BetterCloud最近的一項調查發(fā)現�,企業(yè)平均使用80個單獨的第三方云應用程序來實現協(xié)作����、通信�、開發(fā)��、管理合同和HR功能��、授權簽名以及支持處理和存儲敏感數據的業(yè)務功能��。這些類型的應用程序統(tǒng)稱為SaaS(軟件即服務)�。
除此之外���,企業(yè)組織還在公共平臺(PaaS或平臺即服務)和基礎架構(IaaS或基礎架構即服務)上部署應用程序和整個業(yè)務��。數據顯示��,2020年有76%的企業(yè)在Amazon Web Server(AWS)上運行其應用程序���,而63%的企業(yè)在Microsoft Azure上運行其應用程序。
Capital One顧問兼前CISOMichael Johnson表示��,這些公共云服務都是必要且高效的�����,甚至有望比傳統(tǒng)數據中心提供更安全的環(huán)境�����。但是,它們也為這些正在云中存儲和處理的敏感數據帶來了獨特的風險����,其中大多數風險都是由于用戶在設置和管理這些服務時操作錯誤造成的。
據悉��,Johnson曾在2019年的一次公開事件中參與指導Capital One公司完成響應過程���,該事件當時暴露了8000萬個人記錄���。在這起事件中,攻擊者正是利用了配置不當的第三方云環(huán)境�����。好在Johnson及其團隊及時遏制了這一漏洞�,并借助強大的響應計劃,與董事會和執(zhí)行團隊的透明性�����,以及與執(zhí)法部門之間的既有關系��,成功實現在數據被利用之前將數據竊取者抓捕歸案���。
制定響應計劃以應對在云中放置敏感數據的風險��,這應該是任何云安全策略必不可少的一部分��。想要針對公共云環(huán)境部署數據保護策略��,重要的是要知道如何暴露或竊取來自公共第三方服務的數據���。
數據在云中因何如此脆弱?
根據云安全聯(lián)盟(CSA)的年度威脅報告指出,第三方云服務中的數據泄漏主要是由于配置錯誤和變更控制不充分(例如過多的權限�、默認憑據、配置不正確的AWS S3存儲桶以及禁用的云安全控制)造成的���。而缺乏云安全策略或體系結構正是造成數據泄露的第二個最常見的原因����,其次是身份和密鑰管理不足���,隨后還有內部威脅���、不安全的API、結構故障以及對云活動和安全控制的有限可見性等等�����。
云安全聯(lián)盟CEO Jim Reavis表示:
| “由于遠程工作需要,SaaS在2021年已經成為我們的重要關注點���。我們看到公有云采用率出現了驚人的增長���,但是忙亂中,組織卻忘記了將邊緣網絡保護到云中�。例如,人們正在跨多個云服務重用其憑據����,因此現在憑據填充攻擊正在增加?�!?/td> |
McAfee的一項調查顯示���,到2020年5月���,思科WebEx的使用率增加了600%,Zoom增長了350%���,Microsoft Teams增長了300%���,Slack增長了200%����。在最初匆忙開展遠程工作時�,Reavis就指出了許多可能導致數據泄露的問題:IT團隊并未保護云中的存儲桶���,未實施安全的開發(fā)人員實踐或協(xié)調身份和訪問程序�����。如今���,網絡犯罪分子甚至已經在存儲庫中發(fā)現了一些硬編碼的應用程序憑據??膳碌氖牵@些明明都是一些非?�;A的東西���。
專家建議����,遵循下述3個最佳實踐將顯著降低在云中存儲或處理數據的風險:
保護云中敏感數據的3種最佳實踐
清點云使用情況
為大中型公司提供咨詢的CISO Ian Poynter建議,應對云中數據威脅的最佳方法�,是在任何涉及公共云服務的新計劃的規(guī)劃階段,將云應用程序納入控制并進行風險評估�。CISO之間的共識是,用戶的云實例并非都是獲得授權的�,而且很少針對公開數據進行有效地監(jiān)控。這也是CISO需要成為執(zhí)行團隊成員的原因所在��。他們需要這個權限去了解正在發(fā)生的事情���,并且還要一個協(xié)作環(huán)境����,在這樣的環(huán)境中���,業(yè)務經理能夠直接與他們進行溝通�,共享其正在運行的新項目或產品��,然后讓他們對其中涉及的云產品進行評估�����。
就一家公司而言,CISO甚至可以向財務發(fā)出警告��,告知其哪些第三方云應用程序和平臺可以報銷�����。如果業(yè)務部門或個人用戶在未經事先批準的情況下購買了報銷范圍以外的產品���,則可以直接拒絕他們的報銷申請。
這是強制執(zhí)行云應用程序白名單的手動方式��,但無疑也是有效的方式�����。云應用程序白名單和黑名單通常也是部署在公司控制的端點上���,或通過零信任技術(例如瀏覽器隔離)來控制用戶��、企業(yè)和云應用程序之間的遠程會話的強大技術控制��。
應用云原生安全產品
Johnson建議����,在組織已標準化的成熟云服務和應用程序中利用云原生安全產品。例如����,應用AWS Inspector評估正在使用的應用程序的配置合規(guī)性,以及應用Amazon GuardDuty來檢測惡意活動和未經授權的行為��。采購產品之前���,企業(yè)組織需要竭盡所能地對云提供商的聲譽進行盡職調查���,并盡量避開一些小的提供商。越大的提供商通常會在數據保護和可見性控制方面做得更好�。
服務模型之間的原生安全性會有所不同。IaaS和PaaS供應商為購買者在其基礎架構或平臺中升級的應用程序提供安全性和配置工具�。這些一般是本地提供的或是通過第三方付費提供的。對于SaaS應用程序(例如DocuSign����、Slack或Box)而言,安全性多數是原生的��。例如�����,Microsoft 356為Exchange、SharePoint和Azure(以及其他安全產品)Active Directory提供高級審核�����。
通過研究Box公司的cloud enterprise���,我們可以窺見出入第三方提供商的敏感數據的處理方式�����。Box管理著多個應用程序�����,以支持工作流程、數字合同��、HR���、Zoom會議�、歷史數據存儲���、HR加載和其他HR功能��。用戶通過Box Shuttle將Box連接到其他云服務(例如具有完整數據傳輸功能的Facebook Workplace)時�,Box中便出現了云。
Box安全����、隱私和合規(guī)性產品副總裁Alok Ojha表示,隨著越來越多的應用程序在Box世界中興起�����,面向用戶的嵌入式安全性和合規(guī)性工具集將成為關鍵的差異化因素���。Ojha引用內容云(Content Cloud)作為Box用戶在不同工作流中實現一致安全性和可視性的地方���,以查看應用程序中正在處理哪些文件和數據,以及誰在訪問數據及出于什么目的��。
另一個原生工具Box Shield也可以配置來查找和分類敏感數據�����,并對分類后的數據進行適當的控制���,以降低內部人員和惡意軟件威脅的風險����,同時還可以了解與數據相關的法規(guī)要求,并確保對監(jiān)管機構進行審核跟蹤�����。此外�,他還建議重新關注身份和訪問管理(IAM),尤其是對外部用戶和合作伙伴使用多因素身份認證����,而不要再使用可重用的密碼組合。
在數據層保護數據
Titaniam數據保護公司創(chuàng)始人兼CEO Arti Raman警告稱�����,不要過度依賴身份和訪問控制來防止數據泄漏��,同時控件還需要直接關注通過公共云進行交易并存儲在公共云中的數據���。但是,從端點到企業(yè)再到云的數據保護非常困難���,并且必須具有足夠的靈活性以跨越所有這些邊界�,以便在整個生命周期內保護數據。
Raman認為�����,在對數據進行索引�、搜索、聚合���、查詢或以其他方式進行操作時����,加密和數據保護應始終存在��。這包括傳統(tǒng)的加密技術以及新的可搜索技術����,這些新技術是在其上使用傳統(tǒng)加密來滿足合規(guī)性標準。
最后�,Box公司的Ojha補充道,數據終止(data kill)政策也很重要����。根據企業(yè)和法規(guī)為數據設置的要求,最好可以自動刪除不再需要在第三方應用程序和基礎架構中存在的數據�。
