BetterCloud公司最近进行的一项调查发现,企业平均使用80个第三方云计算应用程序进行协作、通信、开发、管理合同、授权签名,并以其他方式支持处理和存储敏感数据的业务功能。这些类型的应用程序称为SaaS。
企业还在PaaS和IaaS上扩展应用程序和业务。2020年,有76%的企业在AWS云平台上运行其应用程序,63%的企业在Microsoft Azure云平台上运行应用程序。
Capital One公司技术顾问和前任首席信息安全官(CISO)Michael Johnson表示,这些公共云服务都是必需的且富有成效的,甚至比传统的数据中心提供更安全的环境。但是,它们也给正在处理和存储在云平台中的敏感数据带来了独特的风险,其中大多数风险是由这些服务的设置和管理中的客户错误引起的。
Johnson 以该公司在2019年发生的数据泄露事件为例,此次事件泄露了8000万的个人记录。在其中,网络攻击者利用了配置不当的第三方云计算环境。Johnson和他的团队弥补了这一漏洞,并借助强大的响应计划,与企业董事会和执行团队的透明性以及与执法部门之间的合作关系,在数据被利用之前迅速帮助执法机构抓获网络攻击者。
制定应对计划以应对在云平台中放置敏感数据的风险,这应该是任何云安全策略的一部分。要开始制定有关公共云使用的数据保护政策,重要的是要了解攻击者如何窃取来自第三方云服务的数据。
数据在云中如何受到攻击
根据云安全联盟(CSA)发布的2020年度威胁报告,第三方云服务中的数据泄露主要是由于配置错误和变更控制不充分(例如,过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。这份报告指出,这意味着缺乏云计算的安全策略或架构,是造成数据泄露的另一个常见原因,其次是身份和密钥管理不足,其次是不安全的API、结构故障以及对云计算活动和安全控制的有限可见性。
云安全联盟(CSA)首席执行官Jim Reavis表示:“由于越来越多的企业员工开展远程工作,SaaS在2021年已成为我们关注的重点。公共云采用率出现了惊人的增长,但是很多企业在匆忙中却忘记了对边缘网络的安全保护。例如,人们在多个云服务中重复使用其凭据,因此凭据填充攻击正日益增多。”
根据安全服务商McAfee公司的一项调查,到2020年5月,思科WebEx的使用量增加了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。Reavis指出,在企业最初支持远程工作的过程中,有许多可能导致数据泄漏的故障:IT团队没有保护云中的存储桶、实施安全的开发人员实践,或协调身份和访问程序。有些甚至是网络攻击者在存储库中发现的硬编码应用程序凭据。他补充说,“这是非常基本的东西。”
企业遵循以下三个最佳实践将显著降低在云中存储或处理数据的风险。
1. 盘点云服务的使用情况
首席信息安全官IanPoynter建议,应对云平台中数据威胁的最佳方法是控制云应用程序的使用,并在涉及公共云服务的任何新举措的规划阶段执行风险评估。
首席信息安全官(CISO)之间的共识是,用户的云计算实例并非总是得到授权,并且很少针对公开数据进行有效监控。Poynter说,“这就是首席信息安全官(CISO)需要成为执行团队成员的原因,他们需要了解正在发生的事情,并且还需要创建一个协作环境,业务部门主管希望与他们共享新项目或产品,然后让他们评估正在寻找的云计算产品以获得支持。”
他表示,他曾向以前任职的一家公司的会计部门发出警告,告知哪些第三方云应用程序和平台的费用报销需要获得批准。如果未经事先批准,在批准服务以外购买的业务单位或个人用户的报销申请将被拒绝。
这是强制执行云计算应用程序白名单的人为但有效的方法。云计算应用程序允许和拒绝列表也是通常部署在企业控制的端点上或通过零信任技术(例如浏览器隔离)来控制用户、企业和云计算应用程序之间远程会话的强大技术控制。
2. 云原生的安全性
Johnson表示,在企业已经实现标准化的成熟云服务和应用程序中使用云原生安全产品。例如,评估正在使用的应用程序的配置合规性的AWS Inspector,以及可以检测恶意活动和未经授权的行为的Amazon GuardDuty。他表示,企业需要对云计算提供商的声誉进行尽职调查,并尽量采用规模较大的云计算提供商的服务,因为通常他们会在数据保护和可见性控制方面获得更高的评分。
服务模型之间的原生安全性有所不同。 IaaS和PaaS供应商为购买者在其基础设施或平台中升级的应用程序提供安全性和配置工具。这些是本地提供的,也可以通过第三方提供。对于SaaS应用程序(例如DocuSign、Slack或Box),安全性多数是原生的。例如,Microsoft 356为Active Directory的Exchange、SharePoint和Azure实例(除其他安全产品)提供高级审核。
通过Box企业云的应用,可以了解第三方云计算提供商对敏感数据的处理过程。Box云平台管理多个应用程序,以支持工作流、数字合同、人力资源、Zoom会议、历史数据存储、人力资源加载和其他人力资源功能。用户可以通过Box Shuttle将Box云平台连接到其他云服务。
Box公司安全、隐私和法规遵从产品副总裁Alok Ojha表示,随着越来越多的应用程序在Box云平台的应用,面向用户的嵌入式安全和法规遵从工具集将成为关键。Ojha引用Content Cloud作为Box用户在不同工作流中实现一致安全性和可视性的地方,以查看应用程序中正在处理哪些文件和数据,以及谁在访问数据以及出于什么目的访问。
另一个原生工具Box Shield可配置为查找和分类敏感数据,对分类数据实施适当控制,减少内部和恶意软件威胁的风险,了解与数据相关的监管要求,并确保监管机构的审计跟踪。他还建议重新关注身份和访问管理(IAM),特别是使用多因素身份验证,以供外部用户和合作伙伴使用,而不要使用可重复使用的密码。
3. 保护数据层的数据
数据保护服务商Titaniam公司创始人兼首席执行官Arti Raman警告说,不要过度依赖身份和访问控制来防止数据泄漏,并表示还需要直接关注存储在公共云中的数据。但是,从端点到企业再到云计算的数据保护非常困难,并且必须具有足够的灵活性以跨越这些边界,以保护生命周期中的数据。
她说:“我们认为,当数据被索引、搜索、聚合、查询或以其他方式操作时,加密和数据保护应该保持存在,其方法是保持数据以自适应保护格式使用,而不限制任何功能。这包括传统加密技术以及新的可搜索技术,这些技术在其之上使用传统加密以满足法规遵从性标准。”
Box公司的Ojha补充说,数据终止策略也很重要。企业应遵循数据安全的法规要求,最好自动删除不再需要在第三方云平台或基础设施中运行的数据。