美国国土安全部聚焦云安全并制定了克服云安全面临的挑战的框架

美国国土安全部最近宣布，其网络安全审查委员会的下一个项目将专注于“与影响适用的云服务提供商及其客户的基于云的身份和身份验证基础设施相关的问题”。这并不令人惊讶，因为企业中云采用的爆炸性增长已经开启了一个需要保护的大的攻击面。

目前有94%的企业使用云(其中92%使用多个云平台)，在使用多个云平台时，企业仍在维护安全性方面遇到困难。

例如，最近的一些网络攻击涉及身份被盗或泄露，特别是那些与基于云的身份有关的攻击，而且这种攻击正在增加。去年，几乎90%的企业受到了此类网络攻击，即使是最大的云计算提供商，如微软和AWS也受到了影响。

没有人在谈论把云精灵放回瓶子里。国土安全部的声明强调了“云基础设施在我们日常生活中的日益重要性。”网络安全和基础设施安全局局长Jen Easterly指出，目前适用于大多数企业的网络安全分担责任模式要求更多地关注云安全，特别是身份管理和身份验证，以提供必要的功能和保护敏感数据。

虽然分担责任模式在划定安全所有权领域以及明确这一复杂而关键的需求方面很重要，但它确实造成了一个明显的安全漏洞：它让可能没有能力应对挑战的云用户负责保护敏感数据。

只有40%的企业有足够的信心表示，他们有足够的安全性来100%保护云中的数据。Gartner还预测，到2025年，99%的云故障将是用户的错。一些最常见的挑战包括导致应用程序易受攻击的错误配置、对云环境的多层复杂性的监控不严或无法发现威胁，以及缺乏执行安全措施的人员。

共同承担责任的挑战

云服务提供商倾向于优先考虑快速构建和扩展云环境——毕竟这是云服务的卖点——并将保护应用程序和数据的责任留给他们的客户。尽管云提供商为身份和访问管理提供了自己的专有安全工具，但当他们的企业使用多个云提供商或混合公有/私有云时，用户仍然面临安全漏洞，就像许多企业今天所做的那样。

解决云环境中的漏洞也成为一个争议点，云服务提供商在发现漏洞时就会解决这些漏洞，但他们必须在发布软件更新的需求与其业务优先事项之间取得平衡，例如保证软件质量和最大限度地减少中断。

这给企业留下了两个不同且不令人满意的选择，规模较小的公司可能会依赖云服务提供商提供的基本工具，这些工具有时成本较低，但可能无法提供全面的安全性。与此同时，较大的企业越来越多地投资于构建他们认为的统一云安全战略，这在分散的环境中可能很难实现。

如何克服云安全面临的挑战

面对这种风险格局，国土安全部审查委员会评估与基于云的身份和身份验证基础设施相关的问题的项目可以提供一个框架，以应对保护多云环境的挑战，这可能会提高云服务提供商的透明度，改善云服务提供商保护其平台的努力，并避免客户承担不必要的风险。

然而，要弄清“与基于云的身份和身份验证基础设施相关的问题”，需要能够从身份角度分析风险的解决方案，为了做到这一点，企业必须探索几种不同的选择：

第三方解决方案：这些解决方案可以提供发现和修复云安全漏洞的集成平台，并在部署前进行检测，它们还可以在多云环境中揭示云身份风险发现，例如权限提升和过度权限，它们可以自动实施访问策略、适当调整权限大小并管理整个网络中的权限，而不会因手动身份管理任务而使IT部门负担过重。

确保最低特权访问的定期内部和独立审计：默认情况下，用户应具有执行其任务所需的最低权限，这一原则确保了即使凭据被泄露，损害也得到了控制。实施重复的内部审计计划，以审查用户的权利和权限，并确保无意或临时授予的不必要的权限被撤销。更好的做法是，让你的企业接受有节奏的独立审核，以便更好地与身份和访问管理安全最佳实践保持一致。

培训和意识：国土安全部鼓励企业发展强大的安全文化——这有助于提高企业防御社会攻击所需的意识。此外，持续培训你的IT和开发团队了解云安全最佳实践，例如为新部署使用配置模板以确保默认情况下的安全配置，定期举办讲习班、研讨会和更新最新的最佳做法，可使该小组随时了解情况并保持警惕。

单云、多云和混合云基础设施将继续存在。网络安全审查委员会对云安全的关注，以及最近政府的一系列网络安全举措——想想关于网络安全的行政命令——揭示了云中的网络威胁。

国土安全部的审查本身并不是一个规则制定过程，但每当联邦政府支持一个框架时，企业都会倾听。现在是时候重新考虑身份和身份验证在你的云安全战略中的角色以及如何管理它了。