美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架是一個很有價值的工具，可改善IT度量和標(biāo)準(zhǔn)，尤其是數(shù)據(jù)安全保護(hù)。

研究表明，將近三分之二的組織將安全性視為采用云技術(shù)的最大挑戰(zhàn)，這使NIST網(wǎng)絡(luò)安全框架成為重視數(shù)據(jù)安全的IT領(lǐng)導(dǎo)者的寶貴工具。

[[373558]]

但是，隨著越來越多的企業(yè)采用越來越復(fù)雜的多云和混合云環(huán)境，照搬NIST網(wǎng)絡(luò)安全框架暗藏著巨大風(fēng)險，因為NIST網(wǎng)絡(luò)安全框架忽略了很多關(guān)鍵的云安全問題。

不幸的是，NIST標(biāo)準(zhǔn)給大量企業(yè)和組織(從小型企業(yè)到大型政府組織)營造了錯誤的安全感。因為這些企業(yè)沒有意識到，盡管NIST安全框架有很多優(yōu)點，但也給網(wǎng)絡(luò)內(nèi)部埋下了巨大的云安全問題隱患。以下，我們簡要總結(jié)NIST安全框架漏掉的四個關(guān)鍵云安全問題。

日志文件和審計報告

許多組織會驚訝地發(fā)現(xiàn)，沒有NIST標(biāo)準(zhǔn)規(guī)定日志文件應(yīng)保留30天以上。考慮到日志中存在的大量信息，30天的保留期太短，對于組織，尤其是大型企業(yè)而言，這對于安全報告來說是一個重大的挑戰(zhàn)。

考慮到企業(yè)平均需要四個月以上的時間才能檢測到數(shù)據(jù)泄露，因此當(dāng)前的30天限制根本無法滿足需要。擴(kuò)展的審核日志保留功能可確保IT團(tuán)隊擁有調(diào)查安全事件溯源所需的取證數(shù)據(jù)，也是遵守GDPR等數(shù)據(jù)隱私法規(guī)的關(guān)鍵一步。

共同責(zé)任

云(數(shù)據(jù))安全的問責(zé)是個十分讓人頭疼的問題，尤其是在使用多云或混合云環(huán)境的企業(yè)中。

SaaS之類的高級云平臺需要大量IT驅(qū)動的安全職責(zé)。在PaaS和SaaS解決方案中，身份和訪問管理是一項共同的職責(zé)，需要有效的實施計劃，其中包括身份提供者的配置、管理服務(wù)的配置、用戶身份的建立和配置以及服務(wù)訪問控制的實現(xiàn)。

隨著全球企業(yè)數(shù)字化轉(zhuǎn)型計劃的推進(jìn)和大流行期間遠(yuǎn)程辦公的流行，越來越多的組織將業(yè)務(wù)應(yīng)用遷移到云托管環(huán)境中。盡管云計算責(zé)任分擔(dān)模型明確規(guī)定了云提供商及其用戶的安全義務(wù)以確保問責(zé)制度，但可見性和安全監(jiān)控應(yīng)用程序仍存在空白，需要解決。

隨著越來越多的企業(yè)選擇云計算節(jié)省成本和改進(jìn)業(yè)務(wù)，企業(yè)比以往任何時候都更需要彌合可見性和安全監(jiān)控的差距以實現(xiàn)最高安全性。

租戶代理

NIST要求對最小特權(quán)訪問進(jìn)行范圍界定，但并未覆蓋租戶代理或“虛擬租戶”。虛擬租戶隔離了整個環(huán)境的各個區(qū)域，并防止管理員弄亂不屬于他們的區(qū)域。讓管理員控制他們的“虛擬”區(qū)域，從而幫助保護(hù)M365中的資源和數(shù)據(jù)。

可以理解，當(dāng)涉及個人隱私信息(PII)和知識產(chǎn)權(quán)時，缺少租戶代理產(chǎn)生了重大的安全挑戰(zhàn)。因此，組織(尤其是大型的分布式組織)應(yīng)考慮采用可對特定業(yè)務(wù)部門的訪問進(jìn)行細(xì)分的工具，以提高整體安全水平。

管理員角色和規(guī)則

微軟應(yīng)用管理員(Microsoft Application Administrator)包含大約有75個屬性，但是幾乎沒有人(無論微軟還是企業(yè)IT人士)確切了解它們的含義。如果授予用戶Application Administrator權(quán)限，則幾乎不可能確切知道該用戶具有哪種訪問權(quán)限，從而帶來不必要的安全風(fēng)險。

盡管IT員工在工作中經(jīng)常需要執(zhí)行某些功能，例如創(chuàng)建新的用戶賬戶和更改密碼，但是這些“流動性”較強(qiáng)的功能并不容易歸屬到某個特定的角色。這種流動性使傳統(tǒng)安全方法(例如基于角色的訪問控制)的效力被削弱。

值得注意的是，NIST在管理員角色和規(guī)則方面也并非毫無作為，功能訪問控制(FAC)就是其中之一。RBAC是實現(xiàn)最低特權(quán)訪問的一種方法，而功能訪問控制(FAC)是實現(xiàn)RBAC的一種方法。

作為NIST認(rèn)可的方法，F(xiàn)AC為IT管理員的功能權(quán)限提供了一種更細(xì)粒度的分配方法，使企業(yè)能夠調(diào)整特定用戶訪問權(quán)限的大小，從而改善安全性。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文