞。
IaaS安全行动计划
在IaaS平台上的专有应用程序中保持数据安全需求超出SaaS安全性的范畴:保护计算环境本身。在AWS、Azure和谷歌云平台或其他IaaS平台上保护计算环境从配置审核开始,以下是对于确保IaaS使用至关重要的四种类型的配置:
1、身份验证
多重身份验证是任何具有敏感公司信息,尤其是暴露于Internet的云应用程序的必要控制。公司应为root账户和身份以及管理访问用户开启多重身份验证,以降低账户泄露的风险。高度身份验证可能需要用户在提交操作之前输入其他登录步骤。
2、无限制访问
不必要地暴露AWS环境增加了各种攻击方法的威胁,包括拒绝服务、中间人攻击(man-in-the-middle)、SQL注入和数据丢失。检查对Amazon Machine Images的无限制连接、数据库服务实例和弹性计算云可以保护知识产权和敏感数据,以及防止服务中断。
3、非活跃账户
非活跃和未使用的账户对IaaS环境造成不必要的风险,审查并删除不活跃的账户可以防止账户损害和滥用,降低生产力成本。
4、安全监控
将计算迁移到云端的最大的问题是失去可视化和取证。打开AWS的CloudTrail日志记录进行审计跟踪,可以建立一个行为监控工具,用于主动威胁和调查。这也是任何大型公司的基本合规性要求,可以成为将应用程序移动到IaaS的交易中断。
在这4个类别中,安全监控是最复杂且最可靠的。机器学习工具可以被调整以检测指示威胁行为的范围。API可以根据会话位置,或强制登录启用监控。乍一看,将应用程序迁移到云端可能会失去控制。然而使用主动的基于云的安全策略,IaaS上的应用程序可以与其内部对等方一样安全,甚至更安全一些。
本文作者:佚名
来源:51CTO
