Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源 - 网络研讨会资源 - 报告资源 - 活动icons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅
  • Twitter
  • Facebook
  • LinkedIn

云安全:信息安全领导需要了解有关共担责任模型的 3 件事

云安全:信息安全领导者需要了解有关共担责任模型的 3 件事

无论您是刚刚踏上云之旅,还是您负责进行了数年的部署,都值得花时间确保您清楚了解云安全中哪些方面由您的云服务提供商负责,哪些领域由您的安全企业负责。

随着 2020 年接近尾声,全球范围的企业都被迫应对这一现实:今年稍早时为应对新冠肺炎疫情所做的快速转变可能延续到下一年。对某些企业而言,这可能意味着向云服务的加倍使用进行战略性转变,包括基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。

在当今的环境中,迁移到云的好处显而易见,为员工提供其工作所需远程工具和数据,这对企业的正常运转至关重要。今年初,Tenable 委托 Forrester 所执行的全球研究发现,将近三分之二的企业 (64%) 拥有远程/在家工作的员工。此研究还发现,416 位受访的安全主管管理的技术和服务组合十分复杂,包括公共云 (41%)、私有云 (45%) 和混合云 (39%)。 由于企业依然需要全职能的远程工作团队,我们预计,更多企业会在 2021 年及之后增加其云产品和服务。

无论您是刚刚踏上云之旅,还是您负责进行了数年的部署,都值得花时间确保您清楚了解云安全中哪些方面由您的云服务提供商负责,哪些领域由您的安全企业负责。信息技术种类如此繁多,答案可能会因您所部署的云技术而异。下面是根据云安全联盟的指导,针对三个主要云计算层可能拥有的共担责任模型的大致细分情况:

  • IaaS:在这一层中,云服务提供商 (CSP) 的安全负担包括虚拟化安全和基础设施安全。诸如数据安全、应用程序安全、中间件安全和主机安全等责任落在了 IaaS 客户的身上。简而言之:用户负责来宾操作系统以及其中的一切事务。
  • PaaS:在这一层中,CSP 的责任更为广泛,包括安全配置、管理、运营监控和基础设施的紧急响应;虚拟网络安全;平台层安全,例如操作系统和数据库的安全;以及应用程序系统的安全。PaaS 客户负责数据安全和应用程序安全。
  • SaaS:在这一层中,CSP 负责应用程序和底层组件的安全。SaaS 客户负责数据安全和端点设备保护。

下面来自 Microsoft 的例子说明了典型的共担责任模型:

云安全和共担责任模型

图像来源:https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

乍一看,共担责任模型看起来相当简单直观,不过安全专业人员需要为每个层中相当多的细微差别做好准备。例如,IaaS 部署模型的漏洞管理可能就相当困难并十分耗时。安全团队需要完整清单的虚拟私有云 (VPC) 和 Elastic Compute 2(EC2)映像管道才能着手。扫描产品和代理需要进行配置、安装和持续管理,才能使用更新。新漏洞检测可能延迟好几周。而且雪上加霜的是,安全专业人员负责处理因未知云帐户和瞬息万变的动态云环境所产生的大量盲点。

安全专业人员的另一个忧虑是,虽然了解存储基础设施的安全性是 CSP 的责任,但用户也会对其产生很大影响。无论是 S3 存储桶还是 EC2 示例的错误配置都是数据泄露的主要原因。

此外,共担责任的详细信息可能依 CSP 是 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 还是 Microsoft Azure 而定。除了 Cloud Security Alliance(云安全联盟)提供的指导,了解安全团队在共担责任模型中的角色的资源可以从 Center for Internet Security 获得。

云中的共担责任:网络安全领导者需要了解的 3 件事

IDG 的 2020 年云计算研究调查了 551 位 IT 决策者(ITDMs),报告显示绝大多数受访者 (81%) 已经在云中使用计算基础设施或应用程序,而另外 12% 计划在未来 12 个月采用基于云的应用程序。如果您是其中一员,下面是在共担责任模型中要记住的三件事情:

  1. 尽管从纸面上和表面上来看责任都一样,但其实一大部分责任、实施和攻击面防御仍要靠客户来完成。不要低估您投资在每个云部署上所需的时间和资源,包括任何必要的培训,让您的团队不掉队。
  2. 通过将继承的控制从云提供商转换到云,某些审核和合规性类别(控制系列)会变得更轻松。继承的控制可以包括补丁管理和配置管理,所带来成本节省非常可观。尽管您的信息安全团队应推动此项策略,但与企业中的其他重要团队合作非常重要,特别是治理、风险和合规性 (GRC) 和法律部门。内部审核团队在这方面尤其有帮助。根据 Deloitte 在 2018 年发表的一份报告指出:“尽管企业的信息安全团队可以建立云监控功能,但[内部审核团队] 可以帮助和评估控制环境的有效性,防止 IT 部门被排除在外。” 

  3. 在发生泄露事件时,不要将全部责任都推向云提供商应。即时碰巧发现云提供商有错误的情况,附带后果还是可能殃及客户,贵企业很可能成为集体诉讼的被告。在许多司法管辖区中,法律责任会落在数据拥有者身上(即使用云服务的企业)而非云服务提供商本身。简而言之,绝对不要自以为是。留意您在共担责任模型中的角色可以更好地保护您的数据安全;让您在法律诉讼中保护您的企业。

Forrester 预测,在 2021 年“云计算将赋予公司适应‘不稳定新常态’的能力”。现在该密切评估今年早些时候匆忙采用的所有云解决方案,并重新审视已经使用了一段时间的服务,确保您会履行共担责任模型下所有的安全义务。

了解详情:

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

免费试用 立即购买
Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

免费试用 联系销售人员

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。