多云安全的 6 个关键要求

多云安全的6个关键要求 目录 云安全的关键：一致性3 在多云环境中实现一致性3实现一致的多云安全的要求3要求1：基础设施可视性4要求2：保护敏感数据5 要求3：风险优先级划分和补救7要求4：风险预防7要求5：外部攻击面评估9要求6：保护AI模型10使用CNAPP在多云环境中实现一致覆盖11 云安全的关键：一致性 云安全威胁和风险有多种形式。包括恶意软件到配置错误，再到薄弱的访问控制等等。虽然这些威胁从根本上看是不同的，但它们能够在您的环境中实体化，归根结底是由于一个关键问题—缺乏一致性。当谈到如何配置云环境以及如何部署工作负载时，一致性越差，安全风险就越容易潜入您的云环境，并不为您所察觉。 在多云环境中实现一致性 在面对单一云时，实现云环境内的一致性相对容易。只要管理一套云服务、一个IAM框架和一个网络配置就可以了。但是，当您转向多云架构 时，保持一致配置面临的挑战会成倍增长。问题不仅仅在于运行更多的云服务会产生更广泛的攻击面，还在于这些工具的运作方式存在显著差异，即使这些差异乍一看并不明显。 例如，尽管所有云提供商都提供IAM框架来定义访问控制，但每个供应商的框架都依赖于不同的概念和配置。结果就是，设置一致的访问控制规则可能会变得很困难。 似乎是为了增加挑战，每个云供应商都在维护自己的共享责任模型，该模型定义属于客户和自身的安全任务。然而，不同云平台的责任分担概念略有不同，还是很容易忽略一些细微的差别—如果不巧忽略了什么，最终可能就会得到一个存在缺口和不一致的安全战略。 实现一致的多云安全的要求 好消息是，您可以利用合适的方法在多云环境中实现一致的安全性。 在本电子书中，我们列出了切实可行的指导，帮助您优化多云的一致性和安全性。通过将最佳实践和安全要求分解为六个基本类别，您的云管理员和DevSecOps团队可以克服日益复杂的多云安全挑战。 要求1：基础设施可视性 确保多云环境安全的第一步是获得所有云资源、配置和活动的可视性。这使团队能够全面了解自身的云采用情况，并为自身的云安全流程奠定基础。为了获得有效的可视性，负责构建和保护云的团队应考虑以下几点： 云覆盖范围：今天，您可能只采用了一家云提供商（如AWS），但明天，您的企业可能会采用多个云。考虑采用一种可以跨所有主流云服务（例 图1：跨云和开发人员基础设施的无代理可视性 如AWS、Azure、GoogleCloud、OracleCloud、阿里云和IBMCloud）提供可视性的架构。 计算架构：您的企业很可能已经在IaaS和PaaS服务中部署了广泛的计算架构。确保您了解所有虚拟机（Linux和Windows）、容器、Kubernetes和无服务器部署及其配置。 身份和权限：所有云提供商都提供原生的身份和访问管理(IAM)框架来控制用户和云资源之间的 访问；但是，每个框架都是独特而复杂的。考虑采用一种能够自动检测和映射净有效权限的解决方案，帮助您全面了解“谁能访问什么”。 部署架构：传统的安全系统需要额外的工具来配合云设置，如代理、网络扫描器和代理服务器。如果您只想获得云的可视性，这些部署模型就显得多余了。现代的多云安全从无代理方法开始， 为您的云提供更强的可视性，包括通常需要安装代理才能实现的洞察力。 当您拥有全面的可视性时，无论需要保护多少云，都能更容易地识别和纠正导致不良安全态势的不一致之处。 要求2：保护敏感数据 云迁移、“直接转移”操作以及微服务技术在应用程序开发中的采用，正前所未有地在更多地方生成更多的数据。与此同时，数据量的增加、严格的法规以及向AI的转变，使得有效监控和保护云中的数据变得十分具有挑战性。许多企业都很难了解自己究竟拥有哪些敏感数据（如客户详细信息、健康数据或财务信息），谁可以访问这些数据以及这些数据在哪里存在风险。 影子数据是另一种风险。每次备份和迁移都会增加机密文件被移动到不受监控的存储、被遗忘或被遗弃的风险。这也会为希望窃取数据或策划勒索软件攻击的威胁行为者创造更多机会。 从Azure和AWS到Snowflake和BigQuery，以及分布式架构和AI供应链，企业需要一个最新的、准确分类的敏感数据清单。了解您拥有的数据以及数据遵守的监管框架，对于评估其风险至关重要。 在现代云部署中保护敏感数据使用自动化工具来发现、分类、监管和减轻数据风险，根据敏感程度和业务情境确定问题的优先级。这些工具也称为数据安全态势管理(DSPM)，是云原生工具，旨在评估、监控和最大限度地降低与驻留在云数据存储中的数据相关的风险，尤其是跨多云环境的风险。DSPM强调对敏感信息的保护，检查数据的情境和内容，优先考虑个人身份信息(PII)、医疗记录和其他关键信息。 DSPM的工作原理是什么？ DSPM工具可以自动发现、扫描恶意软件并对每个数据集进行分类，使安全团队能够优先对最关键的数据资产实施策略和事故响应。通过优先保护包含最高风险数据的资产，企业可以有效管理自身的数据安全态势，确保针对数据的情境实施适当的安全控制。 例如，包含与指定客户相关的PII的数据集可能优先于包含汇总的匿名用户数据的数据集，这就使得涉及前者的可疑数据流成为高优先级问题，而涉及后者的问题则不那么紧迫。 监控和管理风险涉及到检查与保存敏感信息的数据存储相关的各种安全配置和访问控制。DSPM 解决方案可以持续评估云环境中的错误配置、不当访问控制和其他可能导致数据泄露或未经授权访问的漏洞。通过识别和修复这些问题，企业可以大大降低发生安全事故的可能性，同时保持强大的数据安全态势。 利用DSPM功能，安全团队可以审核和调整用户权限，识别权限过高的账户，并执行基于角色的访问控制(RBAC)来限制潜在的攻击面。此外，DSPM解决方案还能验证数据在静态和传输过程中是否经过加密，以及适当的密钥管理方法是否能保护敏感信息免遭未经授权的访问。 图2：关键的DSPM和DDR功能 要求3：风险优先级划分和补救 您可能希望消除所有风险，但这在云中并不现实。云构建会带来非常多的风险，您的团队无法解决所有安全问题。取而代之的是专注于处理最大的威胁。这就是风险优先级划分如此重要的原因。 要应对最大的威胁，您必须首先收集和整合所有潜在的云风险和威胁信号。其中包括配置错误、漏洞、公开暴露、过度的访问权限、敏感数据、恶意软件等等。 接下来，将不同的信号连接起来，找到攻击者可以用来接触您最重要的云资产的路径。例如，仅仅是Log4Shell或XZUtils这样的关键漏洞不一定意味着危险。但如果您有一个面向公众的虚拟 机，其中安装了Log4Shell，并且还可以访问敏感的数据存储，请迅速修复。这些攻击路径预示着最高的入侵可能性和巨大的破坏半径。如果您的安全信号和数据是相互孤立的，那么这些攻击路径对您的团队来说仍然是隐藏的。 最后，必须采取行动解决问题。云安全团队应该识别关键的风险，并与开发人员合作解决这些风险。现代解决方案提供明确的补救步骤，可以消除攻击路径。与相关团队分享按优先顺序排列的发现结果和情境式见解，推动采取紧急行动。这种协作方法可确保在不中断云应用的情况下有效缓解风险。 要求4：风险预防 当企业采用云时，内部团队自然会从手动设置转向DevOps模式。这意味着使用模板化代码（也称为基础设施即代码(IaC)模板）推出云基础设施和配置。但问题是：如果只修复实时系统中的安全风险，不良模板再次使用时就会带来同样的问题，从而导致以下不必要的后果： 风险过大：代码中的一个安全缺陷会导致生产系统中出现几十个，有时候甚至是上百个安全警报，很快就会让安全团队不堪重负。 生产力降低：一旦应用程序上线，安全补丁对于开发人员来说就会变得更加困难和耗时。当开发人员不得不花时间解决生产中的云错误配置和漏洞时，就没有那么多时间来构建软件了。 克服这些挑战的关键在于预防风险，或将安全控制扩展到软件开发管道中。在不安全的IaC模板部署到云之前就检测出来并加以阻止，为开发团队提供补救指导。考虑采用这样一种安全架构，不仅可以识别IaC风险，还可以将实时的云风险 追溯到导致风险的代码，或执行根本原因分析。同样的架构应该提供补救措施来解决代码缺陷。 例如，如果您发现攻击路径包括云错误配置，就应该可以选择修复云中的错误配置，或提交拉取请求修复问题的根源，即IaC模板本身。 更新有风险的源代码比重新部署易受攻击的应用要简单得多。通过解决软件开发中的风险，您可以避免重复犯错，让开发人员专注于更重要的任务。 图3：代码中的一个错误会在运行时呈指数级增长 要求5：外部攻击面评估 由于80%的安全暴露1都发生在云托管的资产上，因此贯穿所有资源的可视性至关重要。任何云安全平台都可以提供云风险的内部视图，但如果有影子云资产，又会发生什么呢？ 这种无形的山寨资产清单积累起来有多种原因，包括认为没有时间遵守安全要求、合并和收购，甚至包括人为疏忽。这是一个普遍存在的问题。企业如何才能发现影子云工作负载并消除其带来的风险？以对手的视角审视自己的云环境。 要了解和发现影子资产以及面向互联网暴露的攻击面，您需要经历以下过程： 互联网扫描：识别正在使用的公共IP和域。考虑使用自动扫描整个互联网IP空间并捕获互联网规模数据的引擎来识别面向互联网暴露的云资产。手动查询公共IP或域根本无法大规模进行。 资产分类：扫描公共IP范围后，自动将互联网扫描结果与对IP和域所有者进行分类的可信来源关联起来。使用IP注册表、公共DNS系统、数字证书和分配给企业的ASN来验证和分类结果。这将有助于建立一个公司拥有的非托管资产的清单。 1Unit42攻击面威胁报告，PaloAltoNetworks，2023年9月。 图4：基于外部的跨公有云可视性 风险识别和缓解： 要了解外部攻击面，您需要识别与非托管资产相 关的风险，比如漏洞和错误配置。这将有助于优先安排云安全平台的采用工作，获得内部可视性并了解潜在的攻击路径。 利用“由外向内”的视角来观察云环境，使安全团队能够发现、评估、减轻未知的和未管理的互联网暴露风险。同时具备内部和外部可视性的企业最有能力确定风险的轻重缓急并确保云的安全。 要求6：保护AI模型 人工智能(AI)和大型语言模型(LLM)已经成为 图5：AI应用程序基于情境的风险示例 现代企业战略重点的一部分。与此同时，近年来出现了许多新的AI和LLM以及工具，包括托管模型API、开源基础模型以及新兴的操作工具、插件和应用程序生态系统。然而，尽管企业在快速构建和部署人工智能驱动的应用程序 时享有前所未有的机遇，但也不乏随之而来的新的安全挑战。 托管、半托管和非托管的AI模型激增会给监督带来困难。安全团队需要了解人工智能的部署情 况，才能有效监控使用情况并预防下游风险。 大型人工智能模型的内部运作通常是不透明的，甚至对其创造者来说也是一样，因此很难预测潜在的安全和合规问题。模型可能会展示出意想不 到的行为或漏洞，这些行为或漏洞不容易通过传统测试方法检测出来。 现有的安全措施，包括防火墙和态势分析工具 （如CSPM、DSPM），不能解决针对人工智能的攻击，比如数据中毒、模型反演和对抗性尝试。 即将生效的《欧盟人工智能法案》围绕数据隐私、算法偏见和可解释的人工智能提出了新的要求。法案还提高了对违规行为的处罚力度，几乎是GDPR的两倍。预计美国和其他国家也会陆续推出类似的立法。 AI-SPM包含一系列功能，旨在保护企业防范与人工智能、机器学习(ML)和生成式人工智能(GenAI)模型相关的独特风险，包括数据暴露、滥用和模型漏洞。 有了AI-SPM，从数据提取和训练到部署，企业可以全程了解AI模型的生命周期。通过分析模型行为、数据流和系统交互，AI-SPM可以识别传统风险分析和检测工具可能无法检测到的潜在安全性和合规性风险。 企业可以运用AI-SPM的见解来执行策略和最佳实践，确保以安全、合规的方式部署人工智能系统。除此之外，还能发现人工智能特