上云安全指南：横亘在企业数字化面前的风险

对于企业CIO来说，是否上云已经不是选择题，而是通往数字化的必由之路。不过，随着业务加速云化，一些企业的安全团队却仍然停留在原有的思维定式，忽视了对新业务部署时的风险控制。事实上，云应用和基础架构层面的数据泄露事件已经发生多起，而且勒索病毒和其他各类恶意软件的数量也在显著增加。

[[412466]]

在新冠肺炎疫情期间，许多企业都试图加快采用云技术。“事实上，Gartner近期进行的一项调查显示，新冠肺炎疫情造成业务中断之后，如今采用云服务的企业之中的近70%计划增加在云技术方面的支出。”但是，由于目前90%的云工作负载均由Linux支持，而X-Frand报告表明，过去十年中与Linux相关的恶意软件系列增加了500%，因此，云环境可能成为威胁源的主要攻击媒介。

Vmware在一份调查中提到，越来越多的攻击者正试图绕过传统安全解决方案。在分析的2000个攻击样本中，90%以上都出现了防御规避行为。勒索软件在过去一年内明显复苏，在占分析样本95%的勒索软件中，防御规避行为继续发挥关键作用。这些勒索软件重点攻击能源、政府和制造业部门，表明勒索软件的复苏已成为地缘政治紧张局势下的不良“副产品”。

这意味着，攻击者正变得善于规避安全解决方案，攻击质量提升，而在指挥和控制方面变得更加隐秘，通用类的安全监测很难察觉。同时，应用层、协议级的攻击正在成为主要威胁，攻击者可以发起多维的向量攻击。调查显示，在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介，其中8%包含五个或多个媒介。

LinkedIn曾经做过一项调查：49%的CIO和企业认为，影响他们上云的主要原因是担心数据的丢失和泄漏，59%的人认为，传统的网络安全工具在云端具有局限性。事实上，尽管当前各厂商在设计架构时更重视IaaS层的资源隔离，不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题，一方面是上云业务与原有IT架构的安全组件集成度不够，另一方面也是企业客户过于追求成本效益，忽视了安全因素。

通常来说，云安全可以通过网状的大量客户端对网络软件行为进行异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。不过，随着开放网络和业务共享场景愈发多变，新型的攻击方式也是不断涌现。多云供应、资源虚拟化、数据所有权分离等问题难以从根本上解决，更不用说云服务中包含了很多软件应用，更是暴露出潜在风险。

随着开源恶意软件的增加，IBM通过评估发现，攻击者可能正在寻找提高利润率的方法，即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调，多家威胁组织(如APT28、APT29和Carbanak)均转向开源恶意软件，这表明该趋势会导致新一年出现更多云环境攻击。

IBM X-Force威胁情报指数报告指出，攻击者正在利用云环境提供的可扩展处理能力，将大量云使用费用转嫁给受害企业。Intezer在2020年观察到，超过13%的Linux加密挖掘恶意软件中出现了从未被发现过的新代码。

由于攻击者的目标锁定在云上，所以，X-Force建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件，以帮助保护最敏感的数据。通过对使用中的数据进行加密，企业可以减少恶意攻击者可利用的漏洞，确保即使他们能够访问企业的敏感环境，也会一无所获。

对于云安全网关服务商或者风控人士来说，要想在云安全领域分得一杯羹，或许可以从五个方面找到方法。

第一，对异常数据或欺诈活动进行监测和拦截。一般来说，客户代表对客户信息的访问在单位时间内有数值波动不大，如果突然出现爆发式的访问或下载记录，说活动非常可疑。此时，CSG解决方案提供商必须准备必要的检测和通知机制。

第二，检测和防御固然重要，但相关人员更要知道“5W1H”，并为此做出可视化的深度分析报告。这样一来，未经验证的云程序可以提升其被预测性，在企业云迁移时加强安全风控。

第三，在线工作平台的流行加速了恶意软件的传播，用户在上传、分享、下载文件的过程中很难察觉到位于云存储系统的插件，为黑客访问敏感数据创造了便利条件。因此，CSG有必要在识别、隔离、消除恶意软件方面多下功夫。

第四，保护好用户的机密信息。数据泄露并非都是源于黑客窃取，一些不谨慎的员工在不经意间会将企业数据丢失，其中涉及个人信息或者知识产权方面的文件。通常情况下，传统预防措施(如DLP,Data leakage prevention)难以顾及云应用与平台之间数据迁移，使得CSG需要提供专门的云端DLP覆盖能力。

第五，对结构化和非结构化数据加密。为数据“上锁”的必要性在于，加大黑客售卖信息的难度，从而降低窃取动机。事实上，企业主更喜欢采用第三方CSG的存储和管理密钥，并通过云平台自带的加密功能进行过滤和防护。从某种程度上来说，这种外包的方式会带来额外的时间和经济成本，因此企业内部有能力解决往往更好。

体来说，云端数据迁移时先要打包整体的数据源，关注部分数据可能会导致最终处理时失真。其次，数据迁移的对象范围和规模要给出预估，充分利用边缘化的存储。再者，自动化流程往往比人工干预要更有效率。涉及到具体的数据传输加密过程，可以结合客户端/应用加密、链路/网络加密、代理加密三种模式。企业部署云计算不是一蹴而就，初期部署一些轻量化业务上云测试是必要的。除了要选择熟悉的云服务商，还要实时监控数据中心和云端业务的运行情况，并且在出现问题时迅速决定投入哪些资源来抵御攻击。