确保 IaaS 和 PaaS 安全必须做好的 5 件事

随着越来越多的组织采用基础设施即服务 (IaaS) 和平台即服务 (PaaS)，网络安全格局正在迅速变化。我们正在目睹一种不可避免的转变，特别是因为最近的社交距离规则导致大量员工在家和其他偏远地区工作。

然而，这并不是一个渐进的过渡，许多企业还没有准备好应对切换到云服务和平台可能带来的安全挑战。

根据 Gartner 最近的一份报告，组织在使用 IaaS 和 PaaS 时需要关注 5 个关键领域，以确保其敏感数据的安全，如下所列。

1. 实施云原生控制以保持对敏感数据的最低权限访问
2. 使用客户控制的密钥加密所有静态数据
3. 使用零信任网络访问和微分段来降低风险并遏制违规行为
4. 使用 CSPM 工具持续扫描安全且合规的云配置
5. 使用企业 SIEM 和云原生威胁检测工具记录和分析所有内容

实施云原生控制以保持对敏感数据的最低权限访问

客户有责任设置适当的访问控制来限制对敏感数据的访问。

访问云中的敏感数据时，应始终使用多重身份验证 (MFA) 和 API 调用的限时访问令牌。

考虑使用硬件 MFA 令牌，并记住将它们存储在安全的位置，并制定强有力的策略，以防止它们落入坏人之手。

无论使用基于角色的访问控制（RBAC）还是基于属性的访问控制（ABAC）模型，都应该基于最小权限原则（PoLP）进行分配，以确保用户被授予最少的权限他们需要发挥自己的作用。

如今，粒度 RBAC 模型因其简单性和灵活性而成为首选模型。

应创建角色以满足特定的工作职能，并且在可能的情况下，应在有时间限制的基础上将用户分配给这些角色，以确保当权限不再相关时被撤销。这也适用于需要通过 API 端点访问敏感数据的任何硬件设备或服务。

为了限制攻击者获得管理员帐户的访问权限可能造成的损害；最好设置多个管理员帐户，并将每个帐户分配给特定的角色。访问控制需要定期审查并进行相应调整。这可以使用本机工具来完成，例如 AWS Control Tower、AWS Access Advisor 或 Azure Advisor。或者，如果您愿意，也可以使用专用的权限访问管理 (PAM) 解决方案。

无论哪种方式，您都需要清晰的审计跟踪，记录所有访问请求，包括授予批准的过程。

使用客户控制的密钥加密所有静态数据

传统的本地架构拥有自己的专用且值得信赖的基础设施，使我们能够以最小的风险存储未加密的数据。然而，当使用理论上可以被公众访问的共享基础设施时，未加密的数据更容易受到攻击。数据在静态和传输过程中都进行加密至关重要。

确保我们的加密方法在所有平台和资源上保持一致并不是一件容易的事，因为它需要不断轮换和撤销加密密钥。首先，您需要确保您对加密密钥具有完全控制权。

确保利用服务提供商提供的密钥管理解决方案，例如 AWS Key Management Service (KMS) 和 Azure Key Vault。

良好的密钥管理策略应确保对加密密钥的访问受到严格控制，并且对谁有权访问密钥、何时以及多长时间进行完整的审计跟踪。密钥需要定期轮换，以防止对加密数据的持续访问，从而防止密钥落入坏人之手。

使用零信任网络访问和微分段来降低风险并遏制违规行为

大多数数据泄露都是由于滥用特权凭据造成的。然而，尽管如此，大多数网络由于其固有的地位，会自动信任特权用户帐户。零信任安全模型的原则是“从不信任，始终验证”。

另一方面，微分段是将网络分解为安全的隔离区域。

零信任和微分段结合使用可以帮助消除服务器到服务器的威胁并减少网络的攻击面。

随着越来越多的公司采用自带设备 (BYOD)，或者至少允许员工远程工作，网络活动被推向边缘，从而使跟踪不断增长的设备、应用程序和设备数量变得更加困难。用于访问敏感数据的端点。

因此，许多组织强制使用虚拟专用网络 (VPN) 在端点和包含敏感数据的服务器之间提供加密的通信通道。
在零信任模型下，身份验证过程将考虑其他因素，例如请求设备的位置、类型和安全配置文件。如果访问请求在某种程度上看起来可疑，或者用户尝试访问不应访问的资源，则会触发事件，其中可能包括向管理员发送警报，或要求用户重新进行身份验证。

使用 CSPM 工具持续扫描安全且合规的云配置

使用云安全态势管理 (CSPM) 工具持续监控配置错误的云基础设施，例如向公众公开的存储容器 - 这是 Amazon S3 存储桶的常见问题。

一旦检测到，就需要执行某种形式的响应。这可能包括向管理员发送警报，这将提示他们启动调查，和/或执行自定义脚本来撤销访问权限、删除安全组或采取其他一些措施来防止攻击在攻击期间蔓延。修复过程。

使用企业 SIEM 和云原生威胁检测工具记录和分析所有内容

大多数云平台提供的工具可让您检查事件日志是否存在可疑活动。一些更复杂的变更审核解决方案使用机器学习算法来学习典型的行为模式，这可以用作检测潜在恶意事件的基线。

如果您需要比本机审计解决方案提供更多的可见性，您可能需要考虑使用第三方 SIEM/UBA 解决方案。使用专用第三方审核解决方案的主要优点之一是它们可以聚合和关联来自多个云平台（包括您的本地基础设施）的事件数据，这意味着您可以通过单个直观的控制台查看所有更改。

第三方解决方案往往提供本机工具所不具备的其他功能，例如自动非活动用户帐户管理、自动密码轮换和高级阈值警报。此外，他们通常提供更复杂、更可定制的报告，并且通常提供涵盖与每个行业相关的数据保护法的模板。

本质上，您需要确切地知道谁在访问哪些数据、何时、如何以及持续多长时间。这还必须包括 API 调用以及服务帐户发出的访问请求。

如果您想了解 Lepide 数据安全平台如何帮助您改进云中的数据保护，请立即与我们的一位工程师安排演示。