似乎几乎没有一周没有听说过云安全漏洞。 2021 年 4 月下旬,有几起事件,包括 Eversource Energy 事件、LogicGate 事件以及 Ubiquiti 1 月份被描述为“灾难性”事件的影响。
这些事件发生之际,研究员 Canalys 报告称“12 个月内泄露的记录数量超过了过去 15 年的总和”。 尽管网络安全投资在 2020 年增长了 10%,达到 530 亿美元,但该分析还是出现了。
一个可能的原因是,正如 Canalys 认为的那样,公司在安全方面的投资仍然不足。
为了支持这一说法,Facts & Factors 的一份研究报告预测,到 2026 年,全球云计算市场的价值预计将达到 1.026 美元,从 2019 年到 2026 年,年增长率为 18%。
大流行导致云计算的增长。 Gartner 的一项调查预测,公共云最终用户支出将在 2021 年增长 18%。Gartner 还预测,到 2024 年,超过 45% 的 IT 支出在系统基础设施、基础设施软件、应用软件和业务流程外包上的支出将从传统解决方案转移 到云端。
但在这种增长的同时,也出现了对安全的担忧。 2021 年初,云安全联盟和 AlgoSec 公布了对近 1,900 名 IT 和安全专业人士的投票结果。 调查发现,受访者最关心的问题是网络安全。
这些调查结果强调了对增长中的云安全的担忧。 以下是云安全的基础知识以及可能发生的情况。
云计算基础
云计算已有 20 多年的历史。 已知最早提及它是在 1996 年的康柏内部文件中。该术语在 2000 年代初期流行起来,谷歌当时的首席执行官埃里克施密特在 2006 年的一次会议上使用“云计算”作为描述符。但是,网络的概念 计算可以追溯到 1960 年代。 云计算的增长是惊人的。 据 IDG 称,截至 2018 年,约 73% 的组织表示他们至少有一个应用程序或部分计算基础设施在云端。
这种增长可能让人觉得企业对云的担忧已经平息,但事实并非如此。 为什么云安全仍然是一个问题? 原因之一是黑客攻击云的方式多种多样。 2020 年 Checkpoint 调查发现了 15 个云安全问题和威胁,包括恶意内部人员、数据丢失/泄漏和数据隐私/机密性。
正如我们所见,这些安全问题并没有限制拟议的云支出。 也许这归结为乐观情绪和行业在阻止黑客入侵方面的记录。
身份管理和云安全
在这样一个系统中,用户理论上可以在任何地方,云计算系统需要一个强大的身份管理框架。
例如,连锁超市 Whole Foods 使用 Azure Active Directory Premium。 在 12 周内,Whole Foods 为其所有 91,000 名员工推出了 Azure Active Directory Premium。 这些员工使用单点登录访问 30 多个软件即服务 (SaaS) 应用程序。
Whole Foods 之所以选择单点登录,是因为此前该公司的员工抱怨必须记住各种密码,而且 IT 投入了大量时间来处理密码重置等用户凭据问题。 (另请阅读:2020 年 3 种身份和访问管理趋势。)
关于密码,一个当务之急是永远不要重复使用密码并使用随机的字母和数字集合而不是单词或名称。 如果可能,请使用密码生成程序来执行此操作。
此外,具有管理角色的用户应启用多因素识别。 还必须审核任何自定义角色定义,以确保没有包含不必要的管理权限,这些权限可以通过默认角色分配。
Azure AD 身份保护团队不断分析数据以查找弱密码、泄露密码或常用密码。 一旦被发现,它们就会进入全球禁止的密码列表。
云安全的可见性和合规性
每个在云中开展业务的人都需要清点其在云中拥有的内容:服务器、云提供商服务、用户和负载均衡器等云工具。 理想情况下,云安全系统将使库存过程自动化。
标签也很重要。 标记数据及其敏感度级别。 这样的解决方案还应该分配特定数据类型可以驻留的位置。 存储 SaaS 应用程序时应考虑将公开暴露的数据以及可以访问这些数据的人员。 云访问安全代理 (CASB) 工具规定基于角色的数据访问,添加另一层或保护。
Azure 使用 Azure 安全中心的安全分数来监控用户的风险状况并不断改善他们的安全状况。 建议用户设置定期(通常每月一次)来查看他们的 Azure 分数并计划具有特定改进目标的计划。 微软还建议尽可能将活动游戏化,以增加负责团队的参与度和关注度。
云安全威胁检测
为了进行有效的云安全,检查活动需要自动且持续地检测任何恶意活动。 Microsoft 使用多种服务来检测威胁,包括 Azure Defender,它为你的 Azure 和混合资源和工作负载提供高级智能保护,以及 Azure Sentinel,一种可扩展的云原生安全信息事件管理 (SIEM) 和安全编排自动响应 (SOAR) 解决方案。
其它功能
暴露于公共互联网会带来风险,但这不再是必要的。 借助 Azure,你可以在虚拟网络中创建自己的专用链接服务并将其交付给客户。 然后,您的客户可以创建一个专用端点并将其映射到此服务。
特权身份管理 (PIM) 是 Azure Active Directory (Azure AD) 中的一项服务,使你能够管理、控制和监视对组织中重要资源的访问。 这些资源包括 Azure AD、Azure 和其他 Microsoft 在线服务(例如 Microsoft 365 或 Microsoft Intune)中的资源。
Azure 专用终结点是一个网络接口,可将你私密且安全地连接到由 Azure 专用链接提供支持的服务。 专用终结点使用 VNet 中的专用 IP 地址,有效地将服务引入 VNet。 该服务可以是 Azure 服务,例如 Azure 存储、Azure Cosmos DB、SQL 等,也可以是您自己的专用链接服务。
在 ESPC21 Online 上深入了解云安全
没有比直接向世界级社区领导者和 Microsoft Azure 产品团队成员学习 Azure 更好的方法了! ESPC21 Online 是一个独立的、市场领先的虚拟会议,您将在其中享受全天的教程和富有远见的主题演讲,以提高您的专业技能并激励自己达到新的水平。
与会者可以访问涵盖所有 Azure 的教程和会议,包括:
自动化 Azure。
微服务。
云治理。
Azure IaC。
蔚蓝弧。
蔚蓝防火墙。
蔚蓝突触。
宇宙数据库。
混合 Azure。
地形。
Azure 安全中心。
云采用框架。
不要忘记留意 Azure Week 博客上的其他 Azure 信息!
最后的想法
云计算安全是一项永无止境的承诺。 在这种情况下,最好的防御不是单一的软件,而是 40 多年来一直正面应对安全威胁的大型、精通技术的组织的承诺。 Microsoft 每年在安全方面投入超过 10 亿美元,以确保其合作伙伴的系统免受新威胁。 正如我们所见,此类新威胁一直在出现,因此最好的保护是忠诚合作伙伴的承诺。
