被揭穿的5 個雲端安全迷思

對缺乏管理雲端經驗而感到不安。

這些積極和消極的緊張關係已經產生了一些關於將業務運營轉移到雲端上的迷思。

• 雲端是不安全的

• 我的組織未使用雲端雲

• 我的雲端供應商將確保我的安全

• 雲端只是別人的計算機

• 高階攻擊者不會攻擊雲端

排名前5位的雲端安全迷思

雲端大遷移五年前，幾乎地球上每個組織將所有工作負載移至雲端僅需幾週，或者至少看起來是這樣。但是，現實的步伐要快得多。大多數組織沒有採用普遍存在的全盤式現象，而是轉用了雲端的方法，即在雲端上開發許多新應用程式，但是大多數較舊的應用程式和基礎結構仍舊保持不變，又或者會制定長期遷移計劃。

因此，遷移到雲端的希望仍然存在。它只是在慢慢進行中。這表示：

• 幾乎每個人都是新手。• 開發人員期望不受組織過程的束縛。• 技術每月在變化。

這些因素的結合產生了一種情況，當組織從敏捷雲端解決方案提供的好處中獲益時，組織就感到激動，同時又因

2

3

迷思 1：雲端是不安全的雲端本身並不是天生不安全的。如果使用得當，它的安全性不亞於典型的數據中心。在所有 FireEye Mandiant 對公有雲進行的事件響應中，我們尚未看到利用雲端基礎架構本身的情況。我們發現了不正確的雲端配置或易受攻擊的客戶代碼，但未發現雲端供應商的代碼或基礎架構中的缺陷。

通常是自定義雲環境引入漏洞。例如，如果您使用AWS S3或Azure Blob存儲創建存儲桶，在默認情況下它們將被鎖定，並且只有管理員和存儲桶的創建者才能訪問。但是，要使用存儲桶中的數據，必須將訪問權限提供給服務器或直接提供給用戶，而授予和管理這些權限是許多組織面臨的挑戰。

這一挑戰與傳統的數據中心安全沒有本質上的區別，在傳統的數據中心安全中，主要獲得未授權訪問的方式都是因為配置錯誤，憑據被盜和易受攻擊的代碼。但是，默認情況下，典型的數據中心防火牆會阻止對資產的入站訪問，而雲端服務（不包括虛擬機）則允許從任何地方進行經過身份驗證的流量。可以通過策略將某些服務配置為僅允許某些IP範圍，但這不是默認設置。

當我們檢查這種恐懼時，我們發現了以“零信任模型”為由的Google和Microsoft的反駁，其中徹零信任網絡消除了基於外圍網絡位置的信任概念。相反，零信任架構利用設備和用戶信任聲明來控制對組織數據和資源的訪問.1

1 https://cloudblogs.microsoft.com/microsoftsecure/2018/06/14/building-zero-trust-networks-with-microsoft-365/

這是對雲端的恐懼的真正根源：整個互聯網都可以訪問雲端。

零信任以及普遍雲端供應商都聲稱，多年來，防火牆通過充當易受攻擊的系統的支持，

使組織能夠變得自滿。組織錯誤地認為任何入侵者都在防火牆範圍之外，因此，可以緩解漏洞。零信任論認為，必須假定一個入侵者已經在防火牆邊界內，因此，防火牆實際上並不能保護您。

儘管零信任模型對於服務器和虛擬機可能是極端的，但它是保護雲端服務安全的一個很

好的例子：沒有邊界，服務必須假定所有客戶端都是不受信任的，而這些服務的底層代碼不一定容易受到攻擊，但配置或憑據卻相反。

排名前5位的雲端安全迷思

4排名前5位的雲端安全迷思 4

迷思 2：我的組織沒有使用雲端“雲端”一詞包括軟件即服務的類別，並且幾乎每個組織都使用某種形式的網路服務，在現代企業中無論是用於人力資源，銀行，運輸，內容管理，網路託管還是任何其他正在進行的活動。即使組織策略未明確允許使用雲端服務，或者沒有明顯的雲端服務使用證據，您的組織仍可能依賴雲端。

對於資安從業人員來說，最大的挑戰之一是不僅要確保這些服務免遭意外濫用，而且要首先檢測其使用。對“影子IT”或任何未經授權使用雲端服務的可見性是組織的共同難題。甚至雲端訪問服務代理（CASB）也無法發現員工在家中偶爾（但有時很關鍵）使用雲端服務的情況。

當安全性使開發人員能夠完成工作時，使用新雲端服務的可見性就會大大提高，這使它們具有防禦性。大多數員工有時需要使用Google雲端硬盤之類的服務才能與外部合作夥伴共享文件。可能有一種組織許可的方法，但是許多時候，安全授權過程為快速完成業務創建了障

礙。人性會導致好心的員工在其安全人員的權限範圍之外進行操作。

兩件事必須發生才可解決此問題：

雲端安全始於可見性。每當開發人員啟動新的雲端服務時，他們都應該能夠輕鬆地集中遙測。然後，分析師可以前往該位置查看所有雲端服務的安全狀態。

確保遵守此安全措施的最佳方法是鼓勵開發人員與資安團隊聯繫，而不是反過來。這可

以通過遙測對操作監控來實現，因此它具有安全和操作的雙重目的。

並不是總能夠獲取每個雲端服務的可見性。一些較深奧的服務可能不提供遙測功能，而

某些則需要額外購買才能啟用遙測功能。例如，Microsoft Azure Active Directory

只能使用“ Premium”版本查看登錄日誌，而Salesforce則要求購買其“ Shield”產品才能查看審核數據。無論您使組織中的開發人員集中遙測多麼容易，他們仍然有理由（無論好壞）不這樣做。僅僅知道您可能不知道正在使用的雲端服務會有所幫助，特別是對於威脅模型（考慮如何發生攻擊）。

員工必須能夠使用組織批准的方法來實現他們的目標。

必須在批准的雲端服務周圍建立適當的可見性和控制。

5

迷思 3：我的雲端供應商將會保護我的安全在分擔責任模型下，雲端租戶是其數據的最終保管人，並負責數據維護。雲端供應商確

保設施安全，硬件不受損害以及所提供任何服務的基礎軟件和操作系統安全。但是客戶有責任確保虛擬機已進行修補程式，應用程序不易受到攻擊且權限適當。

維護雲端包括三個層次的活動：

雲端供應商擁有許多有用的原生工具，但是雲端消費者仍然承擔著更多的責任。 例如，某雲端供應商可能有用於檢測或強制執行風險配置回滾的工具，但是消費者必須將這些工具集成到其組織的策略和過程中。 還需要將這些工具與安全控制和組織可能正在使用的任何其他雲端的可見性合併。

由於雲端供應商並非十分熟悉每個消費者的業務範圍，因此最終由消費者組織負責驗證那些是應有的配置。

跨組織邊界共享數據的任何點都可能是防禦中的脆弱漏洞，因為必須授予對數據的訪問權限，然後對其進行審核，而不是一概拒絕。每個訪問點都成為安全組織的審核任務，並且需要完整的可見性以確保所訪問的所有數據均得到真正授權。

完全的可見性意味著組織的安全分析師可以直接以編程方式訪問所有相關遙測數據，並且可以將其操作成其標準操作程序。這超越了時間點審核功能，可以持續監視異常情況。保護用於訪問資源的憑

據，並監視是否受到破壞。

保持警惕並防止配置錯誤。 集中遙測數據以獲取可見性，以支持對審計線索的安全監控

排名前5位的雲端安全迷思

6排名前5位的雲端安全迷思

迷思 4：雲端只是別人的電腦保護雲端安全並不像將電腦保護在其他人的數據中心中一樣。除了更熟悉的虛擬機之外，還需要考慮存儲服務，容器和其他非傳統服務。這些服務可能由分佈在許多數據中心的數百或數千個真實服務器組成，所有這些服務器都可以滿足一個服務請求。

這意味著要提供更多的可見性要求和更多的計劃，以圍繞分佈式和非離散計算產品提供安全控制和檢測。這些服務可能具有使用的API，但IP地址和操作系統的概念通常並不適用。

這些服務的安全性配置和控件不會使用防火牆和防病毒等傳統的安全性實現。加密要求還可能指示單個服務正在加密靜態數據。所有主要的雲端服務都使用SSL / TLS

進行通信，但是了解服務之間的數據寫入位置對於受控數據很重要。

防禦資源濫用時，雲端的彈性性質也會帶來新的挑戰。駐留在數據中心中的傳統應用程序將附加有限數量的資源。在濫用公開服務的情況下，這可以充當安全網：該應用最終將失敗，並減少到拒絕服務的狀態。在雲端中基於自動擴展和無服務器功能或

容器等彈性資源構建的應用程序可能會繼續擴展到高容量，而不會失敗。這對於合法

的應用程序通常是一件好事，但如果請求不合法，則可能導致嚴重的問題。

例如，如果某個應用程序處理上傳的照片，而攻擊者提交了大量未經請求的照片以進行處理，則該應用程序可能會向外擴展，從而使應用程序所有者承擔相當大的額外費用。雲端基礎架構在解決此問題上有局限性，但必須充分了解並預先配置。

7THE ASSAULT ON SMALL AND MIDSIZE ORGANIZATIONS 7

迷思 5：高階攻擊者不會攻擊雲端攻擊者跟踪數據。隨著數據進入雲端，攻擊者也將進入雲端。我們Mandiant事件響應活動中發現約有四分之一涉及存儲在公共雲中的資產，而我們執行的IR幾乎每個都以某種方式涉及公共雲端。雲端不會阻礙威脅行為者，他們可以輕鬆地調整其工具，策略和程序來破壞雲端帳戶，以訪問機密數據，竊取計算資源並監視目標。標 標

普通組織可以快速地遷移到雲端並降低成本，但是他們應該了解，放置在其中的任何有

價值的東西都將成為目標，並且他們需要相應地保護資源。這意味著他們不僅應該實施有關雲肯安全性的基本最佳實踐，而且還應準備好其安全性操作，以主動追捕將數據推入雲端中的高級攻擊者。

緩解雲端中的威脅需要兩件事：在其上應用安全操作的遙測數據和威脅模型，這些模型決定了應採用的攻擊工具，策略和程序。可以將其分為四類功能：

這四種功能可以共同保護組織免受已知威脅，並建議如何通過預測行為來發現新威脅。有些活動（智能，規則和分析）是自動化的，但是所有這些都需要某種程度的人為互動才能完全涵蓋高嚴重性事件。

狩獵很特殊：它要求經驗豐富的資安專員，使用他們對特定威脅參與者的了解或環境的“正常”情況來查找遙測數據中的關注點。例如，如果策略規定所有雲端資產都將

使用模板實例化，那麼搜索活動可能是瀏覽模板外部創建的所有資產。如果搜尋變得足夠有價值或過於簡單，則可以將其轉換為規則以使操作自動化。

情報

威脅情報指標在遙測中的應用

規則

已知威脅模式在遙測中的應用

分析工具

遙測的組織以顯示異常

狩獵

基於假設的搜索

我們的Mandiant事件響應活動約有四分之一涉及存儲在公共雲中的資產...

排名前5位的雲端安全迷思

FireEye, Inc. 601 McCarthy Blvd. Milpitas, CA 95035

408.321.6300/877.FIREEYE (347.3393)

info@FireEye.com

About FireEye, Inc. FireEye is the intelligence-led security company. Working as a

seamless, scalable extension of customer security operations, FireEye

offers a single platform that blends innovative security technologies,

nation-state grade threat intelligence and world-renowned Mandiant®

consulting. With this approach, FireEye eliminates the complexity and

burden of cyber security for organizations struggling to prepare for,

prevent and respond to cyber attacks.

© 2019 FireEye, Inc. All rights reserved. FireEye is a registered trademark of FireEye, Inc. All other brands, products, or service names are or may be trademarks or service marks of their respective owners. CSM-EXT-DS-US-EN-000110-01

結論雲端技術帶來了巨大的希望，即允許組織以更少的資源做更多的事情，使資源民主化，從而使初創公司可以享受與行業巨頭一樣的功能，並允許應用程序發展到前所未有的規模。但這意味著雲端資源需要專用和專業的關注，以確保它們不會被濫用並確保數據安全。組織必須緊跟他們需要的資安工具和培訓，以確保為重大轉變做好準備。雲

雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲

雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲雲

雲雲雲