发布日期:2024-12-22 浏览次数:
除了通过合同管理风险(第 2.1 节数据治理, CSA 云计算关键重点领域安全指南 v4.0),您还可以控制存储在云资源中的数据。多种云服务旨在从您的本地系统重叠或复制到云服务,从而实现更高的管理和数据治理一致性。
身份管理是此方法的核心,指南的第 12 部分概述了复制或共享身份的策略,以及跨云提供商的单点登录和联合身份等访问控制选项。自带密钥 (BYOK) 提供了对数据访问的补充控制;您可以将自己的密钥导入基于软件的密钥管理系统,或导入云供应商提供的专用HSM(硬件安全模块)。
实现这一目标有三种基本策略:
传输前加密数据
对传输和存储服务使用加密
使用以数据为中心的安全性
CSA 云计算关键重点领域安全指南 v4.0的第 5.1.2 小节 旨在展示在云中移动和使用数据时这些策略的工作原理。这个想法是,您需要在实施之前定义数据治理策略并了解这些方法的利弊。
指南的第 11 节讨论了支持每种策略的具体技术。如果您选择在将数据移至云之前进行加密,或者已部署企业范围的加密解决方案,则您要么希望镜像本地密钥和加密功能以在云中访问数据,要么将本地与云原生服务相结合,要么将现有的加密带到云中以取代云原生服务。
如果您选择在服务层加密传输(例如 TLS、VPN)和数据存储(例如卷、对象、数据库),则可以利用云原生功能或您首选的加密解决方案来保护数据接触的每项服务。以数据为中心的安全工具(例如屏蔽和标记化)可以在云迁移之前转换数据。
虽然某些静态掩码解决方案是不可逆的,但如果您需要将令牌反转为原始数据值,则需要在本地执行此操作,或将现有的令牌化服务带到云端以处理去令牌化请求。但这三种方法中的任何一种都可以提供安全的数据传输和存储,并可用于将信息复制到多个云服务模型。
大多数云提供商都像您一样担心恶意管理员访问您的数据,因为这种“黑天鹅”事件可能会严重影响他们的声誉和估值。因此,他们竭尽全力确保其管理员无法在未经事先批准和全面审计控制的情况下访问客户数据、加密密钥和系统。但无论风险有多小,这仍然是一个风险。
更可能的风险是,云供应商被迫根据领域 3 中所述的法院命令提供访问权限:云计算 v4.0 中关键重点领域的 CSA 安全指南的法律问题、合同和电子发现。您的风险管理(领域 2)和信息治理(领域 5)计划需要考虑这些风险。
在极端情况下,您必须尽量减少或排除云提供商或敌对外部方对您的数据的所有访问,通过结合使用云服务、自带加密和数据管理控制(例如使用数据屏蔽作为数据编辑形式的标记化)可以提供完全的隔离和保护。
现在,大多数基础设施即服务提供商都会提供“可信执行环境”(需要为计算节点支付额外费用)。代码和数据以完全加密的形式传递到这些服务器,并且仅在虚拟机管理程序层以下解密,因为它被加载到安全硬件中,因此其他任何进程都无法检查或更改数据或代码。
将可信执行与自带加密、自带密钥(例如,域 11 中描述的 SaaS、PaaS、IaaS 的 BYOK)和密钥管理软件(例如,域 10 和 11 中描述的 PaaS/IaaS 的自带加密)的能力结合起来,您就可以完全控制数据存储和正在使用的数据。
是的,你可以。
许多主要的 SaaS、PaaS 和 IaaS 供应商都提供将密钥从本地 HSM 导入密钥库或云 HSM 的功能,这 在 CSA 云计算关键重点领域安全指南 v4.0的第 11 领域中有完整描述。集成级别取决于云供应商以及您是否选择本地或云 HSM。您可能需要手动执行导入,但您可以获得最高 FIPS 140-2 Level 3 的安全性。从那里,云提供商从您导入的主密钥中派生出密钥,以加密各种服务(例如对象、卷、数据库)中包含的数据。
CSA 云计算关键领域安全指南 v4.0 专门用领域 3(法律问题、合同和电子发现)的很大一部分来概述您对欧盟安全问题的责任,特别是 GDPR 合规性的责任。这为您提供了您需要考虑哪些数据以及要实施哪些控制措施的良好路线图。
Thales 建议您从适用于任何受监管的个人身份信息 (PII) 的基本控制开始,因为控制和数据类型相似。这在域 11 中进行了简要讨论。我们还建议使用身份管理、加密和密钥管理等多种机制来实施跨境数据传输限制,以便在数据被移动时,可以使其无法访问。您需要收集用于访问控制的云日志以及来自您自己的应用程序和服务的日志,以满足您对问责制的要求。
该指南对收集哪些日志以及如何创建安全日志记录架构和监控域 7(基础设施安全)、域 9(事件响应)和域 10(应用程序安全)中的日志行为进行了广泛的评论。
CSA 云计算关键领域安全指南 v4.0几乎在每个领域都讨论了监控 ,但很少提供如何完成监控的具体示例。同样没有说明的是,日志记录功能对于大多数公共云供应商来说都比较新,监控这些日志以获取安全相关事件或合规性报告显然还处于起步阶段。云供应商在这方面做得越来越好,但日志文件很少能反映出活动的全貌。
现实一点来说,如果您想在云中进行监控,您将需要云和第三方工具的结合。主要需求是收集云提供的服务日志和身份日志的组合,以及您运行的服务器、容器和应用程序的日志文件。这意味着您将需要利用所有来源,甚至可能使用数据仓库或日志记录工具来补充事件存储。
好消息是,一些云现在提供了过滤和路由它们生成的事件的能力,并且它们提供了创建基本安全策略的能力,这些策略实际上可以监控云事件,并在日志中出现情况时发出警报。同样,这些都是基本的监控功能,您可能需要将部分日志数据移回本地以进行监控、警报和生成报告,或者在云中创建该基础设施。
常见的情况是,应用程序日志、系统日志和 Web 网关事件全部传输到在云中运行的 Hadoop 集群、Elastic Stack、Splunk 甚至 SIEM 安装。然后,这些安装利用本地使用的相同报告和分析功能并提供一致的报告。
CSA 云计算重点领域安全指南 v4.0 的第 8 领域(虚拟化和容器)简要介绍了容器安全。具体来说,第 8.1.4 节涉及四个领域:
基础设施安全
管理平面
图像存储库
容器内容安全
基础设施至关重要,因为安全性较差的操作系统可以访问服务器上的所有数据和机密,甚至可以控制服务器本身。
容器管理通常由所谓的“编排管理器”执行,其中最常见的是 Kubernetes 和 Swarm。两者都不是云原生的,不幸的是,默认情况下非常不安全。引导新容器需要发布凭据和机密才能访问操作所需的数据。来自主要供应商和云原生系统的映像存储库确实提供了安全的映像存储以及数字签名功能,以确保容器映像未被篡改。
虽然指南提供了一些路标,指引您注意需要注意的领域,但缺乏工具和具体说明。为了弥补这些差距,指南建议利用机密管理技术在运行时向容器颁发凭据,并使用透明磁盘或文件加密来存储只有您认为合适的容器才能访问的敏感数据。
该指南还建议利用容器存储库提供的代码/容器签名系统,并强制容器编排系统只能使用注册表中批准的容器。而且,如果您指定自己的操作系统来运行容器,就像 Domain 8 为虚拟服务器建议的那样,您需要花费大量时间确保操作系统是为容器使用而配置的安全版本。云身份和访问控制将控制谁可以访问或管理容器以及周围的容器基础设施和安全工具。
云供应商将提供访问日志,您可以将其与编排日志捆绑在一起以检查活动。
多租户环境中的安全性始于向您的潜在云服务提供商 (CSP) 提问。您可以使用一种一致的工具来比较多租户解决方案的多个供应商,即 云安全联盟的共识评估倡议问卷 (CAIQ) 。您可以将问卷提供给每个供应商,并比较他们的答案,一一对应。CAIQ 分为各种“安全控制域”,可以教育您(用户),并使您能够从多租户提供商那里获得客观信息。由您决定所选供应商必须遵守问卷的多少内容。
如果您在多租户环境中找不到足够的安全性,一些供应商会提供其多租户产品的单租户版本:
微软凭借 Azure Stack(Microsoft Azure 的单租户版本)引领这一潮流。
据传 AWS 将提供单租户版本的 AWS。您可能必须是一位大客户才能听说这件事。
当然,Thales 提供 CipherTrust Cloud Key Manager 作为多租户云服务,但我们也提供单租户版本。
因此,如果您无法获得单租户解决方案,在最好的情况下,您可以从多租户提供商那里获得保证,即所有数据都已加密,并且您可以持有密钥。
共享责任模型是一种广为接受的工具,有助于提高人们的认识,即云提供商负责云的安全,而云购买者负责云中数据的安全。
您几乎肯定要对本地和云中数据的安全负责。随着您的工作负载迁移到多个云提供商,您可能需要解决的问题包括:
您是否遵守内部和行业数据保护规定?
如果您的云提供商收到传票,您的数据是否受到保护?
您能否安全、快速地将数据从一个云提供商移动到另一个云提供商?
[它] 是世界领先的组织,致力于定义和提高人们对最佳实践的认识,以帮助确保安全的云计算环境。CSA 利用行业从业者、协会、政府及其企业和个人成员的专业知识来提供针对云安全的研究、教育、认证、活动和产品。CSA 的活动、知识和广泛的网络使整个受云影响的社区受益——从提供商和客户到政府、企业家和保证行业——并为各方提供了一个论坛,通过这个论坛,各方可以共同努力创建和维护一个值得信赖的云生态系统。
Thales是 CSA 的成员。
虽然组织已经意识到云计算的好处,但许多组织仍在制定长期云安全战略并适应不断变化的业务需求。云安全联盟 (CSA) 的“云控制矩阵”可以帮助您在制定或完善企业云安全战略时定义您的需求。
根据加拿大标准协会 (CSA) 的说法:
云安全联盟云控制矩阵 (CCM) 专门用于提供基本安全原则,以指导云供应商并帮助潜在云客户评估云提供商的整体安全风险。CSA CCM 提供了一个控制框架,可让您详细了解与 13 个领域的云安全联盟指导一致的安全概念和原则。云安全联盟控制矩阵的基础在于其与其他行业认可的安全标准、法规和控制框架(如 ISO 27001/27002、ISACA COBIT、PCI、NIST、Jericho Forum 和 NERC CIP)的定制关系,并将增强或提供云提供商提供的服务组织控制报告证明的内部控制方向。
多租户环境中的安全性始于向您的潜在云服务提供商 (CSP) 提问。您可以使用一种一致的工具来比较多租户解决方案的多个供应商,即 云安全联盟的共识评估倡议问卷(CAIQ) 。您可以将问卷提供给每个供应商,并比较他们的答案。CAIQ 分为各种“安全控制域”,可以教育您(用户),并使您能够从多租户提供商那里获得客观信息。由您决定所选供应商必须遵守问卷的多少内容。
Salesforce Shield 平台加密使使用 Salesforce 的企业能够在不影响业务功能的情况下,在 Salesforce 应用程序中对静态数据进行本地加密。Thales CipherTrust 产品可帮助组织安全地存储、管理和维护用于派生保护 Salesforce 环境内数据的加密密钥的 Salesforce 租户机密,并满足管理这些加密密钥的合规性和最佳实践要求。自带密钥 (BYOK) 通过控制 Salesforce 加密密钥的最终形式,将 Salesforce 加密数据的控制权牢牢地交到客户手中。
合规性要求、数据驻留要求、政府法规和最佳实践要求使用 Salesforce Shield Platform Encryption 的企业根据特定框架和法律保护和维护加密密钥。为了满足这些框架和法律的要求,企业还必须满足租户机密的特定维护和存储要求,作为 Salesforce 加密密钥的控制元素。
IaaS/PaaS 和 SaaS 提供商加密使使用云提供商的企业能够通过加密保护其云工作负载中的静态数据,而不会影响业务功能。Thales CipherTrust Cloud Key Manager 增加了控制功能,使组织能够通过在安全环境中生成、存储、管理和维护数据加密密钥来帮助满足合规性和最佳实践要求。
为了满足合规性要求、数据驻留要求和最佳实践,使用云提供商加密的企业可能需要满足一些额外的密钥管理要求:
加密密钥材料存储与密钥使用位置分开
客户管理密钥的创建、轮换、停用和销毁
根据组织和地区划分密钥管理职责
加密密钥管理、使用和访问的审计
CipherTrust Cloud Key Manager 使组织能够轻松满足这些要求,同时利用供应商加密并简化加密密钥管理任务。
揽阁信息拥有20年的信息安全行业经验,是Thales的合作伙伴,可为您提供定制化的安全解决方案,欢迎联系我们获取更多专业支持。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
