云安全实践
云安全最佳实践全包括:理解和实施安全基本原理、遵守共同责任模型、数据加密和遵守适用法规。
- 了解提供商的安全模型
在使用云产品之前,SOC需要了解云提供商的安全模型。首先,供应商对类似概念使用不同的术语。例如,用户可能会使用AWS中的标签组织资产,但不能在谷歌云平台项目中使用,这会影响云安全策略的实施方式,因此了解术语有助于防止错误。
其次,从运营的角度来看,SOC需要了解哪些安全功能可用,以及这些功能的潜在值或局限性。 - 加密数据
大多数云提供商,尤其是较大的提供商,都提供对其创建的VM进行加密的功能。此加密功能通常是免费的或低成本可用。鉴于较低的财务和运营影响,使用此加密功能(如果默认情况下尚未打开)是一个明智的决定。 - 始终给程序打补丁
云用户主要负责保持工作负载的最新,在大多数情况下,这包括操作系统应用软件。正如需要适当修补和维护本地服务器一样,对云工作负载也要保持同样的警惕。虽然这听起来像是常识,但一致的修补可能比看起来更加困难。当云资源在不同组内或通过不同的操作过程进行管理时,情况尤其如此。 - 监控
关注任何基于云的资产都是常识。但是,监控功能可以位于组织内的不同部门中。此外,提供商还通过不同的接口提供各种监控机制。这些挑战需要规划和远见,以确保持续和高效的云监控。 - 管理访问
需要考虑多身份和访问管理(IAM)。首先,操作系统、应用程序和中间件。第二,在操作系统级别考虑特权访问。
请注意,云访问还包括控制台和其他功能,这些功能可提供有关云资源的信息或影响云资源的运行。因此,了解谁有权访问控制台以及出于何种目的至关重要。
6.云中的文档资产
在云中保护数据时,组织需要准确记录云中的资产以及这些资产的当前安全状况。许多工具使技术专业人员能够找到资源:真正的挑战是确切地找出需要记录哪些资源。
除了显而易见的情况,例如工作负载的运行位置,还需要查找以下资源:
身份和访问管理用户和管理员帐户特权;与云帐户关联的所有公共IP地址,如果任何IP地址已被劫持,请提供预警;资产与资源之间的关系,以发现潜在的攻击路径;密钥和关键特征,包括禁用密钥的时间阀值。7.测试、测试和再测试
一旦组织设置云环境,测试便是常态。大型且不断增长的工具库可用于使组织能够对环境进行渗透测试、错误配置测试和各种形式的漏洞测试,有些工具可以搜索密钥和密码。总之,攻击者将针对组织使用的所有工具、技术和程序都可用于加强云环境。
8.创造现场安全培训机会
"实弹射击训练"已成为消防部门的主要科目。现场消防训练是指购买建筑物,装备它完全像一个典型的住宅或办公室,然后放火,并派遣消防员来控制火灾的做法。因此,消防员可以深入了解火灾在不同条件下的行为,并了解自己在火灾现场压力下的弱点和趋势。
云环境现场培训相当于实弹射击训练,是云环境和云应用的套件。这些工具包含错误配置和漏洞,可以快速轻松地设置,以培训云工程师如何检测和补救常见的配置缺陷和安全漏洞。这种环境应成为组织培训计划的一部分。使用游戏化,并奖励那些最快速、最有效地发现漏洞的网络安全专家。
9.随时了解新出现的威胁
组织需要跟踪新出现的威胁,包括复杂的跨国攻击,这些攻击越来越多地使用云服务。这样做的好方法是通过Mitre ATT&CK框架,该框架跟踪威胁,并将攻击分解为技术和战术,如凭据访问、特权升级、发现等。ATT&CK 框架还提供补救建议和对攻击者行为和活动的最新见解。其他保持知情的方法包括订阅来自供应商和第三方组织的威胁情报源,以及参与其他网络安全组织。
