如何監控雲安全

weixin_44370833發表於2019-01-30

如今,很多企業致力於提高雲端計算安全指標的可見性,這是由於雲端計算的安全性與本地部署的安全性根本不同,並且隨著企業將應用程式、服務和資料移動到新環境,需要不同的實踐。
安全廠商Threat Stack公司產品管理副總裁Chris Ford表示,人們不能再將安全視為一種可以“圍繞一切的圍欄”。他說,“在基礎設施這個高度變化的新世界中,人們需要了解基礎設施的所有不同區域,在這些區域中檢測風險,並開始採取安全措施。這一切都取決於人們觀察行為的能力。”
CloudKnox公司執行長Balaji Parimi表示,當涉及到當今的雲安全實踐時,很多企業處於“被動模式”。他們主要是通過使用能夠提供異常活動可見性的工具來保護雲環境,然後對異常活動做出響應。Parimi說,“雖然這些‘反應式’工具有一些優點,但企業必須優先考慮先發制人的措施,以防止災難性的情況發生。”他建議,企業評估有助於防止或至少最小化與配置不當的身份相關的風險的工具。
監視過度配置或錯誤配置的身份是企業改進雲安全監控的方法之一。在這裡,專家們分享了他們在雲端計算中如何實施雲安全監控的最佳實踐。
瞭解自己的責任
企業應與供應商進行溝通,以澄清安全責任的誤解。Ford說, “很多企業希望與雲端計算提供商溝通,並準確理解共享責任模式所涵蓋的內容。”他指出,很多企業可能對基礎設施的某些領域視而不見。
除了詢問涵蓋哪些安全領域之外,他還建議詢問哪些工具可以提供有助於識別更復雜的攻擊行為的洞察力。
Parimi提供了一個使用者詢問雲端計算服務提供商的問題列表:“你們負責哪些安全性,以及我們負責的是什麼?你們的產品和服務符合哪些安全和隱私標準?你們是否保留了已簽名的審計跟蹤,其中包含哪些身份通過其UI和API執行哪些操作以及何時執行?你們對日誌提供什麼訪問許可權?”
瞭解供應商的能力
Sncurosis公司分析師兼執行長Rich Mogull在一次網路研討會上表示,“雲端計算管理平臺可以讓企業完全控制一切。這就像一次登入就可以訪問資料中心的所有內容一樣,對於那些知道如何利用它的人來說,這是一個巨大的安全優勢。”
收集雲端計算資料的方法有兩種:雲端計算提供商支援管理平臺活動完整日誌記錄的直接方式,以及伺服器和應用程式日誌。Mogull指出,有些人試圖通過雲訪問安全代理(CASB)進行路由,這對於軟體即服務(SaaS)而言並非適用於基礎設施即服務(IaaS),其理想的方法是直接從提供者處收集。
“這是企業追蹤一切的唯一規範來源。”他解釋說。但是,雲端計算提供商具有不同程度的支援,因此熟悉提供商的日誌記錄功能的範圍非常重要。
“亞馬遜公司如今是最強大的雲端計算供應商。”Mogull說。 CloudTrail涵蓋幾乎所有API呼叫,Config隨時間處理配置狀態監控,CloudWatch涵蓋基本核心日誌記錄,GuardDuty檢視使用者永遠無法訪問的有關Amazon資產的資料。Microsoft Azure提供了各種日誌服務,但它的大部分日誌記錄都是由Azure安全中心提供的,Mogull稱其比CloudTrail更難從中獲取資料。
發展速度對於安全監控提出挑戰
Mogull在網路研討會上表示,雲端計算帶來的變化率與傳統資料中心的變化率大不相同,其發展速度對監控安全威脅提出了挑戰。例如,許多傳統工具沒有跟上發展步伐,因為它們不支援API,或者它們無法隨時管理資料。他指出,雲端計算技術的波動性意味著靜態庫存工具的用處不大。
一些企業認為他們可以採用現有的安全堆疊並將其移至雲端,但他不建議這樣做。例如,這樣做會提示如何處理無伺服器架構或處理未管理容器伺服器平臺上的容器的問題。
Threat Stack公司的Ford表示,超過一半的使用者似乎願意用安全換取速度和靈活性。企業將面臨最大限度降低風險而不妨礙快速行動的挑戰。他說,“我認為這是我們必須直接面對的挑戰之一。”
可見性是關鍵
在安全監控方面,大多數企業完全依賴於他們從雲端計算提供商那裡獲得的資訊,Ford稱這種方法可能會在可見性方面留下空白,特別是在工作負載方面。
他解釋說:“使用者應該有能力觀察雲端計算基礎設施每一層的行為。”這其中包括主機可見性、容器可見性、對控制平臺的可見性以及對應用程式層的可見性,以檢視跨站點指令碼、SQL隱碼攻擊和其他威脅。
雲端計算客戶在限制重要資料的關鍵服務訪問方面變得越來越明智,但攻擊者的知識和技術也在不斷髮展。攻擊者不必直接訪問資料,而是尋找可用於訪問服務層並在網路上建立永續性的金鑰。在那裡,他們可以進行在整個基礎設施中橫向移動,他們可以找到擁有訪問資料儲存所需的身份識別與訪問管理(IAM)憑據的人員。
Cloudknox的Parimi說,大多數企業很難保持良好的安全態勢,因為他們缺乏對混合雲環境的基本可見性。許多工具並不是為支援動態雲端計算環境而開發的。例如,嘗試在混合雲中應用最小許可權原則的企業使用依賴於基於角色的訪問控制(RBAC)的解決方案。
“這種做法的問題在於傳統的基於角色的訪問控制(RBAC)只能在靜態環境中工作。”Parimi說,“這意味著當今典型的特權身份有權在廣泛的關鍵基礎設施上執行許多高風險行為,儘管他們只使用並需要一小部分特權來執行他們的日常工作,這將帶來風險。”
可見性可能成為一個挑戰
Securosis公司的Mogull表示,管理層提供的可見性很好,但可能變得難以控制。他補充說,“我們需要考慮一下,將如何通過提高可見度來發現噪聲中的訊號,並將這種可見性轉化為真正可行的洞察力?”
他說,“在某個時刻,企業需要確定要查詢的資訊型別以及希望如何收集這些資料。這有多種選擇,而找出關注的資料和原因至關重要。例如,希望監控網路流量嗎?防病毒與這有關係嗎?雲端計算配置是內建的?還是需要其他工具?”
Mogull建議將雲監控視為是一種望遠鏡,而不是顯微鏡。他說,“使用者不要認為可以捕獲環境中每個部分的資料。龐大的資料量可能變得無法管理。”
Threat Stack公司Ford說,“重要的是要了解得不到什麼。”他警告說,不要讓可見度帶來一種虛假的安全感。這可能讓組織很難知道對於給定的資料集採取哪些操作,而且在處理雲安全資料時,場景是必不可少的。對於從多個供應商或提供容器的供應商處獲得服務的組織來說將會增加複雜性。
將警報置於場景中
Ford表示,僅僅依靠來自安全工具的警報是不夠的。他說,“使用者需要提供警報的深層次場景,這樣才能理解產生警報時發生的事情。”
Ford解釋說,例如,某個組織收到亞馬遜網路服務公司的GuardDuty關於有問題連線的警報。除非可以確定哪個使用者啟動了建立連線的程式,否則很難有足夠的場景來使這些警報進行操作。他建議通過安全編排平臺或SIEM與其他工具的組合,儘可能多地訪問遙測資料,以收集所需的資料量。
如果組織正在研究網路流,那麼使用者和應用程式行為的知識可以幫助其確定什麼是正常與異常行為。另一個例子是,Ford指出可以檢視許可權提升的配置。如果組織注意到許可權升級與未經授權的檔案修改相結合,那麼對其配置的檢視更加緊迫。
過濾資料,減少成本
Securosis公司的Mogull建議組織在通過網際網路傳輸日誌之前過濾日誌。他說,雲端計算提供商按資料的位元組收費,其目標是減少成本,而不是將收集的所有資料都推送到SIEM中。
他解釋說,管理平臺日誌的資料少於例項和其他雲資源,但是它們的成本仍然會增加。他建議組織將其擁有的賬戶與記錄的內容相關聯。這取決於提供商,但通常組織可以將結算和專案ID與日誌ID進行比較。他說,只有專案管理員才能訪問專案日誌。
伺服器和應用程式日誌可能會帶來更棘手的問題,這在很大程度上取決於專案需求。伺服器和應用程式日誌通常包含更大的資料量,這會使成本管理變得困難。
使用基於身份的方法
CloudKnox公司的Parimi建議企業從身份角度評估他們的安全狀況。作為此過程的一部分,他們應該著眼於瞭解有多少人員可以接觸他們的關鍵基礎設施,這些身份是他們真正需要的特權,在特定時間段內採取行動。
“最重要的是,企業必須認識到他們的關鍵工作負載在當今的現代化基礎設施中是多麼脆弱。”他解釋說。採用一行指令碼或簡單地採用某人的身份都會造成“災難性的破壞”,並且對可能導致這種損害的人和因素的整體理解應該是網路安全策略的核心。
所有企業都應該假設其混合雲的最大風險是具有過多特權的可信身份,並且降低風險的唯一方法是實施最小特權原則。Parimi補充說,“企業不要過度或錯誤地提供高風險特權的人員身份。”

相關文章