IT 安全社区因其共享信息和解决方案的特性而备受认可。如果企业正在迁移到云端,或者倾向于提高应用程序的安全性,可以很好地利用这一点。
每一次大规模网络攻击和每一次鲜为人知的宕机的背后,IT 安全专业人员、应用程序开发人员、供应商和 IT 服务供应链中的其他人都在彼此达成更紧密地合作,以开发更强大的云防御。现有的漏洞和新出现的威胁正在被识别,并推出修复方案,开发和共享最佳实践。
最近尤其如此,因为许多企业已经增加或转移了 IT 资源以适应远程工作的员工。许多企业在匆忙做出这些更改的过程中,发现他们可能已经削弱了 IT 安全态势,让自己面临新的漏洞,或者暴露了现有的漏洞。
虽然云安全最佳实践没有明确清单,但在企业的开发团队、基础设施和流程方面,有几个要考虑的事项,以增强企业的IT安全性。
1、从 DevOps 转向 DevSecOps
实施 DevSecOps — 开发安全操作。简而言之,它是关于内置安全性,而不是围绕应用程序和数据外围的安全性,应用程序和基础设施安全是整个应用程序生命周期的组成部分。
例如,当企业进行持续测试时,包括安全测试。不断检查应用程序是否正确使用了应用程序内置的 IAM 服务、加密和其他安全流程。确保它们都正常工作。
在云中暂存和部署应用程序后,在整个持续运营阶段保持安全重点。检查应用程序、数据存储和平台内的 IAM 和加密操作,以确保所有保护措施都处于活动状态并正常运行。
2、涵盖应用安全基础知识
确保了解这些基本的应用程序安全概念:授权、审计/日志记录、机密性和完整性。授权控制经过身份验证的用户有权访问的资源,例如文件和数据库。
可以访问整个资源、部分资源或不访问。审计和日志记录可确保记录用户的操作,从而可以识别可能发出违规信号的使用模式,以便采取防御措施。它们对于合规性或其他法律目的也至关重要。
机密性是确保数据保持私密性并确保未经授权的用户或监视网络流量的窃听者无法查看的过程。每当数据在系统内静止或移动时,可以使用加密来强制执行机密性。
完整性是指确保数据在其生命周期内的准确性和一致性(有效性)的措施。推荐的做法包括输入验证以防止输入无效数据、错误检测/数据验证以识别数据传输中的错误,以及访问控制、加密和数据丢失预防等安全措施。
3、实施漏洞扫描
将漏洞扫描集成到 CI/CD 流程中。确保在交付管道的每个主要阶段(从编写到部署到生产中)检查代码是否存在漏洞。确保负责不同管道阶段的各方拥有检测代码问题的必要工具和培训。
通常建议使用静态应用程序安全测试 (SAST) 来检测专有代码中的漏洞,而首选 SCA 工具来检测和跟踪组织代码库中的所有开源组件。
4、利用运行时保护
跨 CI/CD 管道集成运行时保护,以保护应用程序在开始运行时免受威胁。至少,监控应用程序是否存在可能表示违规的异常行为。制定一个流程来识别变量或配置设置,可能会在运行时产生安全漏洞。
5、考虑具体和一般问题
使用防止特定类型攻击的安全措施。例如,配置良好的内容安全策略 (CSP) 标头可以防御 XSS 攻击和其他绕过同源策略的尝试。强制使用强密码有助于保护敏感数据并防止未经授权的访问导致的数据泄露。在操作层面,使用 DDoS 缓解服务来帮助抵御 DDoS 攻击。
6、利用容器/服务管理安全特性
确保使用编排工具和服务网格提供的安全功能。这些工具充当容器与外部世界之间高度可扩展的绝缘层,可以处理身份验证、授权和加密等任务。它们专为从头开始的自动化而设计。
确定是否需要启用或配置它们。例如,Kubernetes 的基于角色的访问配置 (role-based access configuration,RBAC) 应该是 DevSecOps 的关键元素,但默认情况下不启用。
7、备份恢复策略
将数据保护、备份和恢复作为云安全计划的一部分。培养具有内置安全性的安全环境和应用程序并不意味着网络攻击者无法找到减缓操作或破坏数据的方法。
适当的数据保护、备份和恢复策略有助于确保如果企业的云安全无法阻止攻击,其最重要的数据和应用程序仍然可以访问和使用。
8、采用合规标准
如果企业正在考虑从 CSP 采购云服务,请选择那些经认证符合 PCI DSS 要求或定期接受 HIPAA 合规性审核的服务 ─ 即使该企业不在需要遵守这些标准的行业。符合 PCI 和 HIPAA 的云环境采用的基础架构和流程使其能够满足非常严格的安全要求。这将转化为更安全的云环境。
如果企业受监管要求的约束,请确保其符合要求。许多法规、政府规定和行业标准都需要满足严格的数据安全和隐私技术要求。如果您的企业合规,则很有可能拥有大量防御措施来减轻网络攻击。请记住,需求会发生变化,因此合规性不是一次性的。
9、保持防守
最新的防火墙、广告拦截器、浏览器中的脚本拦截器和电子邮件安全产品可以阻止已知的恶意发件人并去除已知的恶意附件文件类型。使用白名单来防止软件下载。隔离“沙盒”技术可以防止勒索软件的下载和执行免受网络钓鱼链接、网络偷渡和水坑攻击。
如果企业团队不具备监控和更新防御的专业知识,则需考虑使用托管服务提供商来承担安全责任。此外,也要考虑选择 CSP 或第三方 IT 安全供应商托管安全服务。企业将能够更好地覆盖所有端点和潜在漏洞。
好处:托管安全性通常意味着无需前期资本支出或内部安全专业知识即可访问最新和最强大的安全技术。由于服务提供商负责对企业的 IT 安全进行监控和管理,因此企业自身的 IT 人员和资源可以腾出用于其他工作。
10、永远不要放松警惕
接受世界上没有 100% 安全的云环境这一现实。当企业假设其云环境难以渗透时,很容易对云安全最佳实践、定期审计、员工安全意识培训和其他元素松懈。
新的网络威胁不断出现,其他威胁也在不断演变。今天的保护措施可能对之后演变出的新的威胁不起作用。与掌握最新威胁的 CSP 或托管安全公司合作至关重要。但同样重要的是,企业的 IT 员工也要跟上安全前沿的发展步伐。
关注一些由值得信赖的安全专家或云公司撰写的专业文章、参加 IT 安全网络研讨会、利用供应商和技术合作伙伴提供的信息都是可行的途径。