專家提供云計算安全建議

周六清晨，這位驚慌失措的顧客打電話給BrettGillett：亞馬遜AWS服務每月剛剛收到的賬單是該公司平均收費的五倍。為什么？

作為一家專業(yè)從事AWS咨詢服務的Oakville,Oakville,ONT公司的創(chuàng)始人吉列特(Gillett)周三在多倫多的TrendMicroCloudsec云安全會議上告訴TrendMicroCloudsec云安全會議，這是一個糟糕的密碼管理問題。

“他們違反了幾條規(guī)則。他們[開發(fā)人員]使用的是根AWS帳戶，“不能用訪問權限來控制。目前還不清楚它是內(nèi)部人還是黑客，但有人利用訪問權在不同的地區(qū)創(chuàng)建了一個新的AWS實例，并安裝了比特幣挖掘基礎設施。它積累了大量的處理能力，因此亞馬遜的賬單很高。

吉列說，“這是達爾文獎”，這是他所犯的最嚴重的錯誤。

“永遠不要在云環(huán)境中使用長期訪問密鑰”，他警告觀眾，不管公司的政策如何，因為如果一名員工丟失了一臺筆記本電腦，無論誰發(fā)現(xiàn)它完全可以訪問任何東西。

這是Gillett和JamesPeek，一家云咨詢公司在多倫多、新加坡和澳大利亞的顧問在會議上給我們的一個教訓。

還有幾個例子：-公司不會考慮云與前提環(huán)境的區(qū)別，Peek說：當一個實例只持續(xù)4分鐘的時候，如何保護動態(tài)計算環(huán)境？IT安全團隊必須評估其工具集?！叭绻惆阉斪饕粋€前提，那么它就像它的前提，而你不會從云中獲得你想要的靈活性和可伸縮性?！彼a充說，最大的誤解之一是在公共云中路由的性質(zhì)以及如何與前提環(huán)境聯(lián)系在一起。

吉列說：在公共云環(huán)境中，不要有長期訪問密鑰。確保第三方供應商和合作伙伴明白這一點?！拔覀冇幸粋€規(guī)則：如果你向我要我的訪問密鑰，我們就會去下一個提供者那里，允許我們使用臨時憑證?！彼?，這也是查看合作伙伴是否理解好的云安全策略的一個好方法。

Peek說：“可靠的訪問標識和訪問管理策略(IAM)對于云安全的成功至關重要?！毙枰撤N身份聯(lián)合和單點登錄功能。對于大多數(shù)應用程序來說，“最小特權原則比以往任何時候都更重要”。為什么？他看到攻擊者從非生產(chǎn)服務器獲得管理員訪問權限。

作為安全供應商Optiv的身份和訪問管理的戰(zhàn)略解決方案主管，IanCumming了解了關于IAM的大量信息……

身份和訪問管理一直是CISO戰(zhàn)略的重要組成部分，但不幸的是，對CISO的關注還不夠。

-確保IAM政策有明確的定義，吉列說，但是沒有必要重新發(fā)明輪子。如果您已經(jīng)有了密碼策略，請將其擴展到云。并確保您可以在任何地方使用自動化來將安全標準推入云端。不要花時間管理身份，而不是為客戶管理服務。

-更多關于身份管理的問題：當被問到他對多因素認證有什么看法時，Peek回答說：“每個人都應該擁有MFA?！被蛘呓妹舾?關鍵的API調(diào)用--記住，在云網(wǎng)絡中只有一個API調(diào)用--或者在網(wǎng)絡層強制執(zhí)行MFA。同時，根帳戶憑據(jù)“需要鎖在保險箱中”，需要兩個人來解鎖--當有人登錄到該帳戶時，會向高級管理員發(fā)送警報。

吉列說：數(shù)據(jù)是組織擁有的最重要的東西，所以云策略必須基于數(shù)據(jù)分類策略。它允許你排除那些永遠不能離開公司環(huán)境的事情?！拔覀儼l(fā)現(xiàn)很多組織沒有它，或者認為他們有它，沒有更新它，很多年了。使用它來決定您是否需要客戶端加密、服務器端加密，或者AWS是否管理這些密鑰。AWS和Azure提供的服務可以幫助開發(fā)數(shù)據(jù)分類。

-到處使用加密，Peek說?！皫缀鯖]有什么理由可以解釋為什么我們不需要加密所有的東西?！笔褂迷铺峁┥虂砉芾砻荑€將簡化監(jiān)督。

-如果使用AWS，則啟用CloudTrail進行審計，Peek說。在一次采訪中，他擴展了：創(chuàng)建一個中央“遵從”訂閱，并使用它來集中您平臺上的所有日志(包括CloudTrail)。在主帳戶中，創(chuàng)建服務控制策略(SCP)，禁用針對CloudTrail的API操作(例如關閉它)。CloudTrail將繼續(xù)登錄到您的法規(guī)訂閱。Internet安全中心的AWS基礎基準提供了一些您可以開始尋找的事件來創(chuàng)建可操作的警報。

吉列說：云計算領域的新公司應該從創(chuàng)建一個“優(yōu)秀的云安全中心”開始，這將使該組織能夠更快地轉(zhuǎn)向云計算?！罢业侥切?在你的組織中)不斷學習的人。不管你在哪個平臺上，這些人都會幫助你成功?！?/p>

“盡可能的自動化，”吉列說，因為人們會犯錯。不斷教育云團隊成員，建立一個‘不受責備的環(huán)境’，特別是如果你只是在采用云，“你必須給你的內(nèi)部團隊一個學習的機會，這就是云英才中心成為焦點的地方。”

這可能是顯而易見的，但不要讓你的第一款云應用成為“王冠上的寶石”，Peek說。企業(yè)戰(zhàn)略集團資深分析師DougCahill同意這樣的觀點：提出一個應用程序，你可以在早期成功并獲得動力。

最后，如果你開始你的旅程，不要從多個云提供商開始，Peek說。云硬，兩云硬?！安灰鰞杉胪径鴱U的事，完全做一件事，你就會在一個更好的地方?！?/p>