除了通過合同管理風險(《CSA云計算關鍵資產重點領域安全指南4.0版》第2.1節“數據治理”)之外,你還可以對存儲到云資源中的數據實施控制。有多項云服務就是用來幫助你把數據從你的本地系統疊加或復制到云端的,可在管理和數據治理方面實現更高的一致性。
身份管理是這種方法的核心,上述指南的域12介紹了復制或共享身份的策略,以及跨云供應商的單點登錄和聯合身份等訪問控制選項。自帶密鑰(BYOK)可為數據訪問提供補償性控制;你可以把自己的密鑰導入基于軟件的密鑰管理系統,或導入云供應商提供的專用硬件安全模塊。
有三種基本方法可以做到這一點:
1.??????? 傳輸前給數據加密;
2.??????? 對傳輸和存儲服務都使用加密;
3.??????? 采用以數據為中心的安全保護措施。
《CSA云計算關鍵資產重點領域安全指南4.0版》第5.1.2節說明了這些方法面對在云端移動和使用數據的情況可以發揮怎樣的作用。這里的要求是,在使用這些方法之前,你應該制定好自己的數據治理戰略并清楚應該如何對這些方法做出權衡取舍。
該指南第11章介紹了支持這些戰略的具體技術。如果你選擇在將數據移動到云端之前進行加密,或者在全企業范圍執行一種加密解決方案,那么,你要么應該為云端的數據訪問鏡像本地密鑰和加密功能,將本地控制與云端原生服務結合到一起使用,你要么應該把自己的現行加密解決方案帶到云端代替云原生服務。
如果你選擇在服務層給數據傳輸(例如TLS、VPN)和數據存儲(例如卷、對象、數據庫)加密,你可以用云原生功能或者你偏好的加密解決方案來保護會接觸傳入的數據的每項服務。屏蔽和令牌化等以數據為中心的安全工具可以用來在數據向云遷移之前轉換這些數據。
雖然有些靜態屏蔽解決方案是不可逆的,但是如果你需要將令牌反轉為原始數據值,你要么需要在本地執行這一操作,要么將現有令牌化服務帶到云端執行去令牌化處理。不過這三種方法都可以提供安全的數據傳輸和存儲,并能把信息復制到多個云服務模型。
大多數云供應商跟你一樣害怕流氓管理員訪問你的數據,因為這種“黑天鵝”事件可能會嚴重影響他們的聲譽和估值。因此,他們會全力確保自己手下的管理員無法在未經事先批準和沒有接受全面審計的情況下訪問客戶數據、加密密鑰和系統。但是這種風險不管有多小,也畢竟是一種風險。
更有可能的風險是云供應商被迫根據《CSA云計算關鍵資產重點領域安全指南4.0版》“域3:法律問題、合同和電子發現”所述法院命令提供訪問權。你的“風險管理”(域2)和“信息治理”(域5)計劃需要考慮這些風險。
在極端情況下,你必須最大限度減少乃至排除云供應商或敵對外部方對你的數據的所有訪問;云服務組合、自帶加密以及把數據屏蔽用作數據編輯形式的令牌化等數據管理控制,可以提供充分隔離和保護。
大多數基礎設施即服務供應商現在提供了“可信執行環境”——但計算節點的費用會增加。代碼和數據以完全加密的方式傳遞到這些服務器,并且只在管理程序層以下解密,因為它們被加載到安全硬件中,其他進程無法查看或更改。
將可信執行與自帶加密、自帶密鑰(例如域11所述用于SaaS、PaaS、IaaS的BYOK)和密鑰管理軟件(例如域10和11所述用于PaaS/IaaS的自帶加密)相結合,你將能完全控制數據存儲和使用中的數據。
你可以。
各大SaaS、PaaS和IaaS供應商都提供把密鑰從你的本地HSM導入密鑰保管庫或云HSM的功能,《CSA云計算關鍵資產重點領域安全指南4.0版》域11對此有詳細描述。集成的程度會因具體情況的不同而各異,這取決于云供應商以及你選擇使用本地HSM還是云HSM。你可能需要手動執行導入,但是你會得到最高可達FIPS 140-2安全3級的安全保護。云供應商從HSM用你導入的主密鑰派生密鑰,用于給各種服務(例如對象、卷、數據庫)中包含的數據加密。
《CSA云計算關鍵資產重點領域安全指南4.0版》中幾乎每個域都談到了監控,但卻很少有提供如何實現監控的具體事例的。另外沒有說明的是,日志功能對大多數公共云供應商來說多少算是新功能,而監控這些日志以獲取與安全相關的事件或合規報告肯定是才剛剛起步。云計算供應商在這方面做得越來越好,但是日志文件卻很少能反映活動的全貌。
現實地說,如果你想監控云中的活動,你將需要混合使用云和第三方工具。除了來自你自己運行的服務器、容器和應用程序的日志文件之外,主要需要綜合收集云提供的服務日志和身份日志。這意味著你需要借助所有來源,甚至可能需要用數據倉庫或日志記錄工具來補充事件存儲。
好消息是,有些云如今可以提供過濾和路由它們生成的事件的能力以及創建基本安全策略的能力(這些策略實際上監控著云事件),同時還可以在日志中發現情況時發出警報。這些同樣都是基本監控功能,你可能需要將一部分日志數據移回本地來實施監控、發出警報和生成報告,或者可能需要在云端創建這方面的基礎設施。
把應用程序日志、系統日志和Web網關事件傳輸給Hadoop集群、Elastic Stack、Splunk乃至到云中運行的SIEM設施的做法已經非常普遍。然后,由這些設施利用與本地使用的報告和分析功能相同的功能提供一致的報告。
《CSA云計算關鍵資產重點領域安全指南4.0版》域8(“虛擬化和容器”)簡要論述了容器安全。具體而言,該指南第8.1.4節涉及了四個方面的內容:
1.??????? 基礎設施安全;
2.??????? 管理層面;
3.??????? 鏡像倉庫;
4.??????? 容器內容安全。
基礎設施至關重要,因為安全保護較差的操作系統允許用戶訪問服務器上的所有數據和秘密,甚至可以控制服務器本身。
容器管理通常由所謂“編制管理器”(Orchestration Manager)執行,其中最常見的是Kubernetes和Swarm。這兩款編制管理器都是非云原生的,而不幸的是,它們的默認設置都非常不安全。引導新容器要求簽發憑證和秘密,用于訪問操作所需要的數據。來自主要供應商和云原生系統的鏡像存儲庫確實提供了安全的鏡像存儲以及數字簽名功能,可保證容器鏡像不曾被人篡改。
《CSA云計算關鍵資產重點領域安全指南4.0版》雖然提供了一些路標,把你引向需要注意的領域,但是它缺乏工具和具體說明。為了彌補這些差距,該指南建議用秘密管理技術向運行中的容器簽發憑證,并用透明硬盤或文件加密來存儲敏感數據,只允許你認為合適的容器訪問。
該指南還建議利用容器存儲庫提供的代碼/容器簽名系統,并強制要求容器編制系統只可使用注冊表中得到批準的容器。此外,如果你指定由自己的操作系統來運行容器,就像指南域8建議虛擬服務器那樣,你需要花費大量時間確保把操作系統配置成專門用于容器的安全變體。“云身份和訪問”控制將限制哪些人可以訪問或管理容器以及周圍的容器基礎設施和安全工具。
云供應商將提供訪問日志,你可以把這些日志與編制日志結合到一起來對活動進行檢查。
多租戶環境的安全起始于你對潛在云服務提供商(CSP)的提問。有一種得到一致認可的工具可供你用來比較多家供應商的多租戶解決方案,這就是云安全聯盟的“共識評價倡議問卷”(CAIQ)。你可以把這份調查問卷拿給每家供應商,由他們填寫好后逐個比較他們的答案。CAIQ被劃分成多個“安全控制域”,可用來教育你本人、你的用戶,并能使你從多租戶供應商處獲取客觀信息。至于你究竟準備讓被你選中的供應商必須在多大程度上符合調查問卷內容,由你自行決定。
因此,如果你無法得到單租戶解決方案,在最好的情況下,你可以從多租戶供應商那里得到所有數據都都會被加密的保證,而密鑰由你自己持有。
責任共擔模型是一種被廣為接受的工具,可幫助人們深入認識到,云的安全該由云供應商負責云,而云中數據的安全,該由云買家負責。
你幾乎肯定要負責本地和云中數據的安全。隨著你的工作負載遷移到多家云供應商,你可能需要通過了解以下問題來確保自己對數據在云端的安全有充分信心:
l? 你是否遵守了內部和行業數據保護規定?
l? 你的云供應商收到法院傳票時,你的數據是否還受保護?
l? 你是否能夠安全地將數據從一家云供應商快速轉移到另一家云供應商?
根據云安全聯盟(CSA)的定義:
[它]是致力于定義最佳實踐規范并提高人們對這些規范的認識,以幫助確保云計算環境安全的世界級領導組織。CSA借助行業從業者、協會、政府及其企業和個人成員的主題專業知識,提供與云安全相關的研究、教育、認證、活動和產品。CSA的活動、知識和廣泛網絡使受云影響的整個社區(其中包括供應商和客戶、政府、企業家和保險業)受益,CSA還建立了一個論壇,供各方在此協同合作,一起創建和維護一個值得信賴的云生態系統。
盡管各種機構早已認識云計算帶來的好處,但是許多機構依然需要制定自己的長期云安全戰略并適應不斷變化的業務要求。云安全聯盟(CSA)的“云控制矩陣”可以幫助你在制定或完善企業云安全戰略的過程中確定自己的要求。
根據CSA的定義:
云安全聯盟云控制矩陣(CCM)是專為提供基本安全原則而設計的,可指導云供應商并幫助潛在云客戶評價云供應商的整體安全風險。CSA CCM提供了一個控制框架,詳細說明了與云安全聯盟13個域指南相對應的安全概念和原則。云安全聯盟控制矩陣的基礎是其與其他行業公認的安全標準、法規和控制框架(如ISO 27001/27002、ISACA COBIT、PCI、NIST、Jericho論壇和NERC CIP)的量身定制關系,可對云供應商發布的服務機構控制報告進行補充或提供內部控制指導。
多租戶環境的安全起始于你對潛在云服務供應商(CSP)的提問。有一種得到一致認可的工具可供你用來比較多家供應商的多租戶解決方案,這就是云安全聯盟的“共識評價倡議問卷”(CAIQ)。你可以把這份調查問卷提供給每家供應商,由他們填寫后逐個比較他們的答案。CAIQ被劃分成多個“安全控制域”,可用來教育你本人、你的用戶,并能使你從多租戶供應商處獲取客觀信息。至于你究竟準備讓被你選中的供應商必須在多大程度上符合調查問卷內容,由你自行決定。