迁移到云可以改善公司的安全状况 -但是云服务并非没有风险，组织应该在购买这些服务并在云中部署工作负载之前理解并解决这些风险。为此，美国国家安全局（NSA）发布了名为“ 缓解云漏洞 ”的新指南。

该报告针对公司的领导和技术人员。它强调了云架构和威胁参与者的基本组成部分。然后，它还对四种不同类型的云安全风险进行了排名-错误配置，访问控制差，共享的租户漏洞和供应链漏洞-根据NSA，这是绝大多数已知安全漏洞的原因。

尽管每个云服务提供商的架构都会稍有不同，但大多数云具有四个共同点。这包括身份和访问管理-这些是客户用来保护对其资源的访问的控件，以及服务提供商用来保护后端云资源-以及计算，网络和存储的控件。

通过单击链接，我同意与该内容的赞助者共享我的联系信息，他们可能会在营销活动中与您联系，并注册SDxCentral电子邮件通信。查看我们如何使用您的数据：隐私政策。

共同责任

NSA报告还讨论了分担责任的概念。这很重要，因为安全供应商和云服务提供商都表示，他们的许多客户仍然对这种模型及其工作原理不甚了解。像Amazon Web Services（AWS）和Microsoft Azure这样的云提供商负责保护其公共云基础架构，并实施逻辑控制以分离客户数据。但是，客户负责配置应用程序级别的安全控制，并保护其在云服务器上运行的工作负载。换句话说，在云安全方面，云提供商和客户都有共同的责任。

Netskope云安全转型副总裁James Christiansen说：“分担责任模型是一个艰难的模型。” 困难的一部分来自“一种心态，当您外包某些东西时，就会洗手。”

换句话说，当公司从内部部署基础架构迁移到公共云时，他们通常只是假设AWS或Azure负责保护云中运行的资源所需的所有安全措施。然而，这种情况并非如此。

此外，克里斯蒂安森说，他不喜欢“分担责任”一词。相反，“我只需要一个责任矩阵：这些是您的责任，这是我们的责任，”他补充说。“有非常不同的责任，当您看到这些故障时，通常是由于不了解他们应负责的部分而导致的故障。”

NSA的前4个云漏洞

NSA将云漏洞和缓解措施分为四类。它还说明了每个攻击的流行程度，以及攻击者将其实施到何种程度的复杂程度。

错误配置是一种普遍的威胁，需要较低的复杂性，它是第一位。根据国家安全局（NSA）的说法，错误配置云资源仍然是防止云漏洞的最有效方法。该报告说：“配置错误通常是由于云服务策略错误或对共享责任的误解而导致的，其影响范围从拒绝服务敏感性到帐户遭到破坏不等。” “ [云服务器提供商]创新的快速步伐创造了新功能，但同时也增加了安全配置组织云资源的复杂性。”

该报告说，最起码的特权和深度防御是组织从计划阶段就应该应用的两个安全原则。最小特权模型将对帐户的访问限制为仅执行常规合法活动所需的资源。深度防御涉及在整个IT系统中放置多层安全控制。

当公司采用的身份验证方法不足以允许访问云资源时，或者当这些云资源具有使攻击者可以绕过这些方法的缺陷时，就会发生第二大漏洞（访问控制不良）。美国国家安全局认为该漏洞广泛存在，并表示需要适度的技巧才能实现。

组织可以通过实施强大的身份验证协议（例如多因素身份验证）并使用自动化工具来审核访问日志来减轻不良的访问控制。

报告指出，共享租约漏洞排名第三，仍然很少见，并且要求高度复杂。但是云管理程序或容器平台中的这些类型的漏洞可能特别严重。

为了缓解这些问题，国家安全局建议对静态数据和传输数据进行加密。对于特别敏感的工作负载，公司应使用专用或裸机云实例。

如果公司不使用专用实例，Christiansen建议要求云提供商对日志进行取证分析，以将您的日志与其他租户的日志分开。他说，组织在最初购买云服务时应将此写入合同。

供应链安全

最后，国家安全局说，排名第四的漏洞-供应链安全漏洞-仍然很少见，需要高度复杂的攻击者。但是，许多威胁搜寻者和安全供应商都同意供应链安全风险正在变得越来越普遍，他们预计今年这类攻击会增加。

供应链漏洞包括攻击者内部，硬件和软件中的蓄意漏洞和后门，以及公司的合作伙伴和供应商，其安全性可能无法达到预期水平，因此，攻击者可以通过其供应商的网络访问其目标的云资源。

克里斯蒂安森（Christiansen）同意，攻击者必须非常精明才能发起供应链攻击，但他对看到这种攻击很少见感到惊讶。

他说：“您想到的是大公司，它们在加强安全方面做得非常好。” “但是当他们去找第三方时，第三方的安全级别就不一样了，那就是当您看到最弱的链接问题时。我们早在Target违规事件中就已经看到了这一点。这是一个很大的攻击面，我相信第三方绝对是政府发起的攻击和有组织的攻击的目标。”

报告称，虽然云服务提供商“通过角色分离，两人完整性以进行特别敏感的操作以及对可疑的管理员活动发出警报等控制措施来减轻内部攻击者的风险，但企业仍可以改善其安全态势，以防供应链受到损害。” 这包括对静态和传输中的数据进行加密，以及选择已根据国家信息保障合作伙伴关系（NIAP）保护配置文件（PPs）评估了关键组件的云产品。

您无法确保看不到的东西

克里斯蒂安森（Christiansen）表示，国家安全局（NSA）的报告中可能还包含其他一些云安全指导。

他说：“真正重要的部分是正确的部分，而这些是公司在评估其安全策略时应注意的事项。” “但是不太明显的地方”是公司的多云和混合云环境，在该环境中，组织可以在AWS上运行某些工作负载，在Azure上运行其他工作负载，而在私有云中仍然运行其他工作负载。“我们如何带来所有这些多云威胁检测工具，并能够监视这些不同的环境？那一点有点丢了。您不仅要看一个云提供商，还要看所有云提供商，然后将它们全部整合到一个玻璃面板中。”

他还建议采取控制措施，以确保安全和IT团队了解业务部门何时使用公司信用卡购买新的云实例甚至软件即服务。克里斯蒂安森说：“一个业务部门可以做到这一点，在其上加载机密信息，而这完全是不安全的，因为我们甚至都不知道。” “如果您不了解，则无法执行[NSA]指南中的所有这些操作。”