2021年新冠疫情反復肆虐,全球性的遠程辦公已經成了“基本操作”,大量企業主動或被動轉向云計算大規模遷徙,但是正如塞倫蓋提大草原上的動物遷徙,沿途危機四伏。在Menlo Security對200位IT經理進行的一項調查中,有40%的受訪者表示,由于企業大規模上云,他們正面臨著來自云應用和物聯網(IoT)的安全威脅。
企業上云面臨的安全威脅很多都是老問題,但這些威脅因為敦刻爾克式的大規模倉促行動而被放大了,例如影子IT、BYOD和虛擬專用網。遠程辦公導致2020個人PC市場迎來“偉大復興”,但我們也應該意識到,“個人”PC不再是個人使用,同一臺計算機可能同時也在運行孩子的網校、網游和社交應用,而相關的安全意識培訓和規則卻并未跟上。可以肯定的是,這對于任何企業的安全策略來說都不是好苗頭。
以下是企業上云過程中,常見的七個安全錯誤:
1. 依賴虛擬專用網進行遠程訪問
過去的一年已經證明,虛擬專用網可能不是遠程訪問的最佳答案,甚至頂尖的網絡安全公司也吃了大虧。2020年12月發生震驚整個網絡安全業界的FireEye黑客事件中,遭到入侵的虛擬專用網賬戶顯然是黑客竊取其工具的切入點。過去,虛擬專用網是保護遠程工作者安全的首選方法,但是大規模遠程辦公時代,虛擬專用網的安全性遠遠不如零信任架構,后者提供基于身份和上下文的持續訪問控制。此外,安全主管還應確保自疫情大流行以來已經制訂了基于家庭的信息安全策略,并將遠程辦公帶來的新的攻擊面(例如多用戶家用PC)考慮在內。
2. 錯誤的云產品組合
需要考慮的因素有很多,例如,您是否需要在私有云上運行關鍵業務數據,與其他云服務隔離開?您是否有合適的操作系統子版本運行那些需要在特定配置的Windows和Linux中運行的應用程序?是否準備了正確的連接器和身份驗證保護,以與不上云的本地應用程序和設備一起運行?如果您有舊版大型機應用程序,則可能要先在私有云中運行它,然后嘗試找到最接近于現有大型機設置的正確的云環境。
3. 安全狀況可能不適合上云
常見的云安全錯誤包括不安全的存儲容器、訪問權限、身份驗證參數設置不當,以及大量開放端口。無論是從本地還是遠程進行連接,企業都希望保持一致的安全狀態。因此在將單個應用程序遷移到云之前,應當從一開始就將安全性問題考慮進去。強生公司幾年前就這樣做了,當時他們將大部分工作負載遷移到了云中,安全管理模型也隨之變成了集中式。一個可以參考的工具是Netflix剛剛發布的ConsoleMe開源工具,該工具可以在一個瀏覽器會話中管理多個Amazon Web Services(AWS)賬戶。
4. 沒有測試災難恢復計劃
您上次測試災難恢復(DR)計劃是什么時候?應用程序在云中運行并不意味著可以高枕無憂。事實上這些應用程序仍然依賴特定的Web和數據庫服務器以及其他基礎架構組件。好的災難恢復計劃會記錄這些依賴關系,并為關鍵業務流程提供預案。
災難恢復計劃的另一個重要部分是對云故障進行連續測試。云計算也會宕機和拋錨,過去幾周內Google、亞馬遜、微軟、蘋果的云服務都遭遇了較為嚴重的業務中斷。幾年前,Netflix開發的Chaos Monkey工具使整體混沌工程廣為流行,它旨在通過不斷(隨機)關閉各種生產服務器來測試公司的云基礎架構。
企業可以基于這些工具和方法來開發自己的混亂故障測試,尤其是與安全相關的測試,這些測試可以揭示云配置中的弱點,通過自動連續執行測試以發現基礎架構的瓶頸和缺陷。除了Netflix的開源工具外,還有一些商業產品,例如Verodin/Mandiant的安全驗證,SafeBreach的Breach和Attack Simulation,Cymulate的仿真工具以及AttackIQ的Security Optimization Platform。
5. 沒有為多數云產品組合優化身份驗證
企業上云之前可能已經擁有身份和訪問管理、SIEM、CASB或單點登錄工具,但這些工具在大多數云和遠程訪問環境未必是最適合的身份驗證手段。企業需要仔細研究這些工具,確保它們可以適應涵蓋特定云環境和整個應用程序組合。例如,雖然CASB非常擅長管理云應用訪問,但是您需要確保這個方案可以與內部自定義應用程序一起使用,可以進行基于風險的身份驗證的應用程序,可以保護您免受更復雜的混合云環境威脅。
6. 過時的Active Directory
Gartner的David Mahdi曾在演講中說:“在數據四處流動的今天,身份是新的安全邊界。概括來說就是必須是正確的人,在正確的時間、正確的地點,以正確的理由,訪問正確的資源。”可以肯定的是,企業的安全團隊還有很多事情要做。上云意味著,您的Active Directory(AD)可能無法反映現實,包括當前(授權)用戶、應用程序和服務器列表。只有準確的信息,才能確保上云的過程平滑順暢。
7. 羞于尋求專業幫助
許多網絡安全廠商,例如托管安全服務提供商(MSSP)提供云遷移相關的安全咨詢和服務,因此,不要羞于向他們尋求幫助。因為企業的IT團隊很可能因為急于將所有內容遷移到云中,留下了一些后門或引入了漏洞。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】