Check Point: 解析5 大云原生安全挑战

2022年将至，随着疫情控制的进一步稳定，业务创新、恢复生产势必会成为新一年的主旋律。因此，通过IT技术提升核心竞争力将成为企业主要摸索方向之一。然而，随着企业将应用和服务迁移并扩展到多云环境，安全团队面临的挑战也日益增加，从公司政策和预算限制到合规处罚再到新型攻击威胁不一而足。云数据的安全威胁来源有很多，内部外部兼有，比如合法用户滥用数据、外部攻击者使用被盗凭证等等。

威胁和盗窃依然无处不在，攻击者的手段也在不断调整。Check Point安全专家将在本文中阐述5 大云原生安全挑战并简单介绍规避风险的方法。

1.缺乏可视性

与本地环境相比，云环境严重缺乏安全与合规洞察。公有云环境要求用户能够查看和控制另一个物理空间的数字资产。在安全责任共担模型下，公有云客户将承担保护数据和流量安全的责任。

此外，云资源的多变性和不易跟踪性导致问题更加复杂。随着云原生技术（例如无服务器）部署规模的扩大，新的挑战也相继而来。特别是无服务器应用，它通常由数百个功能组成，随着应用的日趋成熟，维护这些数据和访问数据的服务将变得难上加难。

出于以上种种原因，系统必须要第一时间自动检测刚刚创建的数字资产，并一直跟踪它的所有变更，直至资源被移除。

然而，仅保存历史数据只是保持可视性的第一步，如果没有适当的上下文，维护数据就变得毫无意义。上下文对于改进风险识别至关重要。在应用保护中考虑上下文不仅可以减少漏报，而且可以帮助管理员避免误报情况的发生。例如，一个活动可能在有些情况下可疑和异常，但在其他情况下又完全正常。查看“带上下文”的请求有助于更有效地检测恶意活动。

云原生安全解决方案只有了解正常使用情形和用户意图，才能更准确地检测恶意使用。为了充分了解正常使用情形，安全解决方案应使用机器学习构建一个关于正常使用情形的全面配置文件。此类配置文件允许解决方案自动识别偏差并就可疑活动发出警报。由此可以看出，需要不断手动调整 WAF 的传统方法无法适用云原生应用保护。

同时，深入、实时、可以帮助调查和集中管理的可视性能够进一步帮助企业提高生产效率。为了实现这一点，解决方案必须能够通过 API 集成基础设施内的所有环境和实体要素，从而聚合和分析各种监视数据流（例如账户日志和账户活动），以提供真正的情境感知，并为每个数据流和审计跟踪提供实时洞察。

2.多样化的威胁

网络安全专业人员不断创新，攻击者也在不断调整攻击策略。Data-to-Everything（将数据转化为一切）平台提供商 Splunk 发布了一份共包含 50 个主要安全威胁的“文集”。不同的攻击类型（例如账户接管）有不同的攻击策略，这些策略包括网络钓鱼、暴力僵尸网络攻击、从暗网上购买用户凭证、甚至包括在丢弃的垃圾中挖掘个人信息等等。

当有太多的安全数据需要分析时，云取证和调查机会变得昂贵且低效，安全人员几乎无法辨别安全警报的轻重缓急。如上文所述，收集并解释（事件发生前）日常云运营期间产生的数据至关重要。这将直接影响安全性，对后续调查十分重要。

上云的企业必须要认识到数据分析、入侵检测和威胁情报在保护敏感数据、防范安全威胁方面的重要性。云智能工具可以分析云环境中发生的事件，并通过机器学习和威胁研究提供对账户活动的洞察。用户需要一种支持过滤结果、深入探索信息、通过查询排障以及自定义警报通知的解决方案。

Check Point安全专家建议考虑 MITRE ATT&CK 框架，该框架是一个根据实际观察建立的全球可访问的攻击者策略和技术知识库，共分为 14 个不同的类别。举例来讲，横向移动技术 (Lateral Movement) 包括攻击者入侵和控制网络远程系统所用的技术。控制系统是他们的主要目标，为此他们会探索网络，定位目标，然后进入网络，期间涉及到多个系统和账户。要想防范使用横向移动技术发起的攻击，安全人员需要借助广泛的可视性及时检测攻击活动，防止攻击者得逞。

3.无法实施一致的策略

当今的云原生环境包含来自各个厂商的各种工具，因此很难集中管理和一致地实施安全策略。

Enterprise Strategy Group (ESG) 指出，“除了增加成本和复杂性之外，特定的环境采用特定的网络安全控制措施还会阻碍企业集中实施策略。”ESG 的研究表明，“很明显，现在的企业越来越倾向于使用集中管理方法在集成式平台上保护分布式云平台上的异构云原生应用。”

在多云/混合基础设施中，多种孤立的工具很难让企业获得有效管理云安全所需的实用端到端可视性。用户需要一种能够简化整个云基础设施、整合所有 CSP 产品以及统一和自动化执行规则集、策略、警报和修复策略的解决方案。

4.配置错误

如果与云相关的系统、工具或资产配置有误，就会出现配置错误，进而危及系统，使其面临攻击或数据泄漏隐患。根据《2020 年云安全报告》，配置错误是云的头号威胁，68% 的公司表示配置错误是他们最担心的问题（高于上一年的 62%）。其次是未经授权的访问 (58%)。为了进一步证实这一统计数据，ESG 询问了受访者在过去 12 个月内最常见的十个云配置错误。其中回答最多的是“使用默认密码或无密码访问管理控制台”，这一比例高达 30%。

虽然“默认密码或无密码访问”这一现象仅凭常识就可以避免，但要确保整个云基础设施都能正确配置则有一点复杂。Cloud Posture Management 可提供规则集和自动修复功能，从而确保所有系统始终配置无误！

5.缓慢的安全流程

云计算的一大关键优势是灵活、敏捷和快速！企业需要保证快速运转的 CI/CD 流水线、短暂的工作负载和高度弹性的公有云基础设施始终具有相应的合规性和安全性。

在实施安全策略的过程中，许多企业都会犯同一个错误：安全大于效率和速度。如果开发人员在发布新软件和更新软件时受阻和停滞，那么再安全又有何用。通过左移，企业可以在软件供应链的早期阶段实施并自动化安全性。