作者丨Owen Garrett

譯者丨陳峻

策劃丨孫淑娟

??據(jù)統(tǒng)計(jì)??，隨著云服務(wù)在各個(gè)新興行業(yè)的爆炸式增長(zhǎng)，全球已有 50% 的企業(yè)數(shù)據(jù)存儲(chǔ)到了云端。各個(gè)企業(yè)從中獲取到的好處包括但不限于：提高服務(wù)的敏捷性、易于擴(kuò)展、以及更具成本效益。

不過(guò)，如果我們從安全性的角度來(lái)考慮的話，事情就不那么樂(lè)觀了。一直以來(lái)，有不少人認(rèn)為，將一個(gè)企業(yè)最有價(jià)值的大部分(甚至是全部)資產(chǎn)，拱手交給第三方云平臺(tái)，是充滿挑戰(zhàn)的。我們應(yīng)該想方設(shè)法從云服務(wù)提供商處，獲取 7*24 小時(shí)、全天候的安全支持，以保護(hù)自己的應(yīng)用部署和數(shù)據(jù)存儲(chǔ)。那么，光靠云服務(wù)提供商的安全防護(hù)夠嗎?顯然不夠，我們還得發(fā)揮主觀能動(dòng)性。

常言道：知易行難。下面我將和您重點(diǎn)探討云安全的基本概念，以及正確實(shí)現(xiàn)云端數(shù)據(jù)保護(hù)的十條“軍規(guī)”。

責(zé)任共擔(dān)模型?

云端的安全性，往往需要遵循一種被稱為??“責(zé)任共擔(dān)”的模型??。該模型規(guī)定：服務(wù)提供商只對(duì)“云服務(wù)”的安全性負(fù)責(zé)，而租戶需要對(duì)“云服務(wù)中具體部分”的安全性負(fù)責(zé)。也就是說(shuō)，在使用云服務(wù)運(yùn)行自己的應(yīng)用時(shí)，作為云服務(wù)的租戶，您仍然需要按比例分擔(dān)安全配置或管理的部分工作。當(dāng)然，使用云服務(wù)的程度不同，您的責(zé)任范圍可能存在著巨大的差異性。例如：若您訂閱了基礎(chǔ)設(shè)施即服務(wù) (IaaS)，則您需要自行負(fù)責(zé)操作系統(tǒng)的相關(guān)補(bǔ)丁和更新工作。而如果您只是用到了對(duì)象存儲(chǔ)，那么您的職責(zé)范圍將僅限于數(shù)據(jù)丟失的防護(hù)(DLP)。

雖然具體的應(yīng)用場(chǎng)景存在著巨大的多樣性，但是我們有必要從中找出一些通用的準(zhǔn)則。例如，絕大多數(shù)云服務(wù)的漏洞在本質(zhì)上都能被歸結(jié)為：錯(cuò)誤配置。就算云服務(wù)提供商已經(jīng)為您提供了強(qiáng)大的安全工具，如果您不慎或者是不會(huì)用的話，在安全配置中也會(huì)存在錯(cuò)誤或漏洞，進(jìn)而會(huì)無(wú)形中拉低了整體應(yīng)用服務(wù)的安全態(tài)勢(shì)。因此，為了合理有效地構(gòu)建出云端“護(hù)欄”，我們需要在既知其然、又知其所以然的基礎(chǔ)上，盡量減少錯(cuò)誤發(fā)生的可能性、及其影響范圍。

在我們開(kāi)始討論十項(xiàng)重要的云端安全防護(hù)策略之前，讓我們先了解一下，與“傳統(tǒng)”信息安全相比，云端安全到底有哪些不同之處。

了解云端安全的 3 個(gè)關(guān)鍵點(diǎn)?

由于云基礎(chǔ)架構(gòu)往往處于一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境中，因此其中的各個(gè)組件也是不斷變化的?？傮w而言，云端安全性的目標(biāo)就是，要通過(guò)確保系統(tǒng)能夠按照預(yù)期運(yùn)行，并能夠維持其整體的安全態(tài)勢(shì)。為此，我們有必要重新認(rèn)識(shí)如下三個(gè)關(guān)鍵性概念：

• 邊界：傳統(tǒng)安全性的本質(zhì)是基于保護(hù)一個(gè)受信任的邊界，即所謂的“堡壘(fortress)”。然而，分布在互聯(lián)網(wǎng)上的云服務(wù)環(huán)境，則具有能夠動(dòng)態(tài)衍生出多個(gè)相互連接的端點(diǎn)和層次的特點(diǎn)。因此，任何云安全模型都應(yīng)該以身份認(rèn)證和訪問(wèn)管理為中心，專注于加強(qiáng)對(duì)于可疑帳戶的權(quán)限管控(這通常需要依賴于行為建模)。
• 可擴(kuò)展性：由于數(shù)據(jù)的存儲(chǔ)和處理都是動(dòng)態(tài)的，因此云安全框架也應(yīng)該能夠考慮到基礎(chǔ)設(shè)施的演變。換句話說(shuō)，它需要了解系統(tǒng)的狀態(tài)，根據(jù)策略做出相應(yīng)的調(diào)整。
• 監(jiān)控：隨著云端資源的豐富、以及新的攻擊源頭的出現(xiàn)，針對(duì)云服務(wù)的威脅態(tài)勢(shì)也在瞬息萬(wàn)變。各種安全風(fēng)險(xiǎn)的激增，漏洞的深藏，以及攻擊的復(fù)雜化，都需要我們通過(guò)持續(xù)監(jiān)控，快速掌握現(xiàn)有云端安全環(huán)境的變化，并能夠?qū)?dòng)態(tài)的系統(tǒng)做出及時(shí)且積極的反應(yīng)與處置。

提高云端安全性的十項(xiàng)“軍規(guī)”?

規(guī)則 1：不要忽視開(kāi)發(fā)用的密鑰與證書

由于供職于一家需要每天持續(xù)掃描數(shù)以百萬(wàn)計(jì)的公、私有代碼庫(kù)的公司，我們深知構(gòu)建健全的密鑰與證書政策的重要性。您應(yīng)該確保自己的開(kāi)發(fā)人員僅使用短期有效的證書密鑰，并在投入正式的生產(chǎn)環(huán)境之前，撤銷這些僅作開(kāi)發(fā)用途的證書，并且應(yīng)當(dāng)執(zhí)行包括檢測(cè)和管理存儲(chǔ)庫(kù)中的證書等，各項(xiàng)完備的設(shè)置與檢查。我的一位資深客戶就曾指出(https://www.itcentralstation.com/product_reviews/gitguardian-internal-monitoring-review-671614-by-danny)：如果有人跟他說(shuō)，密鑰與證書檢測(cè)并非優(yōu)先事項(xiàng)的話，他會(huì)通過(guò)在Google 上自定義搜索，來(lái)證明展示證書密鑰泄露的危害性。這也正是我為何將其放在列表首位的原因。

規(guī)則 2：持續(xù)查看默認(rèn)配置

云服務(wù)提供商通常會(huì)預(yù)先配置好一些通用的訪問(wèn)控制策略。這些策略雖然易于快速上手，但是正是由于其通用性，導(dǎo)致了它們不一定適用于您的真實(shí)應(yīng)用服務(wù)，特別是在有新的云服務(wù)被引入時(shí)，它們往往需要在默認(rèn)控制策略的基礎(chǔ)上，進(jìn)行定制化的配置。當(dāng)然，您也可以通過(guò)選擇禁用不必要的配置、或未使用到的服務(wù)，來(lái)減少受攻擊面。

規(guī)則 3：列出所有可被公開(kāi)訪問(wèn)的存儲(chǔ)

對(duì)于云端存儲(chǔ)被攻擊者通過(guò)可開(kāi)放訪問(wèn)的接口進(jìn)行入侵之類的新聞，您也許已經(jīng)司空見(jiàn)慣了?？梢?jiàn)，無(wú)論您為對(duì)象和數(shù)據(jù)選擇哪種存儲(chǔ)方法，請(qǐng)檢查并確保只公開(kāi)那些需要被訪問(wèn)的組件和存儲(chǔ)。

規(guī)則 4：定期審查訪問(wèn)控制

如前所述，云服務(wù)的安全性與您的身份認(rèn)證、及訪問(wèn)管理策略密切相關(guān)。隨著基于身份的安全系統(tǒng)，在整體安全措施中逐漸占據(jù)主導(dǎo)地位，它們形成了所謂的“零信任(zero-trust)”策略的基礎(chǔ)。作為實(shí)踐，我們可以積極主動(dòng)地實(shí)施“最小特權(quán)原則”，對(duì)云端的服務(wù)、系統(tǒng)、以及網(wǎng)絡(luò)的訪問(wèn)進(jìn)行安全加固。同時(shí)，我們也應(yīng)當(dāng)定期安排手動(dòng)和自動(dòng)化的檢查方式，來(lái)審查管控的執(zhí)行是否嚴(yán)格。

規(guī)則 5：利用網(wǎng)絡(luò)結(jié)構(gòu)

上述類似的規(guī)則和實(shí)踐也適用于網(wǎng)絡(luò)結(jié)構(gòu)。您應(yīng)該利用云服務(wù)平臺(tái)提供的控制工具，來(lái)構(gòu)建更高效、更細(xì)粒度的策略，實(shí)現(xiàn)對(duì)訪問(wèn)請(qǐng)求的仔細(xì)檢查，并按需分流。

規(guī)則 6：預(yù)防性記錄和監(jiān)控

沒(méi)有強(qiáng)大的監(jiān)控和日志記錄，我們將無(wú)法獲悉當(dāng)前應(yīng)用的安全態(tài)勢(shì)。通過(guò)基于風(fēng)險(xiǎn)的日志記錄策略，您不但應(yīng)該確保違規(guī)監(jiān)控的啟用和正常運(yùn)行，還可以在安全事件發(fā)生之后，協(xié)助開(kāi)展各項(xiàng)調(diào)查工作。在理想情況下，您應(yīng)當(dāng)能夠通過(guò) API、或其他機(jī)制，在自己的日志系統(tǒng)上，聚合來(lái)自各種云端的日志。

規(guī)則 7：完善您的資產(chǎn)清單

縱然我們可以使用由云服務(wù)平臺(tái)提供的 API，來(lái)減輕庫(kù)存管理的巨大壓力，也應(yīng)該通過(guò)有關(guān)所有權(quán)、用例、以及敏感性級(jí)別等附加信息，通過(guò)定制化的策略，來(lái)完善自己的云端資產(chǎn)清單。

規(guī)則 8：提防 DNS 劫持

各類云服務(wù)經(jīng)常需要通過(guò)、并在 DNS 條目之間傳遞信任關(guān)系。因此，定期檢查您的 DNS 的正確性和云應(yīng)用的配置，可以有效地以防止出現(xiàn) DNS 被毒化、接管、以及劫持等情況的發(fā)生。

規(guī)則 9：災(zāi)難恢復(fù)計(jì)劃并非只是可選項(xiàng)

云服務(wù)環(huán)境雖然提高了應(yīng)用系統(tǒng)的可用性，但是它并不會(huì)提供自動(dòng)化的災(zāi)難恢復(fù) (DR) 服務(wù)。您應(yīng)該全面考慮通過(guò)何種級(jí)別的投資，來(lái)應(yīng)對(duì)云端環(huán)境可能發(fā)生的災(zāi)難性事件。您可以設(shè)計(jì)一套 DR 流程，以便通過(guò)外部帳戶、提供商、甚至是在本地環(huán)境中恢復(fù)自己的應(yīng)用服務(wù)。

規(guī)則 10：減少手動(dòng)配置

云原生安全工具和控制往往是以自動(dòng)化的形式交付的。請(qǐng)記住，漏洞源于錯(cuò)誤配置，而錯(cuò)誤配置通常源于手動(dòng)操作。因此，對(duì)于我們?nèi)祟惗裕枰瓿傻氖謩?dòng)工作越多，出錯(cuò)的可能性就越大。對(duì)此，您需要鼓勵(lì)自己的團(tuán)隊(duì)善用、多用自動(dòng)化，盡可能地使用安全即代碼(security-as-code)的方式，保持安全策略的一致性。

小結(jié)?

對(duì)于安全專業(yè)人員而言，云應(yīng)用安全的管理是極富挑戰(zhàn)性的。畢竟在云端，責(zé)任范圍變得不再靜止，不再清晰，且不斷變化。不過(guò)，值得慶幸的是，在應(yīng)對(duì)各項(xiàng)新的安全需求、應(yīng)對(duì)新的威脅時(shí)，我們不再是單兵作戰(zhàn)了。各個(gè)云服務(wù)提供商平臺(tái)往往能夠提供豐富的工具集，方便我們?cè)诎踩枨蠛挽`活性之間取得平衡。希望我上文為您提供的 10 條安全軍規(guī)，能夠方便您更全面地制定出防護(hù)措施，并構(gòu)建出更好的云端安全性態(tài)勢(shì)。

譯者介紹?

陳 峻 （Julian Chen），??51CTO社區(qū)編輯??，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)；持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知；經(jīng)常以線上、線下等方式，開(kāi)展信息安全類培訓(xùn)與授課。

原文標(biāo)題：10 Rules for Better Cloud Security，作者：Thomas Segura