（文章來(lái)源：企業(yè)網(wǎng)）

如今，很多企業(yè)致力于提高云計(jì)算安全指標(biāo)的可見(jiàn)性，這是由于云計(jì)算的安全性與本地部署的安全性根本不同，并且隨著企業(yè)將應(yīng)用程序、服務(wù)和數(shù)據(jù)移動(dòng)到新環(huán)境，需要不同的實(shí)踐。

安全廠商Threat Stack公司產(chǎn)品管理副總裁Chris Ford表示，人們不能再將安全視為一種可以“圍繞一切的圍欄”。他說(shuō)，“在基礎(chǔ)設(shè)施這個(gè)高度變化的新世界中，人們需要了解基礎(chǔ)設(shè)施的所有不同區(qū)域，在這些區(qū)域中檢測(cè)風(fēng)險(xiǎn)，并開(kāi)始采取安全措施。這一切都取決于人們觀察行為的能力。”

CloudKnox公司首席執(zhí)行官Balaji Parimi表示，當(dāng)涉及到當(dāng)今的云安全實(shí)踐時(shí)，很多企業(yè)處于“被動(dòng)模式”。他們主要是通過(guò)使用能夠提供異常活動(dòng)可見(jiàn)性的工具來(lái)保護(hù)云環(huán)境，然后對(duì)異?；顒?dòng)做出響應(yīng)。Parimi說(shuō)，“雖然這些‘反應(yīng)式’工具有一些優(yōu)點(diǎn)，但企業(yè)必須優(yōu)先考慮先發(fā)制人的措施，以防止災(zāi)難性的情況發(fā)生?！彼ㄗh，企業(yè)評(píng)估有助于防止或至少最小化與配置不當(dāng)?shù)纳矸菹嚓P(guān)的風(fēng)險(xiǎn)的工具。

監(jiān)視過(guò)度配置或錯(cuò)誤配置的身份是企業(yè)改進(jìn)云安全監(jiān)控的方法之一。在這里，專家們分享了他們?cè)谠朴?jì)算中如何實(shí)施云安全監(jiān)控的最佳實(shí)踐。企業(yè)應(yīng)與供應(yīng)商進(jìn)行溝通，以澄清安全責(zé)任的誤解。Ford說(shuō)， “很多企業(yè)希望與云計(jì)算提供商溝通，并準(zhǔn)確理解共享責(zé)任模式所涵蓋的內(nèi)容。”他指出，很多企業(yè)可能對(duì)基礎(chǔ)設(shè)施的某些領(lǐng)域視而不見(jiàn)。

除了詢問(wèn)涵蓋哪些安全領(lǐng)域之外，他還建議詢問(wèn)哪些工具可以提供有助于識(shí)別更復(fù)雜的攻擊行為的洞察力。Parimi提供了一個(gè)用戶詢問(wèn)云計(jì)算服務(wù)提供商的問(wèn)題列表：“你們負(fù)責(zé)哪些安全性，以及我們負(fù)責(zé)的是什么？你們的產(chǎn)品和服務(wù)符合哪些安全和隱私標(biāo)準(zhǔn)？你們是否保留了已簽名的審計(jì)跟蹤，其中包含哪些身份通過(guò)其UI和API執(zhí)行哪些操作以及何時(shí)執(zhí)行？你們對(duì)日志提供什么訪問(wèn)權(quán)限？”

“亞馬遜公司如今是最強(qiáng)大的云計(jì)算供應(yīng)商。”Mogull說(shuō)。 CloudTrail涵蓋幾乎所有API調(diào)用，Config隨時(shí)間處理配置狀態(tài)監(jiān)控，CloudWatch涵蓋基本核心日志記錄，GuardDuty查看用戶永遠(yuǎn)無(wú)法訪問(wèn)的有關(guān)Amazon資產(chǎn)的數(shù)據(jù)。Microsoft Azure提供了各種日志服務(wù)，但它的大部分日志記錄都是由Azure安全中心提供的，Mogull稱其比CloudTrail更難從中獲取數(shù)據(jù)。

Mogull在網(wǎng)絡(luò)研討會(huì)上表示，云計(jì)算帶來(lái)的變化率與傳統(tǒng)數(shù)據(jù)中心的變化率大不相同，其發(fā)展速度對(duì)監(jiān)控安全威脅提出了挑戰(zhàn)。例如，許多傳統(tǒng)工具沒(méi)有跟上發(fā)展步伐，因?yàn)樗鼈儾恢С諥PI，或者它們無(wú)法隨時(shí)管理數(shù)據(jù)。他指出，云計(jì)算技術(shù)的波動(dòng)性意味著靜態(tài)庫(kù)存工具的用處不大。

一些企業(yè)認(rèn)為他們可以采用現(xiàn)有的安全堆棧并將其移至云端，但他不建議這樣做。例如，這樣做會(huì)提示如何處理無(wú)服務(wù)器架構(gòu)或處理未管理容器服務(wù)器平臺(tái)上的容器的問(wèn)題。Threat Stack公司的Ford表示，超過(guò)一半的用戶似乎愿意用安全換取速度和靈活性。企業(yè)將面臨最大限度降低風(fēng)險(xiǎn)而不妨礙快速行動(dòng)的挑戰(zhàn)。他說(shuō)，“我認(rèn)為這是我們必須直接面對(duì)的挑戰(zhàn)之一?！?/p>

在安全監(jiān)控方面，大多數(shù)企業(yè)完全依賴于他們從云計(jì)算提供商那里獲得的信息，F(xiàn)ord稱這種方法可能會(huì)在可見(jiàn)性方面留下空白，特別是在工作負(fù)載方面。他解釋說(shuō)：“用戶應(yīng)該有能力觀察云計(jì)算基礎(chǔ)設(shè)施每一層的行為?！边@其中包括主機(jī)可見(jiàn)性、容器可見(jiàn)性、對(duì)控制平臺(tái)的可見(jiàn)性以及對(duì)應(yīng)用程序?qū)拥目梢?jiàn)性，以查看跨站點(diǎn)腳本、SQL注入和其他威脅。

Mogull建議將云監(jiān)控視為是一種望遠(yuǎn)鏡，而不是顯微鏡。他說(shuō)，“用戶不要認(rèn)為可以捕獲環(huán)境中每個(gè)部分的數(shù)據(jù)。龐大的數(shù)據(jù)量可能變得無(wú)法管理?！盩hreat Stack公司Ford說(shuō)，“重要的是要了解得不到什么?！彼嬲f(shuō)，不要讓可見(jiàn)度帶來(lái)一種虛假的安全感。這可能讓組織很難知道對(duì)于給定的數(shù)據(jù)集采取哪些操作，而且在處理云安全數(shù)據(jù)時(shí)，場(chǎng)景是必不可少的。對(duì)于從多個(gè)供應(yīng)商或提供容器的供應(yīng)商處獲得服務(wù)的組織來(lái)說(shuō)將會(huì)增加復(fù)雜性。

Ford表示，僅僅依靠來(lái)自安全工具的警報(bào)是不夠的。他說(shuō)，“用戶需要提供警報(bào)的深層次場(chǎng)景，這樣才能理解產(chǎn)生警報(bào)時(shí)發(fā)生的事情。”Ford解釋說(shuō)，例如，某個(gè)組織收到亞馬遜網(wǎng)絡(luò)服務(wù)公司的GuardDuty關(guān)于有問(wèn)題連接的警報(bào)。除非可以確定哪個(gè)用戶啟動(dòng)了創(chuàng)建連接的進(jìn)程，否則很難有足夠的場(chǎng)景來(lái)使這些警報(bào)進(jìn)行操作。他建議通過(guò)安全編排平臺(tái)或SIEM與其他工具的組合，盡可能多地訪問(wèn)遙測(cè)數(shù)據(jù)，以收集所需的數(shù)據(jù)量。

如果組織正在研究網(wǎng)絡(luò)流，那么用戶和應(yīng)用程序行為的知識(shí)可以幫助其確定什么是正常與異常行為。另一個(gè)例子是，F(xiàn)ord指出可以查看權(quán)限提升的配置。如果組織注意到權(quán)限升級(jí)與未經(jīng)授權(quán)的文件修改相結(jié)合，那么對(duì)其配置的查看更加緊迫。
? ? ?（責(zé)任編輯：fqj）