BetterCloud最近的一项调查发现,企业平均使用80个单独的第三方云应用程序来实现协作、通信、开发、管理合同和HR功能、授权签名以及支持处理和存储敏感数据的业务功能。这些类型的应用程序统称为SaaS(软件即服务)。
除此之外,企业组织还在公共平台(PaaS或平台即服务)和基础架构(IaaS或基础架构即服务)上部署应用程序和整个业务。数据显示,2020年有76%的企业在Amazon Web Server(AWS)上运行其应用程序,而63%的企业在Microsoft Azure上运行其应用程序。
Capital One顾问兼前CISOMichael Johnson表示,这些公共云服务都是必要且高效的,甚至有望比传统数据中心提供更安全的环境。但是,它们也为这些正在云中存储和处理的敏感数据带来了独特的风险,其中大多数风险都是由于用户在设置和管理这些服务时操作错误造成的。
据悉,Johnson曾在2019年的一次公开事件中参与指导Capital One公司完成响应过程,该事件当时暴露了8000万个人记录。在这起事件中,攻击者正是利用了配置不当的第三方云环境。好在Johnson及其团队及时遏制了这一漏洞,并借助强大的响应计划,与董事会和执行团队的透明性,以及与执法部门之间的既有关系,成功实现在数据被利用之前将数据窃取者抓捕归案。
制定响应计划以应对在云中放置敏感数据的风险,这应该是任何云安全策略必不可少的一部分。想要针对公共云环境部署数据保护策略,重要的是要知道如何暴露或窃取来自公共第三方服务的数据。
数据在云中因何如此脆弱?
根据云安全联盟(CSA)的年度威胁报告指出,第三方云服务中的数据泄漏主要是由于配置错误和变更控制不充分(例如过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。而缺乏云安全策略或体系结构正是造成数据泄露的第二个最常见的原因,其次是身份和密钥管理不足,随后还有内部威胁、不安全的API、结构故障以及对云活动和安全控制的有限可见性等等。
云安全联盟CEO Jim Reavis表示,
“由于远程工作需要,SaaS在2021年已经成为我们的重要关注点。我们看到公有云采用率出现了惊人的增长,但是忙乱中,组织却忘记了将边缘网络保护到云中。例如,人们正在跨多个云服务重用其凭据,因此现在凭据填充攻击正在增加。”
McAfee的一项调查显示,到2020年5月,思科WebEx的使用率增加了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。在最初匆忙开展远程工作时,Reavis就指出了许多可能导致数据泄露的问题:IT团队并未保护云中的存储桶,未实施安全的开发人员实践或协调身份和访问程序。如今,网络犯罪分子甚至已经在存储库中发现了一些硬编码的应用程序凭据。可怕的是,这些明明都是一些非常基础的东西。
专家建议,遵循下述3个最佳实践将显著降低在云中存储或处理数据的风险:
保护云中敏感数据的3种最佳实践
清点云使用情况
为大中型公司提供咨询的CISO Ian Poynter建议,应对云中数据威胁的最佳方法,是在任何涉及公共云服务的新计划的规划阶段,将云应用程序纳入控制并进行风险评估。CISO之间的共识是,用户的云实例并非都是获得授权的,而且很少针对公开数据进行有效地监控。这也是CISO需要成为执行团队成员的原因所在。他们需要这个权限去了解正在发生的事情,并且还要一个协作环境,在这样的环境中,业务经理能够直接与他们进行沟通,共享其正在运行的新项目或产品,然后让他们对其中涉及的云产品进行评估。
就一家公司而言,CISO甚至可以向财务发出警告,告知其哪些第三方云应用程序和平台可以报销。如果业务部门或个人用户在未经事先批准的情况下购买了报销范围以外的产品,则可以直接拒绝他们的报销申请。
这是强制执行云应用程序白名单的手动方式,但无疑也是有效的方式。云应用程序白名单和黑名单通常也是部署在公司控制的端点上,或通过零信任技术(例如浏览器隔离)来控制用户、企业和云应用程序之间的远程会话的强大技术控制。
应用云原生安全产品
Johnson建议,在组织已标准化的成熟云服务和应用程序中利用云原生安全产品。例如,应用AWS Inspector评估正在使用的应用程序的配置合规性,以及应用Amazon GuardDuty来检测恶意活动和未经授权的行为。采购产品之前,企业组织需要竭尽所能地对云提供商的声誉进行尽职调查,并尽量避开一些小的提供商。越大的提供商通常会在数据保护和可见性控制方面做得更好。
服务模型之间的原生安全性会有所不同。IaaS和PaaS供应商为购买者在其基础架构或平台中升级的应用程序提供安全性和配置工具。这些一般是本地提供的或是通过第三方付费提供的。对于SaaS应用程序(例如DocuSign、Slack或Box)而言,安全性多数是原生的。例如,Microsoft 356为Exchange、SharePoint和Azure(以及其他安全产品)Active Directory提供高级审核。
通过研究Box公司的cloud enterprise,我们可以窥见出入第三方提供商的敏感数据的处理方式。Box管理着多个应用程序,以支持工作流程、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。用户通过Box Shuttle将Box连接到其他云服务(例如具有完整数据传输功能的Facebook Workplace)时,Box中便出现了云。
Box安全、隐私和合规性产品副总裁Alok Ojha表示,随着越来越多的应用程序在Box世界中兴起,面向用户的嵌入式安全性和合规性工具集将成为关键的差异化因素。Ojha引用内容云(Content Cloud)作为Box用户在不同工作流中实现一致安全性和可视性的地方,以查看应用程序中正在处理哪些文件和数据,以及谁在访问数据及出于什么目的。
另一个原生工具Box Shield也可以配置来查找和分类敏感数据,并对分类后的数据进行适当的控制,以降低内部人员和恶意软件威胁的风险,同时还可以了解与数据相关的法规要求,并确保对监管机构进行审核跟踪。此外,他还建议重新关注身份和访问管理(IAM),尤其是对外部用户和合作伙伴使用多因素身份认证,而不要再使用可重用的密码组合。
在数据层保护数据
Titaniam数据保护公司创始人兼CEO Arti Raman警告称,不要过度依赖身份和访问控制来防止数据泄漏,同时控件还需要直接关注通过公共云进行交易并存储在公共云中的数据。但是,从端点到企业再到云的数据保护非常困难,并且必须具有足够的灵活性以跨越所有这些边界,以便在整个生命周期内保护数据。
Raman认为,在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时,加密和数据保护应始终存在。这包括传统的加密技术以及新的可搜索技术,这些新技术是在其上使用传统加密来满足合规性标准。
最后,Box公司的Ojha补充道,数据终止(data kill)政策也很重要。根据企业和法规为数据设置的要求,最好可以自动删除不再需要在第三方应用程序和基础架构中存在的数据。