美国国家标准技术研究院(NIST)网络安全框架是一种有价值的工具,可以改进IT测量和标准,特别是数据安全保护。
研究表明,近三分之二的组织将安全视为云技术的最大挑战,这使得NIST网络安全框架已成为数据安全的重点IT领导者的宝贵工具。
然而,随着越来越多的企业采用越来越复杂的多云和混合云环境NIST由于网络安全框架隐藏着巨大的风险,NIST网络安全框架忽略了许多关键的云安全问题。
不幸的是,NIST标准为大量企业和组织(从小企业到大政府组织)创造了错误的安全感。因为这些企业没有意识到,尽管NIST安全框架有很多优点,但也给网络内部埋下了巨大的云安全隐患。下面简要总结一下NIST泄漏安全框架的四个关键云安全问题。
日志文件和审计报告
许多组织会惊讶地发现,没有NIST标准规定日志文件应保留30天以上。考虑到日志中存在的大量信息,30天的保留期太短,这对组织,特别是大型企业来说是一个重大挑战。
考虑到企业平均需要四个多月的时间来检测数据泄露,目前的30天限制根本无法满足需求。扩展审计日志保留功能可以确保IT团队拥有调查安全事件追溯所需的取证数据,并遵守GDPR数据隐私法规的关键一步。
共同责任
云(数据)安全问责是一个非常头疼的问题,尤其是在使用多云或混合云环境的企业。
SaaS高级云平台需要大量的云IT驱动安全责任PaaS和SaaS解决方案中,身份和访问管理是一项共同的职责,需要有效的实施计划,其中包括身份提供者的配置、管理服务的配置、用户身份的建立和配置以及服务访问控制的实现。
随着全球企业数字化转型计划的推进和大流行期间远程办公的流行,越来越多的组织将业务应用迁移到云托管环境中。尽管云计算责任分担模型明确规定了云提供商及其用户的安全义务以确保问责制度,但可见性和安全监控应用程序仍存在空白,需要解决。
随着越来越多的企业选择云计算来节约成本,改善业务,企业需要弥合可见性和安全监控之间的差距,以实现最高安全性。
租户代理
NIST要求定义最小特权访问的范围,但不覆盖租户代理或“虚拟租户”。虚拟租户将整个环境的各个区域隔,防止管理员混淆不属于他们的区域。让管理员控制他们“虚拟”帮助保护区域M365资源和数据。
当涉及个人隐私信息时,可以理解(PII)在知识产权方面,租户代理的缺乏造成了重大的安全挑战。因此,组织(特别是大型分布式组织)应考虑使用细分特定业务部门访问的工具,以提高整体安全水平。
管理员的角色和规则
微软应用管理员(Microsoft Application Administrator)大约有75个属性,但很少有人(无论是微软还是企业)IT人)准确理解它们的意思。如果授予用户Application Administrator几乎不可能确切地知道用户有什么样的访问权限,从而带来不必要的安全风险。
尽管IT员工在工作中经常需要执行一些功能,比如创建新的用户账户和更改密码,但是“流动性”强大的功能不容易属于特定的角色。这种流动性削弱了传统安全方法(如基于角色的访问控制)的有效性。
值得注意的是,NIST在管理员的角色和规则上也不是无所作为,功能访问控制(FAC)就是其中之一。RBAC是实现最低特权访问的一种方法,而功能访问控制(FAC)是实现RBAC一种方法。
作为NIST认可的方法,FAC为IT管理员的功能权限提供了更细粒度的分配方法,使企业能够调整特定用户访问权限的大小,从而提高安全性。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章