“数据泄露可能会对企业的底线产生明显的影响,安全团队迫切希望防止它们。但是,并不是根本的云技术加剧了数据泄露问题 - 这是未成熟的安全实践,超重的IT员工和围绕云采用的危险最终用户行为。”
信息安全杂志-08/07/2019
Capital One是公共云的海报孩子 - AWS实施是一个特色案例分析在网站上。但是最近暴露了超过1亿个信用卡申请的安全漏洞可能使公司损失达到5亿美元的美国罚款。
首都几乎不是一个人。今年4月研究人员发现第三方在公共云上暴露了超过5.4亿个Facebook用户记录。同样,去年2月是“授权的第三方”裸露240万道琼斯琼斯客户记录。根据脆弱性和威胁趋势报告2019年上半年,公共云漏洞从2017年的同一时期增加了240%。
公共云安全远非给定
“经过错误配置的服务器基础架构通常被认为是IT行业中数据泄露最重要的原因之一。这种人为错误现象通常是无意的,但是它可能会对敏感的个人信息的暴露以及可能损害业务声誉的灾难性后果。”
网络安全杂志,CS媒体12/26/2018
关于首都一号违规的媒体有很多新闻,其中包括《华尔街日报》中的一些文章。其中之一被告如何从云中偷走数据的数据将曝光的责任归咎于错误配置的服务器。该文章引用了一位安全研究人员说,这很普遍,并在两个领先的云提供商中发现了800多个帐户,其中错误配置的服务器可以使局外人访问。
它的领导者通常将公共云视为本地安全斗争的补救措施,例如防火墙配置和保持最新的修补。但是公共云并不是灵丹妙药。公共云不仅不会消除错误配置的服务器和防火墙,而且会加剧问题。
将安全风险从本地转移到公共云,这意味着现在,黑客在曝光高度暴露的公共云领域中更容易针对。安全专家兼城堡首席信息安全官克里斯托弗·霍夫(Christofer Hoff)在推特上说:“如果您的安全现在很烂,那么当您搬到云时缺乏变化会让您感到惊喜。”
公共云增加了安全需求
2018年7月的IDC报告,云遣返在多云世界中加速说,预计所有公共云应用程序中有一半有望在未来两年内恢复本地。对400家公司调查引用的第一驱动程序是安全性。
公共云中的安全错误不仅比本地人构成更大的风险,而且有效的安全性更具挑战性。每个公共云都需要围绕等领域的专业安全知识多租户(共享资源),权限,网络流量流,存储存储存储桶,负载 - 平衡器,数据库,身份访问管理等。
例如,考虑备份。2019年8月9日的TechCrunch文章,在线发现了数百个裸露的亚马逊云备份,说云管理员通常无法选择正确的安全设置。这留下了EBS快照(备份),“无意间公开和未加密。”
德勤咨询首席云战略官戴维·林索姆(David Linthicum)在05/08/2018中明确了这一点信息世界文章,即使是深处的本地安全技能也无法完全转化为公共云提供商的特定要求:
“事实是,企业在为云的人才库做准备方面做得很差……我看到的违规行为是由于人们做愚蠢的事情而不是缺乏技术而造成的。事物是错误配置的,不应用更新或选择了错误的技术。确实,您可以在过去五年中追溯到大多数违规行为,这是贫穷的人才的根本原因。”
云安全是共同的责任
云中的安全性和合规性是云服务提供商(CSP)及其客户之间的共同责任。在共享责任模型下,CSP负责“云的安全性”,其中包括运行云服务的硬件,软件,网络和设施。另一方面,组织(CSP的客户)负责“云中的安全性”,其中包括他们如何配置和使用CSP提供的资源。
Diem Shin,Fugue 01/23/2019
公共云提供商可以,如果他们愿意的话,只需实施气密服务器/防火墙安全。例如,AWS可以使互联网上任何人都无法获得其储物桶(AWS E3)。但是,锁定E3将阻止组织轻松共享某些信息以进行测试/开发目的甚至生产的能力。
公共云提供商建立了其架构,以快速集成和可扩展性。云客户可以自由地配置和部署服务器,因为他们最好地看到单击按钮,但是权衡是承担大部分由此产生的安全责任的要求。关键是认识到他们的风险胃口水平,然后确保与适当的安全基线相抵触的最佳实践。
将云安全视为四层频谱是有帮助的。一方面是云平台层,显然是公共云提供商安全的责任。在频谱的另一端,是客户权限保护的应用程序层。在这两层之间,这是一个梯度,云提供商的责任在客户责任增加的同时逐渐下降。
- 云平台层
- 基础架构层
- 网络层
- 应用层
在履行其安全责任时,云客户的往绩往往很差。
确保多云
确保本地和多个云比固定单个云更为复杂。组织需要针对私有云,公共云以及不同公共云的不同控件集。似乎毫无疑问,我们进入了混合/多云世界。2019年4月的IDC研究,在多云世界中生存和繁荣,“现在,多云环境已成为企业组织的规范。”Forrester Research确认多云/混合云环境现在占企业计算策略的74%。
即使是良好的安全政策,如果领导者无法确保合规性,也不能保证安全。例如,Nutanix客户的政策没有基于云的负载平衡器具有未加密的数据,但是部署XI Beam后发现了67个这样的情况。
有效的安全性要求监视数千个变量的能力。存储存储桶安全吗?数据是否加密?30天后是否丢弃了日志访问密钥?这是不可能手动做的。自动化工具必须对每个公共和私有云环境进行轮询,以检查已知的云安全最佳实践列表的配置。云安全管理工具必须提供:
- 完全了解组织在包括本地在内的所有云中的安全姿势
- 解决安全漏洞的实时建议
- 自定义安全政策和满足特定业务需求的审核
一种这样的工具是Nutanix XI光束,它支持AWS和Azure。Beam还支持对使用Nutanix本机管理器AHV的本地Nutanix环境的安全合规性审核。光束可以帮助检测甚至补救服务器和防火墙错误配置,组织通过提供云安全性来识别和解决其安全问题能见度,,,,优化和控制:
能见度
多云环境是什么样的?资源如何部署?有裸露的数据库吗?Beam通过为多云环境的安全姿势提供安全热图和全球可见性来回答这些类型的问题以及许多其他问题。它根据公共和私有云的行业最佳实践,使用500多次自动审计检查来确定云基础架构安全漏洞。
优化
Beam包含一个单击功能,可以轻松解决安全问题并改善客户的安全姿势。它提供了开箱即用的安全策略,以自动化公共法规合规性策略的支票,例如HIPAA,PCI-DSS,NIST,ETC。
控制
Beam通过以政策驱动的自动化工作流程来确保环境的自动化,这些工作流程不断实时检测安全漏洞。然后,光束实现修复它们所需的动作。客户可以创建自己的自定义审核检查,以满足其特定于业务的安全合规需求。
对于Nutanix客户,我们现在正在通过XI Beam启动安全合规性审核。如果您想尝试一下,请单击这里。
感谢Beam产品营销经理Sahil Bansal,他提供了宝贵的信息,指导和编辑。
免责声明:在此博客中表达的观点是作者,不一定是Nutanix,Inc。或其他任何员工或分支机构的观点。