2021新冠肺炎疫情反复肆虐,全球远程办公已成为“基本操作”,大量企业主动或被动转向云计算大规模迁徙,但就像塞伦盖提草原上的动物迁徙一样,沿途危机四伏。Menlo Security对200位IT在一项经理调查中,40%的受访者表示,由于企业大规模上云,他们正面临云应用和物联网(IoT)安全威胁。
企业云面临的许多安全威胁都是老问题,但这些威胁因敦刻尔克式的大规模仓促行动而被放大,如影子IT、BYOD还有虚拟专用网。远程办公导致2020人PC市场迎来“伟大复兴”,但我们也应该意识到,“个人”PC不再是个人使用,同一台计算机也可能运行儿童在线学校、在线游戏和社交应用,但相关的安全意识培训和规则没有跟上。可以肯定的是,这对任何企业的安全策略都不是一个好迹象。
以下是企业云过程中常见的七个安全错误:
1. 依靠虚拟专用网络进行远程访问
在过去的一年里,虚拟专用网络可能不是远程访问的最佳答案,甚至顶级网络安全公司也遭受了巨大损失。2020年12月震惊了整个网络安全行业FireEye在黑客事件中,被入侵的虚拟专用网络账户显然是黑客窃取其工具的切入点。过去,虚拟专用网络是保护远程工作者安全的首选方,但在大规模远程办公时代,虚拟专用网络的安全性远低于零信任架构,后者提供基于身份和上下文的连续访问控制。此外,安全主管还应确保,自疫情流行以来,已经制定了基于家庭的信息安全战略,并将远程办公带来新的攻击(如多用户家庭)PC)考虑在内。
2. 云产品组合错误
有很多因素需要考虑。例如,您是否需要在私有云上运行关键业务数据并将其与其他云服务隔离?您是否有一个合适的操作系统子版本来运行需要特定配置的操作系统Windows和Linux运行中的应用程序是否准备了正确的连接器和身份验证保护,以便与无云的本地应用程序和设备一起运行?如果您有旧的大型机器应用程序,您可能需要在私有云中运行,然后尝试找到最接近现有大型机器设置的正确云环境。
3.安全状况可能不适合云
常见的云安全错误包括不安全的存储容器、访问权限、身份验证参数设置不当以及大量开放端口。企业希望保持一致的安全状态,无论是从本地连接还是远程连接。因此,在将单个应用程序转移到云之前,应从一开始就考虑安全问题。强生公司几年前就这样做了。当时,他们将大部分工作负荷转移到云中,安全管理模型也变得集中。一个参考工具是Netflix刚刚发布的ConsoleMe在浏览器会话中管理多个开源工具Amazon Web Services(AWS)账户。
4. 未测试灾难恢复计划
上次你测试灾难恢复(DR)计划是什么时候?在云中运行应用程序并不意味着你可以放松。事实上,这些应用程序仍然依赖于特定的应用程序Web以及数据库服务器和其他基础设施组件。良好的灾难恢复计划将记录这些依赖,并为关键业务流程提供计划。
灾难恢复计划的另一个重要部分是连续测试云故障。云计算也将在过去几周内停机和抛锚Google、亚马逊、微软和苹果的云服务都遭遇了严重的业务中断。几年前,Netflix开发的Chaos Monkey该工具使整个混沌工程广受欢迎,旨在通过关闭各种生产服务器来测试公司的云基础设施。
企业可以根据这些工具和方法开发自己的混乱故障测试,特别是与安全相关的测试,通过自动连续实施测试,揭示云配置的弱点,发现基础设施的瓶颈和缺陷。Netflix除了开源工具,还有一些商业产品,比如Verodin/Mandiant的安全验证,SafeBreach的Breach和Attack Simulation,Cymulate模拟工具和AttackIQ的Security Optimization Platform。
5. 没有为多数云产品组合优化身份验证
企业上云前可能有身份和访问管理SIEM、CASB或者单点登录工具,但这些工具可能不是大多数云和远程访问环境中最合适的身份验证手段。企业需要仔细研究这些工具,以确保它们能够适应特定的云环境和整个应用程序的组合。例如,尽管CASB我非常擅长管理云应用程序访问,但您需要确保该方案可以与内部定制应用程序一起使用,并且可以进行基于风险身份验证的应用程序,以保护您免受更复杂的混合云环境威胁。
6. 过时的Active Directory
Gartner的David Mahdi曾在演讲中说:“如今,随着数据的流动,身份是一个新的安全边界。一般来说,它必须是正确的人,在正确的时间和地点以正确的理由访问正确的资源。”可以肯定的是,企业的安全团队还有很多事情要做。云意味着你的Active Directory(AD)它可能无法反映现实,包括当前(授权)用户、应用程序和服务器列表。只有准确的信息才能保证云过程的顺利进行。
7.羞于寻求专业帮助
许多网络安全制造商,如托管安全服务提供商(MSSP)为云迁移提供安全咨询和服务,所以不要羞于向他们寻求帮助。因为企业IT由于急于将所有内容迁移到云中,团队很可能会留下一些后门或引入漏洞。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章