Capital One公司遭遇的數(shù)據(jù)泄露事件凸顯了IT領(lǐng)導(dǎo)者迫切需要對(duì)配置錯(cuò)誤進(jìn)行補(bǔ)救。專家指出，這就是云安全狀態(tài)管理技術(shù)和其他安全工具發(fā)揮作用的地方。

安全漏洞問(wèn)題已經(jīng)讓越來(lái)越多的組織對(duì)新興安全軟件很感興趣。例如，云安全狀態(tài)管理(CSPM)技術(shù)可以對(duì)云計(jì)算環(huán)境進(jìn)行搜索，并向企業(yè)員工發(fā)出有關(guān)配置問(wèn)題和合規(guī)風(fēng)險(xiǎn)的警報(bào)，其中大部分問(wèn)題是人為錯(cuò)誤。

2019年，金融服務(wù)提供商Capital One公司發(fā)生了一起數(shù)據(jù)泄露重大事件，當(dāng)時(shí)一名AWS公司的員工啟用了一個(gè)配置錯(cuò)誤的Web應(yīng)用防火墻(WAF)，Capital One公司將其作為在AWS云平臺(tái)中托管的一部分，使其大量客戶數(shù)據(jù)泄露。2018年，沃爾瑪公司和GoDaddy公司使用的AWS存儲(chǔ)實(shí)例之后大量數(shù)據(jù)對(duì)外泄露，因?yàn)槠渌丝梢酝ㄟ^(guò)AWS存儲(chǔ)實(shí)例在全球互聯(lián)網(wǎng)上訪問(wèn)這些數(shù)據(jù)。

云平臺(tái)中的配置錯(cuò)誤

調(diào)研機(jī)構(gòu)Gartner公司分析師Neil MacDonald表示，大多數(shù)企業(yè)的首席信息官在調(diào)查中表示，他們的數(shù)據(jù)存放在云計(jì)算供應(yīng)商的云平臺(tái)那里更安全，但是由于人為錯(cuò)誤和網(wǎng)絡(luò)攻擊，使很多企業(yè)的數(shù)據(jù)對(duì)外泄露。Gartner公司的調(diào)查表明，實(shí)際上，到2025年，99%的云安全故障都是客戶自身的過(guò)錯(cuò)。

MacDonald說(shuō)：“他們最擔(dān)心的問(wèn)題是，內(nèi)部員工所犯的一些錯(cuò)誤會(huì)讓他們的數(shù)據(jù)泄露。”

Land O'Lakes公司首席安全官 Tony Taylor表示，例如，迫于DevOps截止日期，很多企業(yè)的開發(fā)人員匆忙啟動(dòng)新的虛擬機(jī)，而在無(wú)意間將其網(wǎng)絡(luò)暴露在外。

常見的配置錯(cuò)誤暴露了云存儲(chǔ)文件夾和數(shù)據(jù)傳輸協(xié)議，這些文件夾和數(shù)據(jù)傳輸協(xié)議可以通過(guò)全球互聯(lián)網(wǎng)訪問(wèn)，并且用戶帳戶具有過(guò)多的訪問(wèn)權(quán)限。此前，工作人員通過(guò)人工檢查或者編寫自動(dòng)腳本進(jìn)行檢測(cè)，從而發(fā)現(xiàn)此類漏洞。

檢查云計(jì)算安全狀態(tài)

MacDonald表示，由于云平臺(tái)具有高度自動(dòng)化和用戶自助服務(wù)(例如，基礎(chǔ)設(shè)施即服務(wù)和平臺(tái)即服務(wù))，凸顯了云計(jì)算適當(dāng)配置和合規(guī)性的重要性。

Gartner公司建議企業(yè)通過(guò)對(duì)云安全狀態(tài)管理(CSPM)進(jìn)行投資來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)，云安全狀態(tài)管理(CSPM)是云訪問(wèn)安全代理軟件(CASB)的一種擴(kuò)展，旨在為軟件即服務(wù)(SaaS)實(shí)施安全性、合規(guī)性和治理策略。

Taylor表示，Land O'Lakes公司正在使用云訪問(wèn)安全代理軟件(CASB)和云安全狀態(tài)管理(CSPM)軟件來(lái)了解向誰(shuí)提供了數(shù)千個(gè)帳戶，每個(gè)用戶擁有哪些權(quán)限，以及與誰(shuí)共享哪些數(shù)據(jù)，以及該公司的Microsoft Office 365和Azure云軟件的其他特征。該軟件是McAfee公司的MVISION Cloud，可以識(shí)別錯(cuò)誤，例如端口和數(shù)據(jù)庫(kù)中的配置錯(cuò)誤和未加密的技術(shù)服務(wù)，以及不符合州和聯(lián)邦隱私法規(guī)定的系統(tǒng)。它還會(huì)自動(dòng)提醒安全人員注意異常情況，例如可疑的訪問(wèn)。

對(duì)于擔(dān)心根據(jù)各州隱私法律(例如《加州消費(fèi)者隱私法案》和《通用數(shù)據(jù)隱私條例》)保護(hù)個(gè)人信息的企業(yè)而言，此類保護(hù)特性至關(guān)重要。Taylor說(shuō)：“在沒有采用云安全工具之前，我們對(duì)安全態(tài)勢(shì)沒有很好的認(rèn)識(shí)。”

云中的“側(cè)窗”

McAfee公司云計(jì)算高級(jí)副總裁Rajiv Gupta指出，保護(hù)云計(jì)算環(huán)境具有挑戰(zhàn)性，因?yàn)榕c內(nèi)部部署技術(shù)不同，企業(yè)圍繞內(nèi)部部署技術(shù)設(shè)施設(shè)置防火墻和其他外圍保護(hù)，由于云計(jì)算的多租戶架構(gòu)，來(lái)自多個(gè)客戶的數(shù)據(jù)通常駐留在同一臺(tái)計(jì)算機(jī)上，而每個(gè)客戶可以利用不同的資源。

Gupta指出，云計(jì)算環(huán)境以指數(shù)方式擴(kuò)大了網(wǎng)絡(luò)犯罪者可以找到漏洞以泄露數(shù)據(jù)的范圍。可以肯定的是，這些漏洞也出現(xiàn)在內(nèi)部部署基礎(chǔ)設(shè)施中，但其中仍然有許多錯(cuò)誤配置。他說(shuō)，“采用云計(jì)算服務(wù)，原有的安全措施消失了。”

此外，隨著時(shí)間的推移，開發(fā)人員在啟動(dòng)新服務(wù)器、打開新端口，并獲得更高特權(quán)時(shí)會(huì)無(wú)意中創(chuàng)建漏洞。Gupta說(shuō)，這種“配置偏差”削弱了安全態(tài)勢(shì)。當(dāng)開發(fā)人員使用API將諸如商業(yè)智能工具之類的第三方應(yīng)用程序連接到其云計(jì)算服務(wù)時(shí)，事情變得更加復(fù)雜。在很多企業(yè)不知情的情況下，第三方服務(wù)會(huì)復(fù)制所有數(shù)據(jù)。很多企業(yè)在數(shù)據(jù)泄露之前，都沒有意識(shí)到自己創(chuàng)建了這個(gè)“側(cè)窗”。

Gupta說(shuō)：“問(wèn)題變得更加復(fù)雜，因?yàn)樵圃M件之間存在復(fù)雜性和側(cè)窗。”

首席信息官對(duì)云安全的看法

Capital One公司的數(shù)據(jù)泄露事件為人們敲響了警鐘，很多首席信息官認(rèn)同這一觀點(diǎn)。

新澤西運(yùn)輸公司首席信息官Lookman Fazal認(rèn)為，與任何新興技術(shù)一樣，云計(jì)算技術(shù)為首席信息官提供了風(fēng)險(xiǎn)回報(bào)方案。

在考慮將業(yè)務(wù)遷移到云平臺(tái)時(shí)，F(xiàn)azal對(duì)是否可以在自己的數(shù)據(jù)中心中復(fù)制AWS的99.9%正常運(yùn)行時(shí)間以匹配其事件安全響應(yīng)率進(jìn)行了探討，但其答案是否定的。Fazal說(shuō)，“AWS云平臺(tái)的正常運(yùn)行時(shí)間和安全性關(guān)鍵績(jī)效指標(biāo)(KPI)更好。”

此外，與發(fā)生停機(jī)時(shí)將故障轉(zhuǎn)移到內(nèi)部部署數(shù)據(jù)中心的成本相比，AWS云平臺(tái)提供了NJ Transit公司的災(zāi)難恢復(fù)服務(wù)，其遷移到云平臺(tái)的成本也要低得多，這使NJ Transit公司可以在內(nèi)部部署數(shù)據(jù)中心運(yùn)行計(jì)算資源的成本減少200萬(wàn)美元。

84 Lumber公司首席信息官Paul Yater說(shuō)，企業(yè)選擇合適的云計(jì)算供應(yīng)商也很關(guān)鍵。作為客戶，IT領(lǐng)導(dǎo)者有責(zé)任確保正確的檢查點(diǎn)和審核協(xié)議已經(jīng)到位。

Yater在談到云計(jì)算供應(yīng)商時(shí)說(shuō)：“企業(yè)不能認(rèn)為他們做的一切正確。而是需要將云計(jì)算供應(yīng)商視為其IT組織的擴(kuò)展，以便讓他們對(duì)相同級(jí)別的安全負(fù)責(zé)。”

保護(hù)云計(jì)算服務(wù)的技巧

IT領(lǐng)導(dǎo)者提供了一些與云計(jì)算供應(yīng)商合作以確保安全性的技巧。

Land O'Lakes公司Taylor表示，云平臺(tái)安全至關(guān)重要。在開發(fā)人員啟動(dòng)云計(jì)算服務(wù)之前，客戶必須首先執(zhí)行政策和程序。IT領(lǐng)導(dǎo)者必須修復(fù)云計(jì)算環(huán)境的任何漏洞，確保數(shù)據(jù)不會(huì)泄露，并建立一個(gè)健全的DevSecOps模型。

Yater指出，云計(jì)算供應(yīng)商需要獲利，而企業(yè)要求云計(jì)算供應(yīng)商演示PEN(滲透)測(cè)試，并跟蹤和查詢其防火墻、傳感器和其他監(jiān)視網(wǎng)絡(luò)連接之間流量的工具。另外，確保他們具有正確的數(shù)據(jù)保留策略來(lái)保護(hù)企業(yè)業(yè)務(wù)正常運(yùn)營(yíng)。

Gupta表示，每個(gè)人都有責(zé)任。安全性應(yīng)該在“分擔(dān)責(zé)任”模型的背景下實(shí)現(xiàn)。在該模型中，企業(yè)和云計(jì)算供應(yīng)商將盡自己的職責(zé)來(lái)保護(hù)自己和用戶的數(shù)據(jù)。Gupta說(shuō)，：“人們需要理解維護(hù)模型責(zé)任的意義。”
責(zé)任編輯；zl