趋势与观点 | 云端合规管理:保障云访问安全与审计就绪

随着云环境中用户数量的增加,确保合规性成为一项更加复杂的任务。当大量用户被授予无数权限,使他们能够访问云基础设施和包含敏感数据的应用程序时,这种复杂性就会被放大。

此外,由于缺乏培训或漠不关心,企业内部团队忽视了与数据隐私和合规相关的潜在隐患和内在风险。这种内部脱节不仅会危及组织数据安全的立场,还会由于法规不断变化,增加违反的风险。在这种情况下,教育团队并使其与整个企业的安全和合规目标保持一致就变得至关重要。

幸运的是,云工程和安全领导者可以实施简化的解决方案来保护他们的在线环境,而不会影响工作效率,同时还能实现合规性。他们可以从以下3个方面着手。

01培训员工识别社会工程攻击

近四分之三的网络攻击涉及人为因素,包括社交工程攻击、错误或滥用。最近的一些例子包括对美高梅国际度假酒店和凯撒娱乐公司的攻击。在美高梅国际度假酒店的案例中,威胁者使用社交工程作为初始切入点,在LinkedIn上找到一名美高梅国际度假酒店的员工,冒充他们并致电该组织的服务台要求访问该账户。

人们常说,安全由流程、人员和技术(即工具)组成。人们必须能够预测和识别社会工程事件和网络钓鱼攻击,这些事件和攻击越来越令人深信,其目的是诱骗员工和其他内部利益相关者提供对IT基础设施公开合法途径的访问权限。因此,安全意识培训对于识别社交工程和网络钓鱼的企图至关重要。例如,如果目标是让员工成功识别恶意电子邮件,IT人员就应进行模拟网络钓鱼攻击演习,以确定有多少员工会上当受骗并去点击恶意链接或提供敏感信息。此类演习提供了一种低成本、高回报的机制,同时提高了网络安全性和监管合规性。

02保持跨云的洞察力

在多云环境中,要确保适当的治理、合规性和安全性,就必须了解谁可以访问哪些资源以及从哪里访问。这是最大限度降低特权访问风险的关键,同时也强调了全面了解各种云基础设施和应用程序的重要性。

云平台的功能通常是信息和操作孤岛,这使得组织难以了解用户如何使用其权限或确定哪些固定特权可能构成风险。令人难以置信的是,14%的安全领导者表示,他们“不知道”云平台中还存在多少固定特权,10%的组织表示,他们对多云环境中的特权访问“一无所知”。

对于许多企业来说,单点登录(SSO)、多因素身份验证(MFA)和身份配置(Identity provisioning)是他们在缺乏可见性的情况下加强网络安全和合规工作的第一反应。然而,这些工具往往缺乏显示有效访问级别的能力,因为它们无法提供促进网络安全和合规性的洞察力。在云基础设施的动态特性中,缺乏对用户、组和角色权限的深入了解,使这些挑战变得更加复杂。这导致对用户在云基础设施和应用程序中的活动几乎没有监督和控制。

03实现对云资源的即时临时访问

为跨多个云平台的所有用户(包括人员身份和服务身份)实施即时(JIT)临时(非永久)访问是一项至关重要的初步措施。遗憾的是,服务身份经常在安全审计过程中被忽视,而过多的权限往往只有在导致安全漏洞或业务中断时才会被认为是一个问题。真正的多云JIT权限授予可让用户在不同环境中轻松、安全地访问云资源。统一的访问模式提供了一个集中管理和控制的控制台,该控制台可通过强大的方法来监督用户权限、分配或撤销权限,并降低不同云服务提供商(CSP)和软件即服务(SaaS)应用程序之间的整体风险。

当今的云数据泄露往往是权限过多、闲置或配置错误造成的。恶意行为者可以通过社会工程学(真实或虚拟)锁定特权用户,一旦他们夺取了这些用户的账户,就会想方设法利用为这些账户提供的过多或闲置的权限,在企业环境中进行渗透和破坏。

没有强制实施JIT访问的企业会承担更高的安全风险,并使合规变得异常复杂和耗时,从而增加了产生严重违规费用的可能性。相反,实施JIT临时访问的企业能够大幅减少访问认证过程中必须审查的访问权限数量。这有助于为管理人员、基础设施和应用程序支持团队腾出宝贵的时间,他们不再需要处理成百上千次不必要的静态权限撤销。

实现合规不打折扣 

现在很明显,降低风险和满足监管合规性并不是一个“是”或“否的命题。相反,它是一个持续优先的事项,需要有效的解决方案,这些解决方案应与它们所支持的云工作流程和环境一样灵活敏捷。

多云应用的兴起为现代组织带来了巨大的机遇和严峻的挑战。众多云平台的融合使企业更加敏捷和高效,但同时也带来了复杂的安全和合规问题。

随着云技术的不断发展,确保云技术安全的手段也必须以同样或更高的标准进行扩展,其中包括有效而安全地访问云资源。实现合规性不是一蹴而就的,而是一项需要警惕、创新、一致性和灵活性的持续追求。要满足这些需求,就必须在利用多云的优势和降低潜在风险之间取得微妙的平衡。

通过精心的规划、持续的教育、正确的工具和强化的治理框架,组织可以在不影响安全性或合规性的情况下驾驭这一复杂的局面。

编者按:本文于2024年4月18日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。

作者:ART POGHOSYAN,Britive首席执行官(CEO)兼联合创始人。

翻译:王岩(Liam Wong),CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员

校对:王亮(Lionel Wang),CISA,ISACA微信公众号特邀通讯员,致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究