云計算安全審計概覽
目前,國內的云計算應用如火如荼,企業在加速云上業務應用的同時,也需要構建更加透明、更加可靠的云應用環境。開展云安全審計正是保障云計算應用安全的有效手段之一,它能夠將云上業務運營狀態及風險進行充分地檢驗和評審,預防發現可能出現的安全隱患。
一、云安全審計的價值
云安全審計是一套流程,旨在識別與云計算應用相關的安全漏洞和風險。云安全審計之所以很重要,是由于它可以幫助組織評估云環境的安全狀況,識別和減小數字化應用上云后的安全風險,保護云上重要數據資產的安全,從而實現組織業務的穩定開展。
組織在開展云安全審計時,應該明確以下重點工作目標:
- 識別和減小與使用云服務相關的風險;
- 滿足監管部門的應用合規要求;
- 改善組織的云上應用安全狀況;
- 降低云服務的使用成本和預算投入。
二、云安全審計工具
云安全審計工作可以手動執行,也可以借助自動化工具執行。這類工具多用于識別和修復漏洞,監控安全策略合規情況,并跟蹤云環境出現的變化。Astra Pentest、Prowler、Dow Jone’s Hammer、ScoutSuite和CloudSploit Scans是目前最常用的云安全審計工具。
1.Astra Pentest
Astra的Pentest云安全審計工具經過1000余種安全測試,遵守國際安全標準,這種云安全審計工具擁有界面直觀的儀表板,可動態顯示漏洞。它還可以檢測潛在漏洞的嚴重性,并通過修復協助和多次重新掃描提供安全審計。
2.Prower
Prower主要用于執行審計、最佳實踐評估、安全加固和取證分析就緒。Prowler在設計時嚴格遵循CIS Amazon Web Services Foundations Benchmark指南及相關行業審計標準,比如《健康保險可攜性及責任性法案》(HIPAA)和《通用數據保護條例》(GDPR)的合規要求。
3.Dow Jone’s Hammer
該工具主要面向Amazon AWS的云安全解決方案,支持多賬戶審計功能。借助Slack和JIRA等實時報告功能,Hammer可以識別用戶AWS云資源中的錯誤配置以及不安全的數據隱患。產品具有實時報告功能,能夠向工程師提供快速反饋,并自動修復一些錯誤配置。Hammer還可以創建安全護欄,幫助保護部署在云平臺上的產品。
4.ScoutSuite
ScoutSuite是一種用于多云環境安全審計的開源工具,可以評估云環境的安全狀況。ScoutSuite使用云提供商公開的API,以收集配置數據供人工檢查,并能夠重點顯示風險區域。它支持Azure、AWS、GCP、Oracle和我國的阿里云等多云環境。
5.CloudSploit Scans
CloudSploit Scans是一款出色的開源云安全審計工具,支持Azure、AWS、GCP 和Oracle云的評估工作。通過使用CloudSploit Scans,有助于審計人員檢測云基礎設施賬戶中的潛在安全威脅,它具有一些特定腳本可讓設備防護一系列潛在的錯誤配置和安全風險。
三、云安全審計流程
云安全審計涉及許多技術和程序。如果遵循這些技術和程序,組織可以讓云上業務更可靠地運行。以下是云安全審計工作中最重要的工作環節:
- 掃描并識別云環境中的漏洞,并提供修補建議;
- 分析云計算應用配置是否合理,是否存在違規配置;
- 檢查云應用安全策略是否被有效執行;
- 查看訪問控制列表,是否存在違規或異常訪問行為;
- 查看并分析云監控數據日志。
四、云安全審計指標
組織在實際開展云安全審計工作時,可以參考以下最佳實踐經驗,合理設計審計指標:
1.云服務商的安全狀況
任何組織都不想與沒有足夠安全保障能力的云供應商打交道。除了云平臺提供的安全策略和程序外,客戶還需要能夠通過對自身云上數據的監測來評估風險。
2,攻擊面管理與評估
如果定期監控云環境,組織可以迅速識別安全預防措施中的缺陷,并控制整個云資產面臨的風險。只有了解這些情況,組織才可以集中精力進行補救,重點保護風險系數高或重要性高的資產。
3.訪問控制管理措施
訪問權限管理不當是目前最普遍的云安全問題。雖然云提供商會提供訪問權限管理功能,但如果這些登錄信息被非法竊取,組織的數據隨時可能會泄露。這是需要重點關注和審計的內容。
4.外部共享標準
云計算可以讓數據共享使用更快捷。通過云計算平臺,整個組織訪問和共享信息變得輕而易舉,然而這也帶來了風險。員工可能會在家用網絡上安裝惡意軟件,在未經授權的情況下訪問組織數據,或與組織外部的人共享數據,因此需要對云數據的共享使用建立規范標準,并保證其被有效執行。
5.補丁管理
補丁管理是確保云環境安全的一個重要環節。然而,實際工作中落實補丁及時管理并非易事,需要時刻了解云計算應用中的漏洞修補情況。
五、云安全審計挑戰
根據實踐總結,研究人員發現,組織開展云安全審計工作存在的主要挑戰包括:
- 云安全審計在識別與使用云服務相關的所有風險時常面臨困難;
- 需要專業知識和技能保障。如果沒有這些知識和技能,安全審計常常會走歪路;
- 審計人員對云環境的內部運作缺乏足夠的認知和了解;
- 由于安全隱患的未知性和復雜性,可能會出現誤報和漏報。
