2021年新冠疫情反復(fù)肆虐，全球性的遠(yuǎn)程辦公已經(jīng)成了“基本操作”，大量企業(yè)主動(dòng)或被動(dòng)轉(zhuǎn)向云計(jì)算大規(guī)模遷徙，但是正如塞倫蓋提大草原上的動(dòng)物遷徙，沿途危機(jī)四伏。在Menlo Security對(duì)200位IT經(jīng)理進(jìn)行的一項(xiàng)調(diào)查中，有40%的受訪者表示，由于企業(yè)大規(guī)模上云，他們正面臨著來(lái)自云應(yīng)用和物聯(lián)網(wǎng)(IoT)的安全威脅。

企業(yè)上云面臨的安全威脅很多都是老問(wèn)題，但這些威脅因?yàn)槎乜虪柨耸降拇笠?guī)模倉(cāng)促行動(dòng)而被放大了，例如影子IT、BYOD和虛擬專用網(wǎng)。遠(yuǎn)程辦公導(dǎo)致2020個(gè)人PC市場(chǎng)迎來(lái)“偉大復(fù)興”，但我們也應(yīng)該意識(shí)到，“個(gè)人”PC不再是個(gè)人使用，同一臺(tái)計(jì)算機(jī)可能同時(shí)也在運(yùn)行孩子的網(wǎng)校、網(wǎng)游和社交應(yīng)用，而相關(guān)的安全意識(shí)培訓(xùn)和規(guī)則卻并未跟上。可以肯定的是，這對(duì)于任何企業(yè)的安全策略來(lái)說(shuō)都不是好苗頭。

以下是企業(yè)上云過(guò)程中，常見(jiàn)的七個(gè)安全錯(cuò)誤：

1. 依賴虛擬專用網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)

過(guò)去的一年已經(jīng)證明，虛擬專用網(wǎng)可能不是遠(yuǎn)程訪問(wèn)的最佳答案，甚至頂尖的網(wǎng)絡(luò)安全公司也吃了大虧。2020年12月發(fā)生震驚整個(gè)網(wǎng)絡(luò)安全業(yè)界的FireEye黑客事件中，遭到入侵的虛擬專用網(wǎng)賬戶顯然是黑客竊取其工具的切入點(diǎn)。過(guò)去，虛擬專用網(wǎng)是保護(hù)遠(yuǎn)程工作者安全的首選方法，但是大規(guī)模遠(yuǎn)程辦公時(shí)代，虛擬專用網(wǎng)的安全性遠(yuǎn)遠(yuǎn)不如零信任架構(gòu)，后者提供基于身份和上下文的持續(xù)訪問(wèn)控制。此外，安全主管還應(yīng)確保自疫情大流行以來(lái)已經(jīng)制訂了基于家庭的信息安全策略，并將遠(yuǎn)程辦公帶來(lái)的新的攻擊面(例如多用戶家用PC)考慮在內(nèi)。

2. 錯(cuò)誤的云產(chǎn)品組合

需要考慮的因素有很多，例如，您是否需要在私有云上運(yùn)行關(guān)鍵業(yè)務(wù)數(shù)據(jù)，與其他云服務(wù)隔離開(kāi)?您是否有合適的操作系統(tǒng)子版本運(yùn)行那些需要在特定配置的Windows和Linux中運(yùn)行的應(yīng)用程序?是否準(zhǔn)備了正確的連接器和身份驗(yàn)證保護(hù)，以與不上云的本地應(yīng)用程序和設(shè)備一起運(yùn)行?如果您有舊版大型機(jī)應(yīng)用程序，則可能要先在私有云中運(yùn)行它，然后嘗試找到最接近于現(xiàn)有大型機(jī)設(shè)置的正確的云環(huán)境。

3. 安全狀況可能不適合上云

常見(jiàn)的云安全錯(cuò)誤包括不安全的存儲(chǔ)容器、訪問(wèn)權(quán)限、身份驗(yàn)證參數(shù)設(shè)置不當(dāng)，以及大量開(kāi)放端口。無(wú)論是從本地還是遠(yuǎn)程進(jìn)行連接，企業(yè)都希望保持一致的安全狀態(tài)。因此在將單個(gè)應(yīng)用程序遷移到云之前，應(yīng)當(dāng)從一開(kāi)始就將安全性問(wèn)題考慮進(jìn)去。強(qiáng)生公司幾年前就這樣做了，當(dāng)時(shí)他們將大部分工作負(fù)載遷移到了云中，安全管理模型也隨之變成了集中式。一個(gè)可以參考的工具是Netflix剛剛發(fā)布的ConsoleMe開(kāi)源工具，該工具可以在一個(gè)瀏覽器會(huì)話中管理多個(gè)Amazon Web Services(AWS)賬戶。

4. 沒(méi)有測(cè)試災(zāi)難恢復(fù)計(jì)劃

您上次測(cè)試災(zāi)難恢復(fù)(DR)計(jì)劃是什么時(shí)候?應(yīng)用程序在云中運(yùn)行并不意味著可以高枕無(wú)憂。事實(shí)上這些應(yīng)用程序仍然依賴特定的Web和數(shù)據(jù)庫(kù)服務(wù)器以及其他基礎(chǔ)架構(gòu)組件。好的災(zāi)難恢復(fù)計(jì)劃會(huì)記錄這些依賴關(guān)系，并為關(guān)鍵業(yè)務(wù)流程提供預(yù)案。

災(zāi)難恢復(fù)計(jì)劃的另一個(gè)重要部分是對(duì)云故障進(jìn)行連續(xù)測(cè)試。云計(jì)算也會(huì)宕機(jī)和拋錨，過(guò)去幾周內(nèi)Google、亞馬遜、微軟、蘋果的云服務(wù)都遭遇了較為嚴(yán)重的業(yè)務(wù)中斷。幾年前，Netflix開(kāi)發(fā)的Chaos Monkey工具使整體混沌工程廣為流行，它旨在通過(guò)不斷(隨機(jī))關(guān)閉各種生產(chǎn)服務(wù)器來(lái)測(cè)試公司的云基礎(chǔ)架構(gòu)。

企業(yè)可以基于這些工具和方法來(lái)開(kāi)發(fā)自己的混亂故障測(cè)試，尤其是與安全相關(guān)的測(cè)試，這些測(cè)試可以揭示云配置中的弱點(diǎn)，通過(guò)自動(dòng)連續(xù)執(zhí)行測(cè)試以發(fā)現(xiàn)基礎(chǔ)架構(gòu)的瓶頸和缺陷。除了Netflix的開(kāi)源工具外，還有一些商業(yè)產(chǎn)品，例如Verodin/Mandiant的安全驗(yàn)證，SafeBreach的Breach和Attack Simulation，Cymulate的仿真工具以及AttackIQ的Security Optimization Platform。

5. 沒(méi)有為多數(shù)云產(chǎn)品組合優(yōu)化身份驗(yàn)證

企業(yè)上云之前可能已經(jīng)擁有身份和訪問(wèn)管理、SIEM、CASB或單點(diǎn)登錄工具，但這些工具在大多數(shù)云和遠(yuǎn)程訪問(wèn)環(huán)境未必是最適合的身份驗(yàn)證手段。企業(yè)需要仔細(xì)研究這些工具，確保它們可以適應(yīng)涵蓋特定云環(huán)境和整個(gè)應(yīng)用程序組合。例如，雖然CASB非常擅長(zhǎng)管理云應(yīng)用訪問(wèn)，但是您需要確保這個(gè)方案可以與內(nèi)部自定義應(yīng)用程序一起使用，可以進(jìn)行基于風(fēng)險(xiǎn)的身份驗(yàn)證的應(yīng)用程序，可以保護(hù)您免受更復(fù)雜的混合云環(huán)境威脅。

6. 過(guò)時(shí)的Active Directory

Gartner的David Mahdi曾在演講中說(shuō)：“在數(shù)據(jù)四處流動(dòng)的今天，身份是新的安全邊界。概括來(lái)說(shuō)就是必須是正確的人，在正確的時(shí)間、正確的地點(diǎn)，以正確的理由，訪問(wèn)正確的資源。”可以肯定的是，企業(yè)的安全團(tuán)隊(duì)還有很多事情要做。上云意味著，您的Active Directory(AD)可能無(wú)法反映現(xiàn)實(shí)，包括當(dāng)前(授權(quán))用戶、應(yīng)用程序和服務(wù)器列表。只有準(zhǔn)確的信息，才能確保上云的過(guò)程平滑順暢。

7. 羞于尋求專業(yè)幫助

許多網(wǎng)絡(luò)安全廠商，例如托管安全服務(wù)提供商(MSSP)提供云遷移相關(guān)的安全咨詢和服務(wù)，因此，不要羞于向他們尋求幫助。因?yàn)槠髽I(yè)的IT團(tuán)隊(duì)很可能因?yàn)榧庇趯⑺袃?nèi)容遷移到云中，留下了一些后門或引入了漏洞。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】