BetterCloud最近的一項調(diào)查發(fā)現(xiàn)，企業(yè)平均使用80個單獨的第三方云應用程序來實現(xiàn)協(xié)作、通信、開發(fā)、管理合同和HR功能、授權(quán)簽名以及支持處理和存儲敏感數(shù)據(jù)的業(yè)務功能。這些類型的應用程序統(tǒng)稱為SaaS(軟件即服務)。

除此之外，企業(yè)組織還在公共平臺(PaaS或平臺即服務)和基礎(chǔ)架構(gòu)(IaaS或基礎(chǔ)架構(gòu)即服務)上部署應用程序和整個業(yè)務。數(shù)據(jù)顯示，2020年有76%的企業(yè)在Amazon Web Server(AWS)上運行其應用程序，而63%的企業(yè)在Microsoft Azure上運行其應用程序。

Capital One顧問兼前CISOMichael Johnson表示，這些公共云服務都是必要且高效的，甚至有望比傳統(tǒng)數(shù)據(jù)中心提供更安全的環(huán)境。但是，它們也為這些正在云中存儲和處理的敏感數(shù)據(jù)帶來了獨特的風險，其中大多數(shù)風險都是由于用戶在設(shè)置和管理這些服務時操作錯誤造成的。

據(jù)悉，Johnson曾在2019年的一次公開事件中參與指導Capital One公司完成響應過程，該事件當時暴露了8000萬個人記錄。在這起事件中，攻擊者正是利用了配置不當?shù)牡谌皆骗h(huán)境。好在Johnson及其團隊及時遏制了這一漏洞，并借助強大的響應計劃，與董事會和執(zhí)行團隊的透明性，以及與執(zhí)法部門之間的既有關(guān)系，成功實現(xiàn)在數(shù)據(jù)被利用之前將數(shù)據(jù)竊取者抓捕歸案。

制定響應計劃以應對在云中放置敏感數(shù)據(jù)的風險，這應該是任何云安全策略必不可少的一部分。想要針對公共云環(huán)境部署數(shù)據(jù)保護策略，重要的是要知道如何暴露或竊取來自公共第三方服務的數(shù)據(jù)。

數(shù)據(jù)在云中因何如此脆弱?

根據(jù)云安全聯(lián)盟(CSA)的年度威脅報告指出，第三方云服務中的數(shù)據(jù)泄漏主要是由于配置錯誤和變更控制不充分(例如過多的權(quán)限、默認憑據(jù)、配置不正確的AWS S3存儲桶以及禁用的云安全控制)造成的。而缺乏云安全策略或體系結(jié)構(gòu)正是造成數(shù)據(jù)泄露的第二個最常見的原因，其次是身份和密鑰管理不足，隨后還有內(nèi)部威脅、不安全的API、結(jié)構(gòu)故障以及對云活動和安全控制的有限可見性等等。

云安全聯(lián)盟CEO Jim Reavis表示：

McAfee的一項調(diào)查顯示，到2020年5月，思科WebEx的使用率增加了600%，Zoom增長了350%，Microsoft Teams增長了300%，Slack增長了200%。在最初匆忙開展遠程工作時，Reavis就指出了許多可能導致數(shù)據(jù)泄露的問題：IT團隊并未保護云中的存儲桶，未實施安全的開發(fā)人員實踐或協(xié)調(diào)身份和訪問程序。如今，網(wǎng)絡犯罪分子甚至已經(jīng)在存儲庫中發(fā)現(xiàn)了一些硬編碼的應用程序憑據(jù)。可怕的是，這些明明都是一些非?；A(chǔ)的東西。

專家建議，遵循下述3個最佳實踐將顯著降低在云中存儲或處理數(shù)據(jù)的風險：

保護云中敏感數(shù)據(jù)的3種最佳實踐

清點云使用情況

為大中型公司提供咨詢的CISO Ian Poynter建議，應對云中數(shù)據(jù)威脅的最佳方法，是在任何涉及公共云服務的新計劃的規(guī)劃階段，將云應用程序納入控制并進行風險評估。CISO之間的共識是，用戶的云實例并非都是獲得授權(quán)的，而且很少針對公開數(shù)據(jù)進行有效地監(jiān)控。這也是CISO需要成為執(zhí)行團隊成員的原因所在。他們需要這個權(quán)限去了解正在發(fā)生的事情，并且還要一個協(xié)作環(huán)境，在這樣的環(huán)境中，業(yè)務經(jīng)理能夠直接與他們進行溝通，共享其正在運行的新項目或產(chǎn)品，然后讓他們對其中涉及的云產(chǎn)品進行評估。

就一家公司而言，CISO甚至可以向財務發(fā)出警告，告知其哪些第三方云應用程序和平臺可以報銷。如果業(yè)務部門或個人用戶在未經(jīng)事先批準的情況下購買了報銷范圍以外的產(chǎn)品，則可以直接拒絕他們的報銷申請。

這是強制執(zhí)行云應用程序白名單的手動方式，但無疑也是有效的方式。云應用程序白名單和黑名單通常也是部署在公司控制的端點上，或通過零信任技術(shù)(例如瀏覽器隔離)來控制用戶、企業(yè)和云應用程序之間的遠程會話的強大技術(shù)控制。

應用云原生安全產(chǎn)品

Johnson建議，在組織已標準化的成熟云服務和應用程序中利用云原生安全產(chǎn)品。例如，應用AWS Inspector評估正在使用的應用程序的配置合規(guī)性，以及應用Amazon GuardDuty來檢測惡意活動和未經(jīng)授權(quán)的行為。采購產(chǎn)品之前，企業(yè)組織需要竭盡所能地對云提供商的聲譽進行盡職調(diào)查，并盡量避開一些小的提供商。越大的提供商通常會在數(shù)據(jù)保護和可見性控制方面做得更好。

服務模型之間的原生安全性會有所不同。IaaS和PaaS供應商為購買者在其基礎(chǔ)架構(gòu)或平臺中升級的應用程序提供安全性和配置工具。這些一般是本地提供的或是通過第三方付費提供的。對于SaaS應用程序(例如DocuSign、Slack或Box)而言，安全性多數(shù)是原生的。例如，Microsoft 356為Exchange、SharePoint和Azure(以及其他安全產(chǎn)品)Active Directory提供高級審核。

通過研究Box公司的cloud enterprise，我們可以窺見出入第三方提供商的敏感數(shù)據(jù)的處理方式。Box管理著多個應用程序，以支持工作流程、數(shù)字合同、HR、Zoom會議、歷史數(shù)據(jù)存儲、HR加載和其他HR功能。用戶通過Box Shuttle將Box連接到其他云服務(例如具有完整數(shù)據(jù)傳輸功能的Facebook Workplace)時，Box中便出現(xiàn)了云。

Box安全、隱私和合規(guī)性產(chǎn)品副總裁Alok Ojha表示，隨著越來越多的應用程序在Box世界中興起，面向用戶的嵌入式安全性和合規(guī)性工具集將成為關(guān)鍵的差異化因素。Ojha引用內(nèi)容云(Content Cloud)作為Box用戶在不同工作流中實現(xiàn)一致安全性和可視性的地方，以查看應用程序中正在處理哪些文件和數(shù)據(jù)，以及誰在訪問數(shù)據(jù)及出于什么目的。

另一個原生工具Box Shield也可以配置來查找和分類敏感數(shù)據(jù)，并對分類后的數(shù)據(jù)進行適當?shù)目刂?，以降低?nèi)部人員和惡意軟件威脅的風險，同時還可以了解與數(shù)據(jù)相關(guān)的法規(guī)要求，并確保對監(jiān)管機構(gòu)進行審核跟蹤。此外，他還建議重新關(guān)注身份和訪問管理(IAM)，尤其是對外部用戶和合作伙伴使用多因素身份認證，而不要再使用可重用的密碼組合。

在數(shù)據(jù)層保護數(shù)據(jù)

Titaniam數(shù)據(jù)保護公司創(chuàng)始人兼CEO Arti Raman警告稱，不要過度依賴身份和訪問控制來防止數(shù)據(jù)泄漏，同時控件還需要直接關(guān)注通過公共云進行交易并存儲在公共云中的數(shù)據(jù)。但是，從端點到企業(yè)再到云的數(shù)據(jù)保護非常困難，并且必須具有足夠的靈活性以跨越所有這些邊界，以便在整個生命周期內(nèi)保護數(shù)據(jù)。

Raman認為，在對數(shù)據(jù)進行索引、搜索、聚合、查詢或以其他方式進行操作時，加密和數(shù)據(jù)保護應始終存在。這包括傳統(tǒng)的加密技術(shù)以及新的可搜索技術(shù)，這些新技術(shù)是在其上使用傳統(tǒng)加密來滿足合規(guī)性標準。

最后，Box公司的Ojha補充道，數(shù)據(jù)終止(data kill)政策也很重要。根據(jù)企業(yè)和法規(guī)為數(shù)據(jù)設(shè)置的要求，最好可以自動刪除不再需要在第三方應用程序和基礎(chǔ)架構(gòu)中存在的數(shù)據(jù)。