本文讨论如下问题:
1. 云安全和传统安全有什么区别
2. 云安全的挑战及应对
3. 如何衡量云安全水平
4. 如何构建有效的云安全团队
5. 公有云与私有云安全的区别
6. 云安全实践
7. 云安全专家认证
8. 云安全发展趋势
Gartner数据显示2021年全球公有云支出预计将增长18.4%,达到3049亿美元,高于2020年的2575亿美元。
新冠疫情使转向云的IT支出比例加快,预计到2024年,云将占全球企业IT支出市场总量的14.2%,高于2020年的9.1%。
SaaS仍然是最大的细分市场,预计到2021年将增长到1177亿美元,PaaS预计将以26.6%的较高利润率增长。
Gartner全球公有云服务最终用户支出预测(单位:百万美元)
2019 | 2020 | 2021 | 2022 | |
云业务流程服务 (BPaaS) | 45,212 | 44,741 | 47,521 | 50,336 |
云应用基础设施服务 (PaaS) | 37,512 | 43,823 | 55,486 | 68,964 |
云应用服务(SaaS) | 102,064 | 101,480 | 117,773 | 138,261 |
云管理和安全服务 | 12,836 | 14,880 | 17,001 | 19,934 |
云系统基础设施服务 (IaaS) | 44,457 | 51,421 | 65,264 | 82,225 |
桌面服务(DaaS) | 616 | 1,204 | 1,945 | 2,542 |
总市场 | 242,696 | 257,549 | 304,990 | 362,263 |
BPaaS=业务流程即服务;IaaS=基础架构即服务;PaaS=平台即服务;SaaS = 软件即服务注意事项:由于四舍五入,总计可能有出入。
随着云的深度使用,云安全越来越重要!
根据McAfee的调查,大多数组织都信任公有云能保护敏感数据。但是,云服务提供商不会处理影响云安全的各个方面。因此,使用云的组织正计划将平均27%的安全预算投入到云安全中,并计划随着时间的推移而增加。
一、云安全和传统安全的区别
云安全和传统安全的最大区别是责任范围,传统安全用户100%为自己的安全负责,云安全则由用户和云供应商共担责任,共同责任模型是云安全的典型特征。
共同责任模型概述了由云服务提供商或用户处理的安全要素。责任范围因客户使用云的服务而异。这些服务包括软件即服务(SaaS)、平台即服务(PaaS)和基础架构即服务(IaaS)。
根据组织使用的云服务提供商,职责分工将有所不同。
SaaS:如果组织只使用SaaS应用,则担心的云安全问题最少。云服务提供商负责包含应用和基础设施。组织必须保护和管理它们放入云中的数据。此外,组织还应管理哪些员工正在使用应用以及如何使用。
PaaS:使用PaaS服务的组织必须确保与SaaS产品相同的元素,以及应用程序部署和管理。云服务提供商负责保护运行这些服务的基础设施和操作系统的安全。
IaaS:组织能更多的控制IaaS服务的云环境;但是,这意味着更多的云安全责任。除了类似SaaS的责任外,组织还负责OS安全,并配置保护基础设施的安全软件或防火墙等服务。
云的所有收益,敏捷、提升效率、弹性,都伴随着一个重大挑战--安全性。安全和其他因素是相辅相成的关系,如果安全出现问题,则所有的收益都会变成零,甚至给企业带来严重损失。
云使安全问题进一步复杂化,传统的安全控制通常不能满足云安全需求。许多组织无法理清与云服务提供商(CSP)责任边界,从而使其面临许多漏洞。云的扩展性也增加了潜在攻击面。
为了帮助公司了解他们面临的云挑战,云安全联盟(CSA)整理了一份11项最常见的云安全挑战:
1.数据泄露
2.配置错误和变更控制不足
3.缺乏云安全架构和策略
4.身份、凭据、访问和关键管理不足
5.帐户劫持
6.内部威胁
7.不安全的接口和API
8.弱控制平面
9.元结构和应用列表失败
10.有限的可视化
11.滥用云服务
1.数据泄露
数据泄露是CSP及其客户的共同责任,也是主要的云安全威胁。数据泄露可能会使公司屈服,对其声誉造成不可逆转的损害,造成的财务困境,法律责任,事故响应成本以及市场价值下降。
CSA建议如下:
定义数据价值及其损失的影响;
通过加密保护数据;
有一个完善的,经过充分测试的事件响应计划。
CSA云管控矩阵(CCM)规范包括以下内容:
执行数据输入和输出完整性程序;
将最低特权原则应用于访问控制;
制定安全数据删除和处置的政策和流程。
2.配置错误和变更控制不足
当资产配置错误时,容易受到攻击。除了不安全的存储之外,过多的权限和使用默认凭据也是漏洞的另外两个主要来源。
与此相关的是,无效的变更控制可能导致云配置错误。在按需实时云环境中,应自动进行变更控制,以支持快速变更。
CSA建议如下:
特别注意通过互联网访问的数据;
定义数据的业务价值及其损失的影响;
创建并维护强大的事件响应计划。
CCM规范包括:
确保外部合作伙伴遵守内部开发人员使用的变更管理、发布和测试程序;
定期进行风险评估;
与承包商、第三方用户和员工一起进行安全意识培训。
3.缺乏云安全架构和策略
太多的组织在没有适当的架构和策略的情况下使用云。在使用云之前,用户必须了解面临的威胁、如何安全迁移到云以共同责任模型。
如果没有适当的规划,用户将容易受到网络攻击,这些攻击可能导致财务损失、声誉损害以及法律和合规问题。
CSA 建议如下:
确保安全架构与业务目标和目标一致;
制定和实施安全架构框架;
实施连续的安全监控流程。
CCM规范包括:
确保风险评估策略,包括流程、标准和控制以保持相关性;
根据商定的服务级别和容量级别、IT治理以及服务管理策略和流程,设计、开发和部署业务应用程序,及API设计和配置,网络和系统组件;
限制和监控网络环境中受信任和不信任的连接之间的流量。
4. 身份、凭据、访问权限和关键管理不足
大多数云安全威胁(以及一般的网络安全威胁)可能与身份和访问管理(IAM)问题相关联。根据CSA指南,这源于以下问题:
不适当的凭据保护;
缺少自动加密密钥、密码和证书;
IAM可扩展性挑战;
缺少多因素身份验证;
弱密码。
通过管理配置、僵尸帐户、过度帐户、绕过IAM控件以及定义角色和权限,进一步进行跟踪、监控和管理所需云帐户的总数。
作为客户责任,CSA 建议如下:
使用双重身份验证;
对云用户和身份实施严格的IAM控制;
密钥,删除未使用的凭据和访问权限,并采用中心、程序化密钥管理。
CCM规范包括:
确定关键管理人并制定和维护关键管理政策;
分配、记录和传达履行解雇或程序变更的职责和职责;
及时取消用户对数据和网络组件的访问。
5. 帐户劫持
云帐户劫持是云帐户的披露、意外泄漏、暴露或其他对云环境的操作、管理。这些高度特权和敏感的帐户如果被破坏,可能会造成巨大的后果。
从网络钓鱼、凭据填充、弱密码或被盗凭据到不当编码,帐户泄露可能导致数据泄露和服务中断。
作为CSP和用户的责任,CSA建议如下:
记住,帐户劫持不仅仅是一个密码重置;
使用深度防御和IAM 控制。
CCM规范包括:
制定、记录和采用统一的业务连续性计划;
将生产和非生产环境分开;
维护并定期更新合规联络,为需要快速参与执法调查做准备。
6. 内部威胁
与员工和其他在组织网络内工作的人相关的风险不仅限于云。无论是疏忽还是故意,内部人员(包括现任和前任员工、承包商和合作伙伴)都可能导致数据丢失、系统停机、客户信心下降和数据泄露。
必须解决客户的责任、涉及泄露或被盗数据的内部威胁、凭据问题、人为错误和云配置错误。
CSA 建议如下:
开展安全意识培训;
修复配置错误的云服务器;
限制对关键系统的访问。
CCM 规范包括:
在搬迁或传输硬件、软件或数据之前需要授权;
授权和重新验证用户访问控制,并计划间隔;
从其他租户分割多租户应用程序、基础设施和网络。
7. 不安全的接口和 API
用户通过 CSP UI 和 API 与云服务进行交互,是云环境中最暴露的组件之一。任何云服务的安全性都始于这些服务的维护程度,并且是客户和 CSP 的责任。
必须确保安全集成,客户必须努力管理、监控。CSA 建议如下:
良好的 API 习惯;
避免 API 密钥重复使用;
使用标准和开放的API框架。
CCM 规范包括:
按照行业领先标准设计、开发、部署和测试 API,并遵守适用的法律、法规和监管义务;
隔离和限制对与组织信息系统交互的审计工具的访问,以防止数据披露和篡改;
限制能够覆盖系统、对象、网络、VM 和应用程序控制的实用程序。
8. 控制平面弱
云控制平面是收集组织使用的云管理控制台和接口,是用的责任。根据CSA的数据,它还包括数据复制、迁移和存储。被破坏的控制平面可能导致数据丢失、监管罚款和其他后果,以及品牌声誉受损,可能导致收入损失。
CSA 建议如下:
需要从 CSP 获得足够的控制;
尽职调查以确定潜在的云服务是否有足够的控制平面。
CCM 规范包括:
建立和制定信息安全政策和程序,供内部人员和外部业务关系审查;
实施和运用防御深入措施,及时发现和应对网络攻击;
制定策略来标记、处理和安全包含数据的数据和对象。
9. 元结构和应用列表失败
CSA 定义的元结构是"提供基础设施层和其他层之间接口的协议和机制",换句话说,"连接技术并实现管理和配置的胶水"。
也被称为水线,元结构是CSP和客户之间的分界线。这里存在许多安全威胁,例如,CSA 列举了 CSP 执行不良的 API 或客户使用不当的云应用。此类安全挑战可能导致服务中断和配置错误,并造成财务和数据损失后果。
应用列表的定义是"部署在云中的应用程序和用于构建它们的基础应用程序服务(例如,PaaS 功能,如消息队列、AI 分析或通知服务)。
报告的新威胁是客户和 CSP 的责任。CSA 建议如下:
CSP 提供可见性和暴露缓解措施,以抵消租户缺乏透明度;
CSP 进行渗透测试,向客户提供调查结果;
客户在云原生设计中实现功能和控制。
CCM 规范包括:
制定和维护审计计划,以解决业务流程中断问题;
实施加密,以保护存储、使用和传输中的数据;
制定存储和管理身份信息的政策和程序。
10. 有限的可视化
云可视化长期以来一直是企业管理员关注的问题,有限的可视化会导致两个关键挑战:
未经批准的应用使用;
批准的应用未按预期使用,包括授权使用该应用程序的用户,以及通过 SQL 注入或 DNS 攻击获得的被盗凭据访问的未经授权的个人。
CSA说,这种有限的可见性导致缺乏治理、意识和安全性,所有这些都可能导致网络攻击、数据丢失和泄露。
CSA 建议如下:
从上到下开发云可视化;
强制和执行全公司范围内对可接受的云使用策略的培训;
要求所有未经批准的云服务由云安全架构师或第三方风险管理机构审核和批准。
CCM 规范包括:
定期进行风险评估;
使所有人员了解其合规和安全职责;
进行清点、记录和维护数据流。
11. 滥用云服务
云可以被恶意使用,对合法的 SaaS、PaaS 和 IaaS 产品的邪恶使用都会影响个人、云用户和 CSP。用户容易受到以下云服务的滥用:
分布式拒绝服务攻击
网络钓鱼
加密
单击欺诈
蛮力攻击
托管恶意或盗版内容
泄露和滥用的云服务可能导致费用发生,例如,恶意挖矿或攻击者付款,客户在不知不觉中托管恶意软件,数据丢失等。
CSA 建议 CSP 努力通过事件响应框架检测和减轻此类攻击。CSP 还应提供其客户可用于监控云工作负载和应用程序的工具和控制。
作为客户和 CSP 的责任,CSA 建议如下:
监控员工云的使用;
使用云数据丢失预防技术。
CCM 规范包括:
采取技术措施管理移动设备风险:
确定企业和用户拥有的终端(包括工作站、笔记本电脑和移动设备)的限额和使用权限
创建并维护已批准的应用程序和应用程序商店列表。
三、如何衡量云安全水平
云安全的衡量可以分为五个要素,分别是安全架构、合规性、实施尽职调查、监控网络以及包含可靠的身份验证协议。
1.安全架构
组织应了解其云服务的安全局限性。这包括提供商提供的内容以及组织负责的内容。例如,如果企业选择提供"基础服务"(IaaS)云的服务提供商,则预计该企业将处理设置的大部分安全性。
这是因为企业负责软件,自己处理大多数安全配置。虽然有更多的工作量,但它也使组织能够更直接地控制其安全设置方式。
另一方面,如果云服务提供商负责云服务软件(SaaS),则提供商将强制执行应用程序和数据安全。对于组织来说工作量少,对云安全的控制也较少。
总体而言,组织需要了解云安全架构的要素,以了解安全覆盖方面的潜在差距、它们的责任以及如何确保云计算中的薄弱环节。
企业可能需要实施的项目包括虚拟防火墙和入侵检测系统以及入侵预防系统 (IDS/IPS)。
2.云安全合规
许多国家正在实施数据隐私法规,并对未能充分保护用户数据的公司处以罚款。例如,欧盟的《通用数据保护条例》(GDPR)对违规行为处以巨额罚款。定期研究法规是组织的优先事项。
以下是安全方面经常参考的一些国际、国内和行业标准:
ISO27001 信息安全管理体系
ISO20000 IT服务管理体系
ISO 22301 业务连续性管理
ISO 27017 云计算信息安全
ISO 27018 公有云个人信息安全防护
ITSS 工信部云计算服务能力评估
网络安全等级保护
可信云服务认证
PCI DSS认证(支付卡行业数据安全)
3.实践尽职调查
企业应不断分析和审查其合规性。此外,还应评估当前的安全措施,并注意最新的安全漏洞。黑客不断发现新的入境点。企业必须继续接受这些新违规事件的教训,直面潜在的攻击。
4.监控和可视化
性能管理工具是监控云网络健康状况的又一关键步骤。网络性能管理(NPM)工具发现影响网络的问题,如流量瓶颈和可疑活动,并提醒IT专业人员注意这些问题。
5.认证
企业应实施集中登录管理系统、云访问安全代理(CASB)、加密、加密密钥管理和两步认证。所有这些工具都增加了阻止黑客渗透敏感数据的障碍。
四、如何构建有效的云安全团队
随着越来越多的组织将关键工作负载和数据部署到云中,越来越多的攻击集中在这些环境中。
几个不同的挑战可能会使云事件检测和响应变得困难,包括:
缺乏云技术技能:许多安全运营分析师和事件响应者没有时间和能力了解云环境和技术。
供应商不兼容:某些常用的安全操作工具和服务在云服务提供商环境中可能功能较差或不兼容。
缺乏云可视化:许多组织对其云部署中的当前资产和运营缺乏深入的洞察力和反省,使安全操作更具挑战性。
临时工作量:云中的许多工作负载(如容器)只存在很短的时间,使响应和分析变得困难或不可能。
安全运营中心(SOC)团队必须适应云环境。当云在组织中开始变得更加普遍时,某些治理会自然发生。云安全运营中心还需要与风险团队协调,以了解哪些云环境正在使用中,哪些环境计划用于未来。如果云SOC团队不知道资产运行在哪里或使用什么应用程序,则无法识别攻击或事件。
云安全运营中心团队还必须与IT的各个领域合作。组织不再将所有内容划分在单个数据中心或一组数据中心中。SOC团队需要与云工程团队(如果组织有)合作,以更好地了解组织正在与之合作的云提供商以及部署的具体服务和资产。云SOC团队应利用这些信息优化自己的活动并与DevOps团队集成。
有效的云安全运营中心团队操作
云安全运营中心团队应提前执行以下操作:
建立单独的云帐户或完全在其控制下的订阅。
创建最少的特权帐户,以便在需要时在云中执行特定操作,并定义帐户角色(理想情况下用于跨帐户访问)。
对所有帐户实施多因素身份验证。
启用一次写入存储日志和证据,这是最佳做法,即使证据目前没有存储在云中。例如,在 AWS 中,可以使用S3 存储桶版本进行安全保留和恢复。
云安全操作中心记录最佳实践
组织应启用任何主要IaaS云的日志记录和事件聚合。核心记录架构涉及三个不同的功能:
启用核心API记录:其中包括AWS的云跟踪、Azure的活动日志以及Google云平台(GCP)的操作。
集成日志摄入和处理服务:某些服务可以直接从存储中引导日志。大多数云记录最好通过将日志传递到连接和摄录的中间服务中来完成,例如亚马逊云观察、Azure 监视器或 GCP云记录。
导出用于处理或与其他服务集成的日志:一旦日志被处理并传递给其他服务,请选择最合适的连接模型。对于云中日志处理和响应,这通常通过事件处理和与无服务器和其他工具的集成来处理。
当然,每个云提供商都有自己的特定选项和差异。Azure用户可以直接从Azure监视器集成到微软原生的SIEM工具。AWS用户可以集成来自领先提供商(如Splunk和其他SIEM工具)的第三方连接器应用,以便从 CloudTrail S3 存储桶中摄取,或流式传输到 Kinesis 等服务中以进行摄取。
五、公有云与私有云安全的区别
无论企业的基础设施是私有云、公有云还是混合云中,网络安全都是一个关键组成部分。虽然某些云架构大大简化了安全任务和工具集成,但它往往以不灵活为代价。
公有云安全
组织可以使用第三方云服务提供商(CSP)来管理其数据中心基础设施内的应用程序和数据。许多CSP还提供内置的安全工具,以帮助保护业务关键数据。
公有云安全优势
由于各种原因,企业被公有云基础设施所吸引,包括资本支出低、服务可扩展性和减轻内部 IT 员工的管理工作量。公有云基础设施安全优势包括:
减轻负载:大型CSP通常大量投资于高端网络安全工具,以及在其领域知识渊博的员工。这使得将网络安全工具和任务从内部卸载到第三方具有高度吸引力。
解决网络安全技能差距问题:CSP的能力减少了雇佣昂贵且稀缺的信息安全人才的需求。
公有云安全缺点
一些企业,尤其是拥有大量IT基础设施的大型企业,可能会发现公有云安全不适合。潜在的公有云安全挑战包括:
CSP安全性未达到标准:在某些情况下,CSP的网络安全工具、流程和方法不足以保护高度敏感的数据。
能见度不足:较大的组织通常需要能够获取和分析日志、警报和其他数据,直至数据包级别。对于许多CSP,尤其SaaS,客户无法访问这些安全信息。这是因为大多数基础技术都是抽象的,目的是从客户的角度简化管理。
私有云安全
顾名思义,私有云允许企业访问云中的专用基础设施资源。与公有云一样,既有利也有弊。
私有云安全优势
私有云对寻求对基础基础设施进行更精细控制的组织很有吸引力。这通常包括客户配置访问网络、OS和服务器虚拟化平台。从安全角度来看,私有云的优势包括:
更好的控制:内部管理员在实施和访问安全工具方面具有更大的灵活性。
完全可见性:通过私有云,该业务可对其网络安全态势获得全面控制和可见性,并可以根据其特定需求对其进行自定义。
私有云安全缺点
私有云与公有云安全之间的差异正在变得明显,尤其是在控制方面。然而,私有云的灵活性在定价和管理两个方面都付出了代价。
财务成本:运营私有云通常比公有云更昂贵。企业为精细化云控制和可见性支付额外费用。
管理成本:设计和维护私有云中的网络安全工具大大增加了管理责任。
出于这两个原因,至关重要的是,IT决策者必须仔细权衡私有云的网络安全优势与增加的财务支出和间接管理费用。
混合云安全性
另外,有在混合云环境中运营的组织。这是一些业务应用程序和数据位于公有云中,而其他则在私有云或私有数据中心内。
混合云安全优势
与混合云,整体可能大于其部分的总和。混合云基础架构的安全优势包括:
两全其美:混合云企业架构结合了公有云和私有云的最佳功能,可以提供最大的安全性。
灵活性:混合模型使IT管理员有权决定应用程序和数据将位于何处,例如云或企业数据中心。
混合云安全挑战
与私有云一样,混合云基础架构的灵活性也有其缺点。例如,关于应用程序和数据所在位置的决定是一项重大责任,需要进行大量评审。组织应考虑混合云模型的以下潜在缺点:
策略执行面临挑战:网络安全政策可能变得难以复制,并扩展到公有云和私有云以及本地数据中心。在某些云架构(如SaaS)中,可能无法复制在公司基础架构的安全策略。
安全不一致:由于测了执行问题,某些应用程序和数据可能不如其他应用程序和数据安全。
需要更多的技能:安全管理员必须处理不同的方法和工具,根据脆弱资源所在的位置监控和执行威胁。
如何确定最佳云安全架构
在云计算和云安全方面,没有一种架构适合所有业务。IT架构师必须衡量所有业务应用程序和数据集的网络安全需求。一旦定义,技术服务可以分类并指定部署在公有云或私有云中,无论从成本还是网络安全的角度来看,这些都最有意义。
六、云安全实践
云安全最佳实践全包括:理解和实施安全基本原理、遵守共同责任模型、数据加密和遵守适用法规。
1. 了解提供商的安全模型
在使用云产品之前,SOC需要了解云提供商的安全模型。首先,供应商对类似概念使用不同的术语。例如,用户可能会使用AWS中的标签组织资产,但不能在谷歌云平台项目中使用,这会影响云安全策略的实施方式,因此了解术语有助于防止错误。
其次,从运营的角度来看,SOC需要了解哪些安全功能可用,以及这些功能的潜在值或局限性。
2. 加密数据
大多数云提供商,尤其是较大的提供商,都提供对其创建的VM进行加密的功能。此加密功能通常是免费的或低成本可用。鉴于较低的财务和运营影响,使用此加密功能(如果默认情况下尚未打开)是一个明智的决定。
3. 始终给程序打补丁
云用户主要负责保持工作负载的最新,在大多数情况下,这包括操作系统应用软件。正如需要适当修补和维护本地服务器一样,对云工作负载也要保持同样的警惕。虽然这听起来像是常识,但一致的修补可能比看起来更加困难。当云资源在不同组内或通过不同的操作过程进行管理时,情况尤其如此。
4. 监控
关注任何基于云的资产都是常识。但是,监控功能可以位于组织内的不同部门中。此外,提供商还通过不同的接口提供各种监控机制。这些挑战需要规划和远见,以确保持续和高效的云监控。
5. 管理访问
需要考虑多身份和访问管理(IAM)。首先,操作系统、应用程序和中间件。第二,在操作系统级别考虑特权访问。
请注意,云访问还包括控制台和其他功能,这些功能可提供有关云资源的信息或影响云资源的运行。因此,了解谁有权访问控制台以及出于何种目的至关重要。
6.云中的文档资产
在云中保护数据时,组织需要准确记录云中的资产以及这些资产的当前安全状况。许多工具使技术专业人员能够找到资源:真正的挑战是确切地找出需要记录哪些资源。
除了显而易见的情况,例如工作负载的运行位置,还需要查找以下资源:
身份和访问管理用户和管理员帐户特权;
与云帐户关联的所有公共IP地址,如果任何IP地址已被劫持,请提供预警;
资产与资源之间的关系,以发现潜在的攻击路径;
密钥和关键特征,包括禁用密钥的时间阀值。
7.测试、测试和再测试
一旦组织设置云环境,测试便是常态。大型且不断增长的工具库可用于使组织能够对环境进行渗透测试、错误配置测试和各种形式的漏洞测试,有些工具可以搜索密钥和密码。总之,攻击者将针对组织使用的所有工具、技术和程序都可用于加强云环境。
8.创造现场安全培训机会
"实弹射击训练"已成为消防部门的主要科目。现场消防训练是指购买建筑物,装备它完全像一个典型的住宅或办公室,然后放火,并派遣消防员来控制火灾的做法。因此,消防员可以深入了解火灾在不同条件下的行为,并了解自己在火灾现场压力下的弱点和趋势。
云环境现场培训相当于实弹射击训练,是云环境和云应用的套件。这些工具包含错误配置和漏洞,可以快速轻松地设置,以培训云工程师如何检测和补救常见的配置缺陷和安全漏洞。这种环境应成为组织培训计划的一部分。使用游戏化,并奖励那些最快速、最有效地发现漏洞的网络安全专家。
9.随时了解新出现的威胁
组织需要跟踪新出现的威胁,包括复杂的跨国攻击,这些攻击越来越多地使用云服务。这样做的好方法是通过Mitre ATT&CK框架,该框架跟踪威胁,并将攻击分解为技术和战术,如凭据访问、特权升级、发现等。ATT&CK 框架还提供补救建议和对攻击者行为和活动的最新见解。其他保持知情的方法包括订阅来自供应商和第三方组织的威胁情报源,以及参与其他网络安全组织。
七、云安全专家认证
认证可以帮助安全专业人士证明他们对信息安全主题的基线知识。许多寻求云安全职业的专业人士将求助于认证,以推进他们的学习,向潜在的雇主证明他们的知识。
虽然关于安全认证计划价值的争论非常激烈,但它们仍然是雇主筛选应聘者和评估被面试者基线知识的主要方式之一。
信息安全行业已经存在了几十年,并拥有一些最知名的认证。CISSP于1994年发布,ISACA 的认证信息系统审核员认证可追溯到1978年。
这些较老、成熟的认证提供商在其材料中添加了云组件,但这些附加组件的深度通常相当有限。
来了解一些已经引入了专门的、深入的云安全认证的认证提供商,以及云安全专业人士在实施这些认证时可以期待什么。
1. ISC认证云安全专业人员 CCSP
最知名的云安全认证是ISC的CCSP,虽然ISC的CISSP现在包含更多的云材料,其专门的CCSP计划将其提升到一个新的水平,涵盖从云应用安全到云平台安全等各种与云相关的主题。
在获得认证前必须至少具有五年的有偿工作经验。三年必须是信息安全,一年必须在 CCSP 知识共同机构(CBK)包含的六个域中的一个或多个领域:
云概念、架构和设计
云数据安全
云平台和基础设施安全
云应用安全性
云安全操作
法律、风险和合规
云安全联盟的云安全知识证书(CCSK)可以替代CCSK域的一年经验,也可以替代 CISSP 的整个 CCSP 体验要求。
2. CSA 云安全知识证书CCSK
CSA 的CCSK是 CCSP 认证的较轻替代方案。该认证于2010年推出,致力于云安全,与 CCSP 一样,它深入到技术细节中。
CCSP 和 CCSK 之间存在一些重大差异。例如,CBK 对于 CCSK 来说不像 CCSP 那样广泛。CCSK 的研究材料 (来自 CSA 云安全指南v4、CSA 云控制矩阵和欧盟网络安全云计算风险评估机构报告 )在互联网上免费提供,因此无需任何书籍或培训课程。此外,CCSK认证没有先决条件或经验要求。此外,CCSK考试可在线提供,并且是开放式书籍。
CCSK 是入门级到中端安全专业人员的一个很好的替代云安全认证,对云数据安全感兴趣,但没有理由花费 CCSP 认证所需的时间和成本。
3. GIAC 云安全自动化 (GCSA)
GIAC的GCSA认证于2020年4月推出,专为致力于保护云和DevOps环境的开发人员、分析师和工程师设计。它包括配置管理自动化、持续集成/持续交付和持续监控以及如何使用开源工具、AWS工具链和Azure服务等主题。
GIAC 认证没有先决条件,但它基于SANS研究所的线下或在线SEC540:云安全和DevOps自动化课程。这个为期五天的课程包括五个部分的主题:
开发人员介绍
云基础设施和编排
云安全操作
云安全作为服务
合规性作为代码
考试可以自行购买,也可以在与SANS培训一起购买时以折扣价购买。购买认证尝试附带两个练习测试,它们与考试格式相同。
4. Mile认证云安全官 (CCSO)
Mile的CCSO认证包括为期五天的课程,包括讲师主导的课程、自学时间和实时虚拟培训。
CCSO由15个模块组成:
云计算和架构简介
云安全风险
ERM(企业风险管理)和治理
法律问题
虚拟化
数据安全
数据中心运营
互操作性和可移植性
传统安全
BCM(业务连续性管理)和 DR
事件响应
应用安全性
加密和密钥管理
身份、权利和访问管理
审计和合规
它还由23个实验室组成,包括虚拟化、Azure中的PaaS和SaaS的关键管理。
作为Mile云安全和虚拟化职业道路的一部分,这种高级认证非常适合在虚拟化、云管理、审计和合规方面寻求职业的专业人士。
5. Arcitura认证云安全专家
Arcitura提供多个云认证专业(CCP)认证。其认证云安全专家认证特别侧重于与云平台、云服务和其他云技术(如虚拟化)相关的安全威胁。认证云安全专家认证面向IT和安全专业人员和云架构师,由五个模块组成:
C90.01 基础云计算
C90.02 云技术概念
C90.07 基本云安全
C90.08 先进云安全
C90.09 云安全实验室
完成这五个模块及其各自的考试将获得认证云安全专家认证。建议IT一般背景,按顺序进行考试,例如,C90.01必须在C90.02之前完成。
Arcitura提供三种考试形式:涵盖所有五个模块的单一考试:仅测试模块7、8和9的部分考试(如果完成第1和第2模块以进行不同的认证):或五个单独的模块特定的考试。模块特定的考试可通过VUE在线获得。
6. 和7. CompTIA Cloud Essentials+和Cloud+
CompTIA提供两项认证,虽然不针对安全性,但涵盖云安全主题。Cloud Essentials+面向云业务决策,而Cloud+更关注技术云实现。
入门级Cloud Essentials+认证涵盖特定的云安全问题和措施,以及风险管理、事件响应和合规性。建议拥有六个月至一年的IT业务分析师经验以及一些云技术经验。更深入的Cloud+ 认证涵盖如何实施适当的安全控制,以及如何解决云中的安全问题。建议拥有两到三年的系统管理经验。
8. EXIN 集成商安全云服务认证
EXIN提供许多安全和云课程。其认证集成商安全云服务认证在符合特定云计算和安全资格时颁发。其中包括获得三项EXIN或CCC认证:
服务管理认证:
EXIN IT服务管理(ITSM)基金会;
VeriSM 基金会或以下机构之一:基于ISO 20000(任何级别)、EXIN BCS 服务集成和管理(任何级别)或ITIL(任何级别)的VeriSM 专业、EXIN ITSM:
EXIN BCS SIAM Foundation
云计算认证:
EXIN 云计算基础或 CCC 云计算证书
安全管理认证:
EXIN 网络和 IT 安全基金会
基于ISO/IEC 27001的EXIN信息安全
虽然此认证并非纯粹致力于云安全,但它确保认证专业人员在IT安全和云环境中都非常熟练。
供应商特定的云安全认证
由于许多企业与一些特定的供应商和技术合作,因此其安全团队成员在这些领域持有认证可能会取得丰硕成果。
九、云安全发展趋势
云安全的发展趋势是软件定义安全即安全虚拟化。另外,从Gartner发布的2020年云安全技术成熟度曲线,也看一窥云安全未来的发展趋势。
安全虚拟化
安全虚拟化是安全功能从专用硬件设备向软件的转变,软件可以在商业硬件之间轻松迁移或在云中运行。
计算和网络环境的虚拟化程度的提高,对灵活、基于云的安全性提出了更多的要求。网络和安全数据中心动态创建基于软件的网络和计算功能,如虚拟机VM,因此安全功能也必须以便携式方式虚拟化,以便随应用程序和计算工作负载一起移动。
物理安全设备通常插入到网络外围以提供保护,使经过验证的用户能够访问网络。在虚拟环境中,网络、工作负载和虚拟机器不断被设置、销毁,并在数据中心或网络内迁移。此外,由于多个虚拟网络可以跨相同的基础物理基础设施运行,因此安全性必须解决每一层虚拟化问题。例如,虚拟机具有额外的安全复杂性,因为它们作为数字文件运行,无论物理基础设施如何,都可以迁移,从而带来安全风险。这些趋势推动了更多的安全虚拟化。
安全虚拟化使用安装在虚拟安全网络上的软件来监控工作负载、应用程序和对虚拟机的访问。安全还可以管理访问虚拟网络和工作负载本身的安全策略。
虚拟化安全中的两个常见概念是分割和隔离。通过细分,特定的网络资源只能访问指定的应用程序和用户。除了物理安全设备之外,虚拟软件还可以实现这一点。另一个重要的方法是隔离,它允许离散的应用程序和工作负载在同一网络上独立运行。这方面的一个例子是细分处理敏感信息(如信用卡数据)的网络部分。
随着软件定义网络(SDN)的出现,细分可以内置于虚拟网络织物中。例如,SDN网络可以设置为具有多个安全层,具体取决于分配给各种应用程序的策略。SDN安全的另一个趋势是微分化方法,即在应用程序和工作负载级别上添加额外的安全层。
微分段将特定的安全策略应用于工作负载和应用程序,使安全功能能够跟踪网络周围的工作负载,这种方法在当今的虚拟基础设施中很常见。
安全虚拟化是一个可能持续多年的强劲趋势,因为云中运行的应用程序越来越多,网络也越来越虚拟化。需要安装新的安全软件,以监控和管理虚拟基础设施上的数据安全策略。
安全虚拟化将安全功能从硬件转移到软件分割和隔离都是安全虚拟化中使用的概念。随着更多应用在云中运行,虚拟网络继续增长,安全虚拟化可能会持续下去。
Gartner 2020云安全技术成熟度曲线
Gartner 提醒关注云基础设施权利管理(CIEM)、SaaS安全态势管理(SSPM)、安全访问服务边缘(SASE)。
云基础设施权利管理(CIEM)
Gartner将云基础设施权利管理(CIEM)定义为以身份为中心的专门SaaS解决方案,专注于通过控制管理时间,来管理混合和多云IaaS架构中的应享权利和数据管理中的云访问风险。CIEM通常依靠分析、机器学习 (ML)和先进的统计技术来检测帐户应享权利中的异常情况。
SaaS 安全态势管理 (SSPM)
Gartner将SSPM定义为持续评估安全风险和管理SaaS应用程序安全态势的工具。核心功能包括报告本机SaaS安全设置的配置,并为改进配置以降低风险提供建议。可选功能包括与行业框架的比较以及自动调整和重新配置。
安全访问服务边缘 (SASE)
Gartner预测,到2024年,至少有40%的企业将制定明确的战略来采用SASE,高于2018年底的不到1%。安全访问服务边缘(SASE)是当今最被夸大的云安全领域之一,Gartner提醒注意过渡营销信息。
安全访问服务边缘 (SASE),发音为"sassy",支持安全分支机构和远程工作人员访问。SASE 的云交付服务集,包括零信任网络访问和软件定义的 WAN,正在推动快速采用。
疫情提示了业务连续性计划的必要性,包括灵活、随时随地、大规模安全的远程访问,甚至来自不受信任的设备。SASE使安全团队能够以一致的方式提供安全的网络和安全服务,以支持数字业务转型和劳动力流动。
Gartner预测,零信任网络访问(ZTNA)和微分段将在未来两年内在Hype周期和潜在的网络安全市场合并。随着基于身份和角色的接入增强基于网络的云资源和应用程序的访问,合并ZTNA和微分段的障碍逐渐消失,导致这一市场领域的整合。Gartner指出,ZTNA 解决了组织面临的用户对应用场景,而基于身份的细分则处理了组件到组件的情景。合并它们使组织能够实现更全面的零信任安全框架。
参考文档:1. https://searchcloudsecurity.techtarget.com/Guide-to-cloud-security-management-and-best-practices?2. https://searchnetworking.techtarget.com/tip/5-basic-steps-for-effective-cloud-network-security?3. https://searchcloudsecurity.techtarget.com/tip/The-best-cloud-security-certifications-for-IT-professionals?4. https://searchcloudsecurity.techtarget.com/tip/Top-cloud-security-challenges-and-how-to-combat-them?5. https://searchcloudsecurity.techtarget.com/tip/Private-vs-public-cloud-security-Benefits-and-drawbacks?6. https://searchcloudsecurity.techtarget.com/tip/5-tips-to-better-secure-cloud-data?7. https://searchcloudsecurity.techtarget.com/tip/5-step-IaaS-security-checklist-for-cloud-customers?