云安全:信息安全领导者需要了解有关共担责任模型的 3 件事
无论您是刚刚踏上云之旅,还是您负责进行了数年的部署,都值得花时间确保您清楚了解云安全中哪些方面由您的云服务提供商负责,哪些领域由您的安全企业负责。
随着 2020 年接近尾声,全球范围的企业都被迫应对这一现实:今年稍早时为应对新冠肺炎疫情所做的快速转变可能延续到下一年。对某些企业而言,这可能意味着向云服务的加倍使用进行战略性转变,包括基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。
在当今的环境中,迁移到云的好处显而易见,为员工提供其工作所需远程工具和数据,这对企业的正常运转至关重要。今年初,Tenable 委托 Forrester 所执行的全球研究发现,将近三分之二的企业 (64%) 拥有远程/在家工作的员工。此研究还发现,416 位受访的安全主管管理的技术和服务组合十分复杂,包括公共云 (41%)、私有云 (45%) 和混合云 (39%)。 由于企业依然需要全职能的远程工作团队,我们预计,更多企业会在 2021 年及之后增加其云产品和服务。
无论您是刚刚踏上云之旅,还是您负责进行了数年的部署,都值得花时间确保您清楚了解云安全中哪些方面由您的云服务提供商负责,哪些领域由您的安全企业负责。信息技术种类如此繁多,答案可能会因您所部署的云技术而异。下面是根据云安全联盟的指导,针对三个主要云计算层可能拥有的共担责任模型的大致细分情况:
- IaaS:在这一层中,云服务提供商 (CSP) 的安全负担包括虚拟化安全和基础设施安全。诸如数据安全、应用程序安全、中间件安全和主机安全等责任落在了 IaaS 客户的身上。简而言之:用户负责来宾操作系统以及其中的一切事务。
- PaaS:在这一层中,CSP 的责任更为广泛,包括安全配置、管理、运营监控和基础设施的紧急响应;虚拟网络安全;平台层安全,例如操作系统和数据库的安全;以及应用程序系统的安全。PaaS 客户负责数据安全和应用程序安全。
- SaaS:在这一层中,CSP 负责应用程序和底层组件的安全。SaaS 客户负责数据安全和端点设备保护。
下面来自 Microsoft 的例子说明了典型的共担责任模型:
图像来源:https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility
乍一看,共担责任模型看起来相当简单直观,不过安全专业人员需要为每个层中相当多的细微差别做好准备。例如,IaaS 部署模型的漏洞管理可能就相当困难并十分耗时。安全团队需要完整清单的虚拟私有云 (VPC) 和 Elastic Compute 2(EC2)映像管道才能着手。扫描产品和代理需要进行配置、安装和持续管理,才能使用更新。新漏洞检测可能延迟好几周。而且雪上加霜的是,安全专业人员负责处理因未知云帐户和瞬息万变的动态云环境所产生的大量盲点。
安全专业人员的另一个忧虑是,虽然了解存储基础设施的安全性是 CSP 的责任,但用户也会对其产生很大影响。无论是 S3 存储桶还是 EC2 示例的错误配置都是数据泄露的主要原因。
此外,共担责任的详细信息可能依 CSP 是 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 还是 Microsoft Azure 而定。除了 Cloud Security Alliance(云安全联盟)提供的指导,了解安全团队在共担责任模型中的角色的资源可以从 Center for Internet Security 获得。
云中的共担责任:网络安全领导者需要了解的 3 件事
IDG 的 2020 年云计算研究调查了 551 位 IT 决策者(ITDMs),报告显示绝大多数受访者 (81%) 已经在云中使用计算基础设施或应用程序,而另外 12% 计划在未来 12 个月采用基于云的应用程序。如果您是其中一员,下面是在共担责任模型中要记住的三件事情:
- 尽管从纸面上和表面上来看责任都一样,但其实一大部分责任、实施和攻击面防御仍要靠客户来完成。不要低估您投资在每个云部署上所需的时间和资源,包括任何必要的培训,让您的团队不掉队。
- 通过将继承的控制从云提供商转换到云,某些审核和合规性类别(控制系列)会变得更轻松。继承的控制可以包括补丁管理和配置管理,所带来成本节省非常可观。尽管您的信息安全团队应推动此项策略,但与企业中的其他重要团队合作非常重要,特别是治理、风险和合规性 (GRC) 和法律部门。内部审核团队在这方面尤其有帮助。根据 Deloitte 在 2018 年发表的一份报告指出:“尽管企业的信息安全团队可以建立云监控功能,但[内部审核团队] 可以帮助和评估控制环境的有效性,防止 IT 部门被排除在外。”
- 在发生泄露事件时,不要将全部责任都推向云提供商应。即时碰巧发现云提供商有错误的情况,附带后果还是可能殃及客户,贵企业很可能成为集体诉讼的被告。在许多司法管辖区中,法律责任会落在数据拥有者身上(即使用云服务的企业)而非云服务提供商本身。简而言之,绝对不要自以为是。留意您在共担责任模型中的角色可以更好地保护您的数据安全;让您在法律诉讼中保护您的企业。
Forrester 预测,在 2021 年“云计算将赋予公司适应‘不稳定新常态’的能力”。现在该密切评估今年早些时候匆忙采用的所有云解决方案,并重新审视已经使用了一段时间的服务,确保您会履行共担责任模型下所有的安全义务。
了解详情:
- 参加网络研讨会:EC2 资产的无障碍评估
- 下载解决方案概要:AWS 资产的无障碍评估
相关文章
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
FlowFixation: AWS Apache Airflow Service Takeover Vulnerability and Why Neglecting Guardrails Puts Major CSPs at Risk
March 21, 2024Tenable Research discovered a one-click account takeover vulnerability in the AWS Managed Workflows Apache Airflow service that could have allowed full takeover of a victim’s web management panel of the Airflow instance. The discovery of this now-resolved vulnerability reveals a broader problem of misconfigured shared-parent domains that puts customers of major CSPs at risk.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Cloud
- Tenable.io
- Vulnerability Management
- Vulnerability Scanning