最后更新于2023年5月13日(星期六)17:58:31 GMT
在最近的一篇博文中, 我们重点介绍了InsightCloudSec合规包的发布, 这有助于组织建立和坚持 AWS基础安全最佳实践. 对于那些已经在AWS上进行了标准化并且正在寻找一组可信的控制来强化其环境的人来说,这是一个很好的包, 我们知道情况并非总是如此.
事实上, 这取决于你读的是什么报告, 采用多个云平台的组织的百分比已经飙升,并继续呈指数级增长. 根据Gartner, 到2026年,超过90%的企业将把他们的能力扩展到多云环境, 高于2020年的76%.
在单个云环境中建立和执行遵从性标准可能是一个耗时且耗费人力的过程, 但这在多云环境中变得尤其具有挑战性. 第一个, 所需的检查和护栏的数量成倍增加, 和第二, 因为每个平台都是独一无二的, 适当的卫生和安全措施在不同的云中并不一致. 一般的方法和理念是相当相似的, 但是实现控制的方式和编写策略的方式可能会有很大的不同.
对于这篇文章, 我们将深入研究大型企业最常用的云安全标准之一, 多云环境 云控制矩阵(CCM).
什么是云计算云控制矩阵?
万一你不熟悉, 云安全联盟(CSA)是一个非营利组织,致力于定义和提高对最佳实践的认识,以帮助确保安全的云计算环境. 云安全联盟汇集了一群云安全专家, 行业从业人员, 协会, 政府, 它的企业和个人成员提供云安全研究, 教育, 认证, 活动和产品.
云控制矩阵是云计算安全联盟开发和维护的一个全面的云计算网络安全控制框架. 它被广泛用作云实现的系统评估,并提供了在云供应链中应该实现哪些安全控制的指导. 控件框架与控件对齐 云计算云网关安全指南 并且被认为是云安全保证和遵从性的事实上的标准.
五个CSA CCM原则及其重要性
CCM由许多控制和最佳实践组成, 这意味着我们不能在一篇博客文章中涵盖所有内容. 也就是说, 我们概述了5个主要原则,这些原则在逻辑上对各种控件进行分组,以及为什么它们对于在云环境中实现很重要. 当然, CCM提供了一套全面的具体和可操作的方向, 当采用, 简化遵循这些原则和其他原则的过程.
确保审计日志的一致性和适当的管理
审计日志记录事件的发生以及有关该事件的支持元数据, 包括发生的时间, 负责的用户或服务, 以及受影响的实体. 通过审查审计日志,安全团队可以调查漏洞并确保 遵从法规要求. 在CCM, 有各种各样的控制集中在确保您有一个适当的收集过程, 保留和分析日志,并限制访问和编辑或删除这些日志的能力,只有那些需要它的人.
确保数据加密和密钥管理的一致性
确保数据被正确加密, 静止的和运输中的, 这是保护组织和客户数据免遭未经授权访问的关键步骤吗. CCM中有各种各样的控件,它们围绕着确保一致地使用数据加密和正确地维护加密密钥——包括适当的密钥定期轮换.
有效管理IAM权限,遵守LPA (Least Privilege Access)
在现代云环境中, 每个用户和资源都被分配一个唯一的标识和一组访问权限和特权. 这可能是一个挑战,以保持跟踪, 尤其是在规模上, 哪些会导致访问不当, 来自内部用户或外部恶意参与者. 为了解决这个问题, CCM提供了关于建立过程和管理机制的指导, 跟踪和执行整个组织的权限. 进一步, 该框架建议采用最小特权访问(Least Privilege Access, LPA)原则,以确保用户只能访问他们绝对需要的系统和数据.
建立并遵循管理漏洞的流程
有许多控制集中于建立, 实施和评估过程, 检测和补救漏洞的程序和技术措施. CCM具有针对应用程序漏洞的专用控制, 外部库漏洞和主机级漏洞. 定期扫描云环境以查找已知漏洞非常重要, 并评估您用来这样做的过程和方法, 也。.
定义一个流程,以主动回滚更改到以前的良好状态
在传统的, 本地环境, 当发现错误或安全问题时,修补和修复现有资源是正确的操作过程. 相反, 当云环境中出现问题时, 补救步骤通常包括恢复到以前的良好状态. 为此目的, CCM引导组织主动地建立和实现一个过程,这个过程允许他们轻松地将更改回滚到以前已知的良好状态,无论是手动还是通过自动化.
InsightCloudSec如何帮助实施和执行CCM
InsightCloudSec允许安全团队根据组织策略建立并持续测量合规性, 无论它们是基于通用的行业框架还是根据特定的业务需求定制的. 这是通过使用遵从性包来完成的.
InsightCloudSec中的合规性包是一组检查,可用于持续评估您的云环境是否符合给定的监管框架或行业最佳实践. 该平台开箱即用,有30多个遵从性包, 并且还提供了构建完全根据您的业务特定需求定制的遵从性包的能力.
每当创建不兼容的资源时, 或者对现有资源的配置或权限进行更改时, InsightCloudSec将在几分钟内检测到它. 如果你愿意, 您可以使用平台的本机, 无代码自动化修复问题——通过删除或调整配置和/或权限——无需任何人工干预.
如果您有兴趣了解更多有关InsightCloudSec如何帮助在您的组织中实施和执行安全和合规标准的信息, 一定要检查一个免费的演示!
James Alaniz和Ryan Blanchard对本文也有贡献.
