專家提供云計(jì)算安全建議

周六清晨，這位驚慌失措的顧客打電話給BrettGillett：亞馬遜AWS服務(wù)每月剛剛收到的賬單是該公司平均收費(fèi)的五倍。為什么？

作為一家專業(yè)從事AWS咨詢服務(wù)的Oakville,Oakville,ONT公司的創(chuàng)始人吉列特(Gillett)周三在多倫多的TrendMicroCloudsec云安全會(huì)議上告訴TrendMicroCloudsec云安全會(huì)議，這是一個(gè)糟糕的密碼管理問題。

“他們違反了幾條規(guī)則。他們[開發(fā)人員]使用的是根AWS帳戶，“不能用訪問權(quán)限來控制。目前還不清楚它是內(nèi)部人還是黑客，但有人利用訪問權(quán)在不同的地區(qū)創(chuàng)建了一個(gè)新的AWS實(shí)例，并安裝了比特幣挖掘基礎(chǔ)設(shè)施。它積累了大量的處理能力，因此亞馬遜的賬單很高。

吉列說，“這是達(dá)爾文獎(jiǎng)”，這是他所犯的最嚴(yán)重的錯(cuò)誤。

“永遠(yuǎn)不要在云環(huán)境中使用長期訪問密鑰”，他警告觀眾，不管公司的政策如何，因?yàn)槿绻幻麊T工丟失了一臺(tái)筆記本電腦，無論誰發(fā)現(xiàn)它完全可以訪問任何東西。

這是Gillett和JamesPeek，一家云咨詢公司在多倫多、新加坡和澳大利亞的顧問在會(huì)議上給我們的一個(gè)教訓(xùn)。

還有幾個(gè)例子：-公司不會(huì)考慮云與前提環(huán)境的區(qū)別，Peek說：當(dāng)一個(gè)實(shí)例只持續(xù)4分鐘的時(shí)候，如何保護(hù)動(dòng)態(tài)計(jì)算環(huán)境？IT安全團(tuán)隊(duì)必須評(píng)估其工具集?！叭绻惆阉?dāng)作一個(gè)前提，那么它就像它的前提，而你不會(huì)從云中獲得你想要的靈活性和可伸縮性。”他補(bǔ)充說，最大的誤解之一是在公共云中路由的性質(zhì)以及如何與前提環(huán)境聯(lián)系在一起。

吉列說：在公共云環(huán)境中，不要有長期訪問密鑰。確保第三方供應(yīng)商和合作伙伴明白這一點(diǎn)?！拔覀冇幸粋€(gè)規(guī)則：如果你向我要我的訪問密鑰，我們就會(huì)去下一個(gè)提供者那里，允許我們使用臨時(shí)憑證?！彼?，這也是查看合作伙伴是否理解好的云安全策略的一個(gè)好方法。

Peek說：“可靠的訪問標(biāo)識(shí)和訪問管理策略(IAM)對(duì)于云安全的成功至關(guān)重要?！毙枰撤N身份聯(lián)合和單點(diǎn)登錄功能。對(duì)于大多數(shù)應(yīng)用程序來說，“最小特權(quán)原則比以往任何時(shí)候都更重要”。為什么？他看到攻擊者從非生產(chǎn)服務(wù)器獲得管理員訪問權(quán)限。

作為安全供應(yīng)商Optiv的身份和訪問管理的戰(zhàn)略解決方案主管，IanCumming了解了關(guān)于IAM的大量信息……

身份和訪問管理一直是CISO戰(zhàn)略的重要組成部分，但不幸的是，對(duì)CISO的關(guān)注還不夠。

-確保IAM政策有明確的定義，吉列說，但是沒有必要重新發(fā)明輪子。如果您已經(jīng)有了密碼策略，請(qǐng)將其擴(kuò)展到云。并確保您可以在任何地方使用自動(dòng)化來將安全標(biāo)準(zhǔn)推入云端。不要花時(shí)間管理身份，而不是為客戶管理服務(wù)。

-更多關(guān)于身份管理的問題：當(dāng)被問到他對(duì)多因素認(rèn)證有什么看法時(shí)，Peek回答說：“每個(gè)人都應(yīng)該擁有MFA。”或者禁用敏感/關(guān)鍵的API調(diào)用--記住，在云網(wǎng)絡(luò)中只有一個(gè)API調(diào)用--或者在網(wǎng)絡(luò)層強(qiáng)制執(zhí)行MFA。同時(shí)，根帳戶憑據(jù)“需要鎖在保險(xiǎn)箱中”，需要兩個(gè)人來解鎖--當(dāng)有人登錄到該帳戶時(shí)，會(huì)向高級(jí)管理員發(fā)送警報(bào)。

吉列說：數(shù)據(jù)是組織擁有的最重要的東西，所以云策略必須基于數(shù)據(jù)分類策略。它允許你排除那些永遠(yuǎn)不能離開公司環(huán)境的事情。“我們發(fā)現(xiàn)很多組織沒有它，或者認(rèn)為他們有它，沒有更新它，很多年了。使用它來決定您是否需要客戶端加密、服務(wù)器端加密，或者AWS是否管理這些密鑰。AWS和Azure提供的服務(wù)可以幫助開發(fā)數(shù)據(jù)分類。

-到處使用加密，Peek說?！皫缀鯖]有什么理由可以解釋為什么我們不需要加密所有的東西?！笔褂迷铺峁┥虂砉芾砻荑€將簡化監(jiān)督。

-如果使用AWS，則啟用CloudTrail進(jìn)行審計(jì)，Peek說。在一次采訪中，他擴(kuò)展了：創(chuàng)建一個(gè)中央“遵從”訂閱，并使用它來集中您平臺(tái)上的所有日志(包括CloudTrail)。在主帳戶中，創(chuàng)建服務(wù)控制策略(SCP)，禁用針對(duì)CloudTrail的API操作(例如關(guān)閉它)。CloudTrail將繼續(xù)登錄到您的法規(guī)訂閱。Internet安全中心的AWS基礎(chǔ)基準(zhǔn)提供了一些您可以開始尋找的事件來創(chuàng)建可操作的警報(bào)。

吉列說：云計(jì)算領(lǐng)域的新公司應(yīng)該從創(chuàng)建一個(gè)“優(yōu)秀的云安全中心”開始，這將使該組織能夠更快地轉(zhuǎn)向云計(jì)算?！罢业侥切?在你的組織中)不斷學(xué)習(xí)的人。不管你在哪個(gè)平臺(tái)上，這些人都會(huì)幫助你成功?！?/p>

“盡可能的自動(dòng)化，”吉列說，因?yàn)槿藗儠?huì)犯錯(cuò)。不斷教育云團(tuán)隊(duì)成員，建立一個(gè)‘不受責(zé)備的環(huán)境’，特別是如果你只是在采用云，“你必須給你的內(nèi)部團(tuán)隊(duì)一個(gè)學(xué)習(xí)的機(jī)會(huì)，這就是云英才中心成為焦點(diǎn)的地方。”

這可能是顯而易見的，但不要讓你的第一款云應(yīng)用成為“王冠上的寶石”，Peek說。企業(yè)戰(zhàn)略集團(tuán)資深分析師DougCahill同意這樣的觀點(diǎn)：提出一個(gè)應(yīng)用程序，你可以在早期成功并獲得動(dòng)力。

最后，如果你開始你的旅程，不要從多個(gè)云提供商開始，Peek說。云硬，兩云硬。“不要做兩件半途而廢的事，完全做一件事，你就會(huì)在一個(gè)更好的地方?！?/p>