Topic Overview
云网络安全是网络安全的一个领域,其重点是尽量减少恶意行为者访问的机会, change, 或者破坏公共或私有云网络上的信息. 尽管保护云网络的原则与保护本地网络的原则相似, 云环境的独特方面意味着需要不同的策略.
云网络安全非常重要,因为敏感信息被迁移到云中, 它在哪里变得更脆弱. 这些信息需要保护, 但云计算也带来了新的挑战,可能会使安全变得棘手.
云网络安全面临的挑战也是使云操作变得如此强大的原因. 对于初学者来说,在云网络中部署新资产非常容易. 在本地网络中,IT和 SOC 团队对所有新的基础设施进行监督. 这意味着扩展网络是缓慢而费力的, 但这也意味着所有新的基础设施都是由安全专家配置的.
In a cloud network, 任何具有正确凭证的人或系统都可以立即添加新的基础结构, 没有IT或安全团队的直接参与. 这使得扩展网络变得容易得多, 但也增加了新基础设施配置不安全的可能性,从而容易受到攻击.
云计算中网络安全的另一个独特挑战是云环境的变化速度. 自动缩放和无服务器计算等技术意味着云网络中的资产不断出现和消失.
像漏洞扫描这样的传统安全措施已经不够用了,因为一个易受攻击的资产可能只存在几分钟——这对恶意行为者来说已经足够找到并利用它了, 但这远远不够每周甚至每天进行一次扫描来发现它.
易于部署和高变化率使得安全团队很难维护其云环境的全貌. 这在混合环境(包括内部部署和云网络的IT环境)中变得更糟。, 不同的信息存储在不同的系统中,并由不同的安全工具保护.
在这些环境中, 安全团队需要在不同的系统之间来回切换,以管理他们的安全工作. 缺乏统一的数据使得很难(如果不是不可能的话)准确地了解组织的整体安全状况,或者跟踪在云和本地网络之间移动的恶意行为者.
最后但并非最不重要的是,当处理公共云服务提供商的网络时 AWS or Azure,网络所有者与提供商共同承担保护网络安全的责任. 虽然这个的细节 责任分担模式 根据提供商的不同而有所不同, 一般来说,他们负责保护云本身, 比如数据中心的物理安全, 硬件的维护和更新, etc. The network owner, on the other hand, 负责保护他们放在云环境上的任何东西.
许多人担心放弃对硬件和数据中心安全的控制, 而是像亚马逊这样的公共云服务提供商, Microsoft, b谷歌可以在物理安全等方面投入更多资源. 共享责任模型中的真正风险是它可能在组织中造成的混乱. 由于人们错误地认为他们不需要担心,所以发生了不少安全事件 cloud security 因为它在云端,他们的云提供商会照顾一切.
Beyond embracing DevSecOps 并教育员工如何以安全的方式使用云网络, 为了将云网络中的风险降至最低,组织可以做的最有效的事情是为云环境定义安全基线. Ideally, 在组织开始使用云网络之前,应该建立这个基线, 但创造一个永远不会太迟.
基线从安全的角度展示了云网络应该是什么样子. 我们的目标是确保每个人——安全、IT、工程、DevOps等.-是一致的需要做什么,以保持网络安全的持续基础上. 正确定义的基线可以帮助解决云网络安全中的许多挑战, 包括易于部署, speed of change, 分担责任.
组织可以遵循一些云网络安全最佳实践来建立这个基线. First, 基线应该指定云环境的体系结构, 每种类型的资产应该如何配置, 谁应该对环境的每个部分具有读写权限. Guides like the CIS Benchmarks and the AWS架构良好的框架 也应该用来帮助定义基线吗.
确保基线适用于预生产环境和测试环境. 在许多情况下,这些环境被用作攻击的入口点. 基线是否指定了测试的策略和控制, 例如,哪些(如果有的话)生产数据库可以用于测试或复制.
基线也应该绘制出来 事件响应计划, 以及明确定义组织中谁负责云安全的哪些方面. 还应定期重新审查和更新该文件,以反映新出现的威胁和新的最佳做法.
一旦基线被创建或更新, 它需要传达给每个接触云网络的人. 此外,安全团队需要与DevOps合作,并实现执行基线的方法. 这意味着创建云基础架构模板(使用来自云提供商或Terraform等供应商的基础架构作为代码解决方案),其中所有内容都已正确配置. 它还意味着实现持续的监控,以检测何时某些东西已经过时或在部署后进行了更改,并且不再遵循基线.
虚拟机模板应该包含一个嵌入式代理,以便在部署某些内容时进行持续监控和漏洞检测.
当谈到云网络可见性方面的挑战时, 安全团队应该首先确保他们(至少)对组织的所有云帐户具有只读访问权限. 试图保护和维护对混合云或多云环境的可见性的组织应该确保一个团队负责保护IT足迹的所有部分.
一个团队负责本地安全,另一个团队负责云安全,另一个团队负责云安全,通常会导致孤岛, blind spots, 难以追踪在网络间移动的恶意行为者.
处理混合云或多云环境安全性的团队也应该考虑重新评估他们使用的工具. 许多遗留的安全解决方案没有经过优化以支持云网络. 这导致团队使用不同的工具来保护其内部部署和云环境. Instead, 团队应该寻找能够让他们在一个地方管理组织整个IT足迹的安全性的工具.
大多数团队将受益于以下工具:
安全团队还应该考虑利用安全自动化工具来帮助保护云网络. 自动化可以帮助团队跟上云网络中快速变化的步伐, 通过在系统之间共享数据来增强可见性, 消除繁琐的工作,提高工作效率, 并通过立即响应检测到的威胁,将事故造成的损害降到最低.
利用自动化的一种方法是使用Chef或Puppet等工具自动部署云基础架构模板(来自您的安全基线). 这可以简化复杂体系结构的创建,并将人为错误的可能性降至最低. 利用自动化的另一种方法是使用安全编排、自动化和响应 (SOAR) solution.
这样的工具可以让团队轻松地在系统之间交换数据,而不必花时间使用api对它们进行集成. Even better, SOAR解决方案可以自动执行许多手动流程,这些流程可能会占用安全分析师一天的时间或减慢调查的速度. For example, 安全团队可以在SOAR工具中构建工作流,自动调查可疑的网络钓鱼电子邮件, 当检测到恶意软件时包含它, 提供/去除用户, streamline patching, and much more.
除了到目前为止所提到的一切, 对于希望在云网络上构建和部署web应用程序的组织,还有一些其他的最佳实践. 这些组织应该寻求“向左转移”,并尽可能早地将安全性纳入其软件开发生命周期(SDLC). In other words, 安全问题应该作为代码部署前测试的一部分进行评估,并像对待其他错误一样对待.
这不仅确保了部署的代码不受 安全漏洞, 而是通过在测试期间标记安全问题, 开发人员有机会了解他们的代码中存在哪些漏洞,以及如何在将来避免这些漏洞. 目前部署在云网络上的现代web应用程序的类型通常相当复杂, 因此,寻找测试这类应用程序的方法的组织应该确保无论SAST是什么, DAST,或者他们正在考虑的最后一个解决方案可以处理他们的应用程序的代码库.
确认这一点的最佳方法是通过免费试用来测试该工具. 虽然不是针对云网络的, 值得一提的是,任何部署web应用程序的组织都应该认真考虑额外的保护措施,比如 Web应用防火墙(WAF) 防止恶意行为者访问应用程序和运行时应用程序安全保护(RASP)解决方案,以响应设法通过WAF的实时攻击.