2022年將至，隨著疫情控制的進(jìn)一步穩(wěn)定，業(yè)務(wù)創(chuàng)新、恢復(fù)生產(chǎn)勢必會成為新一年的主旋律。因此，通過IT技術(shù)提升核心競爭力將成為企業(yè)主要摸索方向之一。然而，隨著企業(yè)將應(yīng)用和服務(wù)遷移并擴展到多云環(huán)境，安全團隊面臨的挑戰(zhàn)也日益增加，從公司政策和預(yù)算限制到合規(guī)處罰再到新型攻擊威脅不一而足。云數(shù)據(jù)的安全威脅來源有很多，內(nèi)部外部兼有，比如合法用戶濫用數(shù)據(jù)、外部攻擊者使用被盜憑證等等。

威脅和盜竊依然無處不在，攻擊者的手段也在不斷調(diào)整。Check Point安全專家將在本文中闡述5 大云原生安全挑戰(zhàn)并簡單介紹規(guī)避風(fēng)險的方法。

1.缺乏可視性

與本地環(huán)境相比，云環(huán)境嚴(yán)重缺乏安全與合規(guī)洞察。公有云環(huán)境要求用戶能夠查看和控制另一個物理空間的數(shù)字資產(chǎn)。在安全責(zé)任共擔(dān)模型下，公有云客戶將承擔(dān)保護(hù)數(shù)據(jù)和流量安全的責(zé)任。

此外，云資源的多變性和不易跟蹤性導(dǎo)致問題更加復(fù)雜。隨著云原生技術(shù)（例如無服務(wù)器）部署規(guī)模的擴大，新的挑戰(zhàn)也相繼而來。特別是無服務(wù)器應(yīng)用，它通常由數(shù)百個功能組成，隨著應(yīng)用的日趨成熟，維護(hù)這些數(shù)據(jù)和訪問數(shù)據(jù)的服務(wù)將變得難上加難。

出于以上種種原因，系統(tǒng)必須要第一時間自動檢測剛剛創(chuàng)建的數(shù)字資產(chǎn)，并一直跟蹤它的所有變更，直至資源被移除。

然而，僅保存歷史數(shù)據(jù)只是保持可視性的第一步，如果沒有適當(dāng)?shù)纳舷挛模S護(hù)數(shù)據(jù)就變得毫無意義。上下文對于改進(jìn)風(fēng)險識別至關(guān)重要。在應(yīng)用保護(hù)中考慮上下文不僅可以減少漏報，而且可以幫助管理員避免誤報情況的發(fā)生。例如，一個活動可能在有些情況下可疑和異常，但在其他情況下又完全正常。查看“帶上下文”的請求有助于更有效地檢測惡意活動。

云原生安全解決方案只有了解正常使用情形和用戶意圖，才能更準(zhǔn)確地檢測惡意使用。為了充分了解正常使用情形，安全解決方案應(yīng)使用機器學(xué)習(xí)構(gòu)建一個關(guān)于正常使用情形的全面配置文件。此類配置文件允許解決方案自動識別偏差并就可疑活動發(fā)出警報。由此可以看出，需要不斷手動調(diào)整 WAF 的傳統(tǒng)方法無法適用云原生應(yīng)用保護(hù)。

同時，深入、實時、可以幫助調(diào)查和集中管理的可視性能夠進(jìn)一步幫助企業(yè)提高生產(chǎn)效率。為了實現(xiàn)這一點，解決方案必須能夠通過 API 集成基礎(chǔ)設(shè)施內(nèi)的所有環(huán)境和實體要素，從而聚合和分析各種監(jiān)視數(shù)據(jù)流（例如賬戶日志和賬戶活動），以提供真正的情境感知，并為每個數(shù)據(jù)流和審計跟蹤提供實時洞察。

2.多樣化的威脅

網(wǎng)絡(luò)安全專業(yè)人員不斷創(chuàng)新，攻擊者也在不斷調(diào)整攻擊策略。Data-to-Everything（將數(shù)據(jù)轉(zhuǎn)化為一切）平臺提供商 Splunk 發(fā)布了一份共包含 50 個主要安全威脅的“文集”。不同的攻擊類型（例如賬戶接管）有不同的攻擊策略，這些策略包括網(wǎng)絡(luò)釣魚、暴力僵尸網(wǎng)絡(luò)攻擊、從暗網(wǎng)上購買用戶憑證、甚至包括在丟棄的垃圾中挖掘個人信息等等。

當(dāng)有太多的安全數(shù)據(jù)需要分析時，云取證和調(diào)查機會變得昂貴且低效，安全人員幾乎無法辨別安全警報的輕重緩急。如上文所述，收集并解釋（事件發(fā)生前）日常云運營期間產(chǎn)生的數(shù)據(jù)至關(guān)重要。這將直接影響安全性，對后續(xù)調(diào)查十分重要。

上云的企業(yè)必須要認(rèn)識到數(shù)據(jù)分析、入侵檢測和威脅情報在保護(hù)敏感數(shù)據(jù)、防范安全威脅方面的重要性。云智能工具可以分析云環(huán)境中發(fā)生的事件，并通過機器學(xué)習(xí)和威脅研究提供對賬戶活動的洞察。用戶需要一種支持過濾結(jié)果、深入探索信息、通過查詢排障以及自定義警報通知的解決方案。

Check Point安全專家建議考慮 MITRE ATT&CK 框架，該框架是一個根據(jù)實際觀察建立的全球可訪問的攻擊者策略和技術(shù)知識庫，共分為 14 個不同的類別。舉例來講，橫向移動技術(shù) (Lateral Movement) 包括攻擊者入侵和控制網(wǎng)絡(luò)遠(yuǎn)程系統(tǒng)所用的技術(shù)。控制系統(tǒng)是他們的主要目標(biāo)，為此他們會探索網(wǎng)絡(luò)，定位目標(biāo)，然后進(jìn)入網(wǎng)絡(luò)，期間涉及到多個系統(tǒng)和賬戶。要想防范使用橫向移動技術(shù)發(fā)起的攻擊，安全人員需要借助廣泛的可視性及時檢測攻擊活動，防止攻擊者得逞。

3.無法實施一致的策略

當(dāng)今的云原生環(huán)境包含來自各個廠商的各種工具，因此很難集中管理和一致地實施安全策略。

Enterprise Strategy Group (ESG) 指出，“除了增加成本和復(fù)雜性之外，特定的環(huán)境采用特定的網(wǎng)絡(luò)安全控制措施還會阻礙企業(yè)集中實施策略。”ESG 的研究表明，“很明顯，現(xiàn)在的企業(yè)越來越傾向于使用集中管理方法在集成式平臺上保護(hù)分布式云平臺上的異構(gòu)云原生應(yīng)用。”

在多云/混合基礎(chǔ)設(shè)施中，多種孤立的工具很難讓企業(yè)獲得有效管理云安全所需的實用端到端可視性。用戶需要一種能夠簡化整個云基礎(chǔ)設(shè)施、整合所有 CSP 產(chǎn)品以及統(tǒng)一和自動化執(zhí)行規(guī)則集、策略、警報和修復(fù)策略的解決方案。

4.配置錯誤

如果與云相關(guān)的系統(tǒng)、工具或資產(chǎn)配置有誤，就會出現(xiàn)配置錯誤，進(jìn)而危及系統(tǒng)，使其面臨攻擊或數(shù)據(jù)泄漏隱患。根據(jù)《2020 年云安全報告》，配置錯誤是云的頭號威脅，68% 的公司表示配置錯誤是他們最擔(dān)心的問題（高于上一年的 62%）。其次是未經(jīng)授權(quán)的訪問 (58%)。為了進(jìn)一步證實這一統(tǒng)計數(shù)據(jù)，ESG 詢問了受訪者在過去 12 個月內(nèi)最常見的十個云配置錯誤。其中回答最多的是“使用默認(rèn)密碼或無密碼訪問管理控制臺”，這一比例高達(dá) 30%。

雖然“默認(rèn)密碼或無密碼訪問”這一現(xiàn)象僅憑常識就可以避免，但要確保整個云基礎(chǔ)設(shè)施都能正確配置則有一點復(fù)雜。Cloud Posture Management 可提供規(guī)則集和自動修復(fù)功能，從而確保所有系統(tǒng)始終配置無誤！

5.緩慢的安全流程

云計算的一大關(guān)鍵優(yōu)勢是靈活、敏捷和快速！企業(yè)需要保證快速運轉(zhuǎn)的 CI/CD 流水線、短暫的工作負(fù)載和高度彈性的公有云基礎(chǔ)設(shè)施始終具有相應(yīng)的合規(guī)性和安全性。

在實施安全策略的過程中，許多企業(yè)都會犯同一個錯誤：安全大于效率和速度。如果開發(fā)人員在發(fā)布新軟件和更新軟件時受阻和停滯，那么再安全又有何用。通過左移，企業(yè)可以在軟件供應(yīng)鏈的早期階段實施并自動化安全性。

Check Point云原生安全態(tài)勢管理和威脅情報解決方案幫助用戶應(yīng)對挑戰(zhàn)

企業(yè)需要一種可以跨不同基礎(chǔ)設(shè)施（包括 IaaS、SaaS 和 PaaS）自動進(jìn)行安全管理的云安全態(tài)勢管理 (CSPM) 工具。借助 CSPM 工具，用戶可通過安全評估和自動化合規(guī)性監(jiān)控來識別和修復(fù)風(fēng)險。CSPM 可以自動跨多云資產(chǎn)和服務(wù)實施治理，包括安全可視化和評估、錯誤配置檢測以及最佳安全實踐和合規(guī)性框架的實施。

雖然云的采用能夠為企業(yè)帶來優(yōu)勢，但安全漏洞和配置錯誤等問題也非常普遍。孤立分散的解決方案會引發(fā)安全漏洞。如果再缺乏可視性和端到端的上下文風(fēng)險信息，那么您保護(hù)云的能力會進(jìn)一步受到阻礙。此外，隨著云蔓延和敏捷軟件部署速度的加快，保護(hù)云的職責(zé)將變得越來越具有挑戰(zhàn)性。沒有企業(yè)愿意為了安全性而犧牲效率或速度。

綜上所述，最好的解決辦法就是部署可以大規(guī)模運行、并隨云增長的和諧統(tǒng)一的安全解決方案。為了應(yīng)對保護(hù)現(xiàn)代多云基礎(chǔ)設(shè)施的挑戰(zhàn)，用戶需要在左移的同時實施安全自動化，而這些需求用戶通過 Check Point CloudGuard 全部能夠輕松實現(xiàn)。