[[354423]]

 新冠疫情的持續對云安全產生了巨大的影響，例如，Flexera軟件公司在其最近發布的2020年云端安全狀態報告中就指出，新冠疫情大流行改變了一部分使用云端用戶的使用策略。有一半的云端受訪者用戶表示，由于遠程工作帶來的需求不斷增長，他們的云使用量將比最初計劃的要大很多。其他受訪者表示，考慮到訪問傳統數據中心的困難和供應鏈的延遲，他們的組織可能會加快遷移計劃。

令人擔心的是，由于云端防護漏洞百出，大多數遷移到云端的組織已經在為安全問題而苦惱了。在網絡安全業內人士發布的《2020年云安全報告》中，75%的受訪者表示他們“非常關注”或“極為關注”公共云安全。 Continuity Central 報告稱，考慮到68%的受訪者表示他們的雇主使用了兩家或兩家以上的公共云提供商來進行安全備份，這意味著安全團隊需要使用多個本機工具來嘗試在其雇主的云基礎架構中實施安全性。

以上的這些擔憂共同引出了一些重要的問題，例如，為什么組織在保護云環境方面如此困難?他們面臨的挑戰是什么?

為此，本文強調了組織在保護云環境時通常面臨的三個挑戰：配置錯誤、有限的網絡安全監控能力和不受保護的云運行時環境。在對每個問題進行簡要討論之后，我們將提供一些建議，說明組織如何應對這些挑戰并增強其云安全。

1.云和容器配置錯誤

云配置錯誤是指管理員無意中為云系統部署了與組織的安全策略不一致的設置，其中存在的風險是，錯誤配置可能危及組織的基于云的數據的安全性，不過危害程序要具體取決于受影響的資產或系統。專業一點的說法就是，攻擊者可以利用其環境中的證書或軟件漏洞，最終傳播到受害者環境的其他區域。攻擊者利用受感染節點內的高級權限來遠程訪問其他節點，探測不安全的應用程序和數據庫，或者只是濫用薄弱的網絡控制。然后，他們可以通過將數據復制到Web上的匿名節點或創建一個存儲網關來從遠程位置訪問數據，從而在不受監視的情況下竊取組織的數據。

錯誤配置可能很難被防護人員發現，更重要的是，大多數企業都只能使用手動方法來管理云配置，而攻擊者則會使用自動化手段來尋找組織的云防御漏洞，

需要注意的是，這種威脅不僅僅是理論上的。DivvyCloud(云基礎架構自動化平臺)在其2020年的Cloud Misconfigurations報告中就寫到，2018年至2019年期間發生了196起公開報告的主要由云錯誤配置導致的數據泄漏。這些事件公開了總計超過330億份記錄，相關受害者組織總共損失了5萬億美元。

2.有限的網絡安全監控能力

網絡安全監控能力意味著組織知道該網絡中正在發生的事情，其中包括連接到網絡的硬件和軟件以及正在發生的網絡事件。但是，在有限的網絡安全監控能力下，一個組織對其存在的潛在的或已經出現的威脅往往缺乏意識，例如攻擊者使用錯誤配置事件來滲透網絡，安裝惡意軟件或橫向移動感染目標進而獲取敏感數據。

然而，在云中實現全面的網絡安全監控并不總是那么容易。正如Help Net Security所指出的，管理員不能像在數據中心中通過交換機或防火墻那樣輕松地訪問其環境的凈流量，這是因為他們不能直接訪問CSP提供的云基礎架構。相反，他們需要瀏覽CSP的產品列表。這些工具可能包含也可能不包含提供有價值(或完整)洞察力的設備相互連接的工具。

這并不是云和傳統數據中心安全性方面之間唯一可見的差別，默認情況下，計算資源是分段的，這意味著管理員有時需要比IP地址更多的數據點來跟蹤基于云的對象。它還要求管理員使用角色和策略來啟用特定的連接，而不是依賴防火墻來禁止某些連接嘗試。

3.未受保護的云運行時環境

除了配置錯誤和糟糕的網絡安全監控之外，還有運行時環境的問題。如果不受保護，云運行時環境將為惡意攻擊者提供大量機會，通過這些機會攻擊者就可以攻擊組織。例如，它們可以利用組織自身代碼中的漏洞，或者在運行時環境中執行的應用程序所使用的軟件包中的漏洞來滲透網絡。

保護云運行時環境的第一個問題是，組織有時不知道他們在云中的安全職責是什么，或者在安全管理方面缺乏相關的技能。在公共云中擁有資產的組織與CSP共同負責云安全。前者負責“云中”的安全性，后者負責確保“云中”的安全。有時，組織不了解此共享責任模型的含義，否則他們將難以履行這些責任，這意味著它們可能無法加強其云安全性或無法實施CSP可用的措施。

理解什么類型的安全工具適用于云計算也是一個問題，確保on-prem IT安全的工具、方法和技能在云計算中常常是行不通的，在云計算中，網絡安全受到的挑戰是攻擊的技術要超前于安全保護的技術。最重要的是，從On -prem到云計算的快速發展催生了大量特定于點的解決方案，這些解決方案通常具有重疊的功能，這使得安全云實例的工作變得極其復雜化。在某些情況下，組織可能會認為他們可以應用其傳統的殺毒軟件解決方案來覆蓋其云系統和數據，但是這些解決方案無法解決通常針對云工作負載的威脅。

如何應對這些威脅

盡管未來不確定，但確保云工作負載安全的工作手冊相對簡單。為了幫助解決配置錯誤，組織可以遵循Gartner發布的《云工作負載保護平臺市場指南》，并使用安全配置管理為連接到網絡的資產建立基準，監控這些資產是否偏離該基準，如果發生偏差就將其資產恢復為批準的基準。此外，組織需要自動化防御措施，以保護其系統免受可能濫用配置錯誤或其他安全漏洞的自動攻擊。

至于網絡安全的監控功能，重要的不僅是要知道你的網絡上有什么內容，還要知道哪些資產處于潛在的受攻擊狀態。這可以通過資產發現工具實現，如SentinelOne的Ranger技術，它可以通過利用受保護的端口作為傳感器，在不增加資源消耗或需要額外硬件的情況下，提供跨網絡的設備發現和惡意設備隔離。

最后，組織可以通過使用包含工作負載的運行時保護和EDR主動地實時解決數字威脅，從而保護云運行時環境。這可以包括諸如應用程序控制引擎之類的工具，該工具可以鎖定容器并保護其免受未經授權的安裝和濫用攻擊者工具的影響，不管這些攻擊工具是合法的LOLBins還是自定義的惡意軟件。

本文翻譯自：https://www.sentinelone.com/blog/three-key-challenges-for-cloud-security-in-a-world-changed-by-covid-19/如若轉載，請注明原文地址。