目前,国内的云计算应用如火如荼,企业在加速云上业务应用的同时,也需要构建更加透明、更加可靠的云应用环境。开展云安全审计正是保障云计算应用安全的有效手段之一,它能够将云上业务运营状态及风险进行充分地检验和评审,预防发现可能出现的安全隐患。
云安全审计的价值
云安全审计是一套流程,旨在识别与云计算应用相关的安全漏洞和风险。云安全审计之所以很重要,是由于它可以帮助组织评估云环境的安全状况,识别和减小数字化应用上云后的安全风险,保护云上重要数据资产的安全,从而实现组织业务的稳定开展。
组织在开展云安全审计时,应该明确以下重点工作目标:
识别和减小与使用云服务相关的风险。
满足监管部门的应用合规要求。
改善组织的云上应用安全状况。
降低云服务的使用成本和预算投入。
云安全审计工具
云安全审计工作可以手动执行,也可以借助自动化工具执行。这类工具多用于识别和修复漏洞,监控安全策略合规情况,并跟踪云环境出现的变化。AstraPentest、Prowler、DowJone’sHammer、ScoutSuite和CloudSploitScans是目前最常用的云安全审计工具。
1、AstraPentest
Astra的Pentest云安全审计工具经过1000余种安全测试,遵守国际安全标准,这种云安全审计工具拥有界面直观的仪表板,可动态显示漏洞。它还可以检测潜在漏洞的严重性,并通过修复协助和多次重新扫描提供安全审计。
2、Prower
Prower主要用于执行审计、最佳实践评估、安全加固和取证分析就绪。Prowler在设计时严格遵循CISAmazonWebServicesFoundationsBenchmark指南及相关行业审计标准,比如《健康保险可携性及责任性法案》(HIPAA)和《通用数据保护条例》(GDPR)的合规要求。
3、DowJone’sHammer
该工具主要面向AmazonAWS的云安全解决方案,支持多账户审计功能。借助Slack和JIRA等实时报告功能,Hammer可以识别用户AWS云资源中的错误配置以及不安全的数据隐患。产品具有实时报告功能,能够向工程师提供快速反馈,并自动修复一些错误配置。Hammer还可以创建安全护栏,帮助保护部署在云平台上的产品。
4、ScoutSuite
ScoutSuite是一种用于多云环境安全审计的开源工具,可以评估云环境的安全状况。ScoutSuite使用云提供商公开的API,以收集配置数据供人工检查,并能够重点显示风险区域。它支持Azure、AWS、GCP、Oracle和我国的阿里云等多云环境。
5、CloudSploitScans
CloudSploitScans是一款出色的开源云安全审计工具,支持Azure、AWS、GCP和Oracle云的评估工作。通过使用CloudSploitScans,有助于审计人员检测云基础设施账户中的潜在安全威胁,它具有一些特定脚本可让设备防护一系列潜在的错误配置和安全风险。
云安全审计流程
云安全审计涉及许多技术和程序。如果遵循这些技术和程序,组织可以让云上业务更可靠地运行。以下是云安全审计工作中最重要的工作环节:
扫描并识别云环境中的漏洞,并提供修补建议。
分析云计算应用配置是否合理,是否存在违规配置。
检查云应用安全策略是否被有效执行。
查看访问控制列表,是否存在违规或异常访问行为。
查看并分析云监控数据日志。
云安全审计指标
组织在实际开展云安全审计工作时,可以参考以下最佳实践经验,合理设计审计指标:
云服务商的安全状况
任何组织都不想与没有足够安全保障能力的云供应商打交道。除了云平台提供的安全策略和程序外,客户还需要能够通过对自身云上数据的监测来评估风险。
攻击面管理与评估
如果定期监控云环境,组织可以迅速识别安全预防措施中的缺陷,并控制整个云资产面临的风险。只有了解这些情况,组织才可以集中精力进行补救,重点保护风险系数高或重要性高的资产。
访问控制管理措施
访问权限管理不当是目前最普遍的云安全问题。虽然云提供商会提供访问权限管理功能,但如果这些登录信息被非法窃取,组织的数据随时可能会泄露。这是需要重点关注和审计的内容。
外部共享标准
云计算可以让数据共享使用更快捷。通过云计算平台,整个组织访问和共享信息变得轻而易举,然而这也带来了风险。员工可能会在家用网络上安装恶意软件,在未经授权的情况下访问组织数据,或与组织外部的人共享数据,因此需要对云数据的共享使用建立规范标准,并保证其被有效执行。
补丁管理
补丁管理是确保云环境安全的一个重要环节。然而,实际工作中落实补丁及时管理并非易事,需要时刻了解云计算应用中的漏洞修补情况。
云安全审计挑战
根据实践总结,研究人员发现,组织开展云安全审计工作存在的主要挑战包括:
云安全审计在识别与使用云服务相关的所有风险时常面临困难。
需要专业知识和技能保障。如果没有这些知识和技能,安全审计常常会走歪路。
审计人员对云环境的内部运作缺乏足够的认知和了解。
由于安全隐患的未知性和复杂性,可能会出现误报和漏报。