近年來,隨著云服務市場的發展,不少企業都開始選擇業務上云。特別是新冠疫情在全球蔓延加快了這一趨勢。許多企業不只采用一種云服務,而是采用多種云相互結合的方式,例如,公有云、私有云、混合云等等。企業采用多云方式已發展成當今的主流趨勢。
然而,業務上云之后也并非高枕無憂。由于云安全策略的制定總是滯后于云服務的使用,存儲在云中的客戶數據所面臨的泄露風險也相應增加。此外,云服務還面臨多賬號權限管理、可視化問題以及一系列合規問題。如何在復雜的云環境中守護云安全成為一個棘手的問題。
由于新冠疫情的蔓延,加速以云服務為中心的數字化轉型
由于新型冠狀病毒的全球蔓延,非接觸的數字化服務已經在我們的生活中生根發芽。遠程辦公已成為一種普遍的工作環境,在線服務也成為企業和消費者之間具有代表性的服務方式之一。企業也順應這一趨勢,為保持業務連續性,正在使用云服務來靈活應對快速變化的業務環境。通過云服務,企業可以即時使用自己所需要的基礎設施、平臺、軟件等,并根據需要擴展各種功能和性能等,以滿足快速變化的業務需求。只要有可以使用互聯網的場所和設備,企業員工就可以隨時通過云服務進行業務工作。
現如今云服務的形式和類型多種多樣。例如,存儲文件的云存儲(谷歌驅動器、N驅動器等)、定制型辦公軟件或企業集團軟件服務(谷歌G Suite、微軟365、Gabia Hiworks等)都是一種SaaS(軟件即服務)。無論是租賃服務器或存儲設備等基礎設施來構筑網站或企業用服務器基礎設施,還是企業為業務工作向職員提供的桌面虛擬化(VM軟件、Citrix等),都是以云服務為基礎,遠程向用戶個人提供一定桌面環境的“IaaS(基礎設施即服務)”方式之一。例如,當前對我們來說必不可少的疫苗接種預約系統就是通過云服務來減少系統負荷、有效提高工作效率的典型案例。像這樣,今天我們在不知不覺中正在使用多種云服務。
選擇使用云的企業的一個共同的目標是最大限度地提高效率。企業試圖通過基礎設施階段的靈活處置,努力尋找優化自身服務和提高工作效率的方法。服務環境不是基于本地原有的應用程序,而是基于云服務的應用方式,開發最適合云服務的“云原生”應用程序,最大限度地發揮容器和無服務器等云環境的特點。
針對云服務的安全威脅正在迅速增加
隨著企業數據中心向云環境的正式轉換,對云基礎設施提出了各樣復雜的安全要求。那么,云端發生的安全事故應該由誰來承擔責任呢?根據云運營商的責任共擔模式(Shared Responsibility),計算、存儲、數據庫和互聯網等硬件及基礎設施的安全由云運營商負責,數據、應用程序、操作系統、網絡及防火墻設置等的安全由客戶負責。換句話說,在組織成員缺乏安全意識的情況下,倉促引進云服務,很容易受到信息泄露或勒索軟件攻擊等各種安全事故的影響。云端發生的大多數安全事故不是來自云服務提供商,而是來自使用云服務的企業本身管理不善。如果訪問云服務的憑據沒有得到妥善管理,網絡攻擊者不僅可以訪問和泄露企業的重要數據,還可以通過竊取管理者權限向整個系統移動,并展開勒索軟件攻擊。
實際上,憑據竊取引發的安全事件是針對云服務的代表性威脅,攻擊者為此使用網絡釣魚(Phishing)、憑據填充(Credential Stuffing)、暴力破解(Brute Force)、字典攻擊(Dictionary Atttack)等多種手段竊取憑據。此外,安全設置不足也是常見的云安全事件。有通過云計算運營的企業數據庫在公開的路徑上發布后暴露給外部的事例,也有未應用MFA(多要素認證)等訪問控制策略,從而導致來自內部和外部的未授權擅自訪問的情況。說得簡單點,如果把門鎖密碼設定為1234,就很容易被盜。
據韓國《安全新聞》和《安全世界》近期進行問卷調查結果顯示,在受訪企業中,79.51% 的韓國企業已經使用了云服務(46.46%)或計劃在未來使用云服務(33.07%)。但同時他們也表明了對數據泄露、管理疏漏、運營能力不足等安全方面的擔憂。
加強云環境安全的首選——CWPP(云工作負載保護平臺)
由于“云安全”的概念所涉范圍非常廣,目前比較流行的是Gartner公司提出三類云安全產品——CASB(Cloud Access Security Brocker,云訪問安全代理)、CSPM(Cloud Security Posture Management,云安全態勢管理)和CWPP(Cloud Workload Protection Platform,云工作負載保護平臺)。
CASB是Gartner公司在2012年提出的概念,是一種部署在云端和用戶之間以監視所有活動并應用安全策略的解決方案。確保云和應用程序的可視性,實現數據保護及支配結構來控制用戶訪問,同時保護企業數據資產。
CSPM是一種評估及管理云服務配置風險因素的解決方案,能夠自動識別錯誤的安全配置或合規性問題并進行警告。Gartner將CSPM描述為一種自動化安全并確保合規性的安全產品。通過這些可以減少數據泄露的可能性,保護云環境。
CWPP是一種以服務器工作負載為中心的安全解決方案,其主要目的是確保對工作負載的可視性并防止攻擊。根據Gartner的說法,CWPP應對物理計算機、虛擬機器、容器、無服務器工作負載等提供統一的控制和可視化服務。此外,它還應該能夠通過保護系統完整性、細化訪問區域的網絡分段、保護內存、監控用戶行為、防止基于主機入侵和阻止惡意軟件等,保護工作負載免受在程序運行區域發生的攻擊。
一般來說,傳統環境下使用的技術很難完全應用于云環境中。在傳統和封閉的企業環境下開發的應用程序及基礎設施無法完全轉移到云端。此外,大部分人不僅使用私人云,還使用多云或混合云環境,該環境使用來自多個供應商的云服務。在這種多云環境下,安全負責人確認和管理組織應用程序和數據所在的位置將會變得更加復雜。尤其是最近,越來越多的公司開始采用DevOps文化,通過開發和運營組織之間的有機協作來快速解決問題。在這種企業文化中,軟件和服務的開發和部署速度比過去更快,安全人員需要管理的點也更多。
為了在這樣的環境中使用企業服務,必須確保對工作負載保持統一的可視化。為此,應將應用軟件和服務放在安全計劃中心。CWPP支持在日益復雜的云環境下,在單一控制臺中確保對多個云服務的可視化,并可進行安全控制管理。這完全符合企業對云環境安全的需要。
全面的 CWPP 解決方案使安全人員能夠發現部署在私有云和公有云環境中的工作負載,并對工作負載進行漏洞評估。根據漏洞評估結果,不僅可以進行完整性保護、白名單、內存保護以及防止基于主機的入侵等安全措施,還可以根據需要進行勒索軟件檢測。隨著環境的變化,越來越多的企業從CWPP入手,它已成為云環境安全的基礎。
Gartner定義的CWPP解決方案的8大主要功能:
1、加固、配置和漏洞管理(Hardening, Configuration and Vulnerability Management):主要以工作負載環境的系統配置和漏洞分析功能的形式提供,檢查并管理當前工作負載正在使用的應用、操作系統環境的漏洞。
2、網絡防火墻、確保可視化及微分段(Network Firewalling, Visibility and Micro segmentation):提供基于工作負載的防火墻功能,以保護每個工作負載免受外部侵害。
3、保障系統完整性(System Integrity Assurance):檢查工作負載中每個指定環境設置的完整性或實時監控系統文件、配置和權限的完整性。
4、應用控制/白名單(Application Control/Whitelisting):通過控制應用程序運行來增強安全性,通常基于白名單來控制應用程序的運行。
5、預防漏洞利用/內存保護(Exploit Prevention/Memory Protection):防范操作系統及可執行應用漏洞,保護服務器工作負載免受惡意代碼驅動內存等文件攻擊等。
6、服務器工作負載端點檢測與響應(EDR)、行為監控和威脅檢測與響應(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response):通過監控網絡通信、進程啟動等檢測并應對可疑行為。通過基于主機的代理方式檢測或以云服務運營商提供的網絡數據等信息為基礎進行檢測和應對。
7、基于主機的入侵檢測系統(Host-Based IPS With Vulnerability Shielding):通過分析流入工作負載環境的網絡流量來檢測并阻止攻擊,并通過運行基于主機的操作來保護服務器免受虛擬環境和容器環境下發生的網絡攻擊及各種漏洞攻擊。
8、反惡意軟件掃描(Anti-malware Scanning):基于簽名,檢測和阻止惡意軟件并滿足相關合規要求。
Gartner公司簡介
Gartner(高德納,又稱為顧能公司,NYSE: IT and ITB)公司是全球最具權威的IT研究與顧問咨詢公司,成立于1979年,總部設在美國康涅狄克州斯坦福+。其研究范圍覆蓋全部IT產業,就IT的研究、發展、評估、應用、市場等領域,為客戶提供客觀、公正的論證報告及市場調研報告,協助客戶進行市場分析、技術選擇、項目論證、投資決策。為決策者在投資風險和管理、營銷策略、發展方向等重大問題上提供重要咨詢建議,幫助決策者做出正確抉擇。
在全球的IT產業中,Gartner公司以其公認的權威性和擁有包括供應商、生產廠商、系統集成商、咨詢公司、銀行、金融機構、能源交通、政府部門及其它領域等超過11,000個客戶機構而獨占鰲頭。其公司客戶幾乎囊括了絕大部分世界級大公司。
