目前，國內(nèi)的云計算應(yīng)用如火如荼，企業(yè)在加速云上業(yè)務(wù)應(yīng)用的同時，也需要構(gòu)建更加透明、更加可靠的云應(yīng)用環(huán)境。開展云安全審計正是保障云計算應(yīng)用安全的有效手段之一，它能夠?qū)⒃粕蠘I(yè)務(wù)運(yùn)營狀態(tài)及風(fēng)險進(jìn)行充分地檢驗(yàn)和評審，預(yù)防發(fā)現(xiàn)可能出現(xiàn)的安全隱患。

　　云安全審計的價值

　　云安全審計是一套流程，旨在識別與云計算應(yīng)用相關(guān)的安全漏洞和風(fēng)險。云安全審計之所以很重要，是由于它可以幫助組織評估云環(huán)境的安全狀況，識別和減小數(shù)字化應(yīng)用上云后的安全風(fēng)險，保護(hù)云上重要數(shù)據(jù)資產(chǎn)的安全，從而實(shí)現(xiàn)組織業(yè)務(wù)的穩(wěn)定開展。

　　組織在開展云安全審計時，應(yīng)該明確以下重點(diǎn)工作目標(biāo)：

　　識別和減小與使用云服務(wù)相關(guān)的風(fēng)險；

　　滿足監(jiān)管部門的應(yīng)用合規(guī)要求；

　　改善組織的云上應(yīng)用安全狀況；

　　降低云服務(wù)的使用成本和預(yù)算投入。

　　云安全審計工具

　　云安全審計工作可以手動執(zhí)行，也可以借助自動化工具執(zhí)行。這類工具多用于識別和修復(fù)漏洞，監(jiān)控安全策略合規(guī)情況，并跟蹤云環(huán)境出現(xiàn)的變化。Astra Pentest、Prowler、Dow Jone's Hammer、ScoutSuite和CloudSploit Scans是目前最常用的云安全審計工具。

　　1.Astra Pentest

　　Astra的Pentest云安全審計工具經(jīng)過1000余種安全測試，遵守國際安全標(biāo)準(zhǔn)，這種云安全審計工具擁有界面直觀的儀表板，可動態(tài)顯示漏洞。它還可以檢測潛在漏洞的嚴(yán)重性，并通過修復(fù)協(xié)助和多次重新掃描提供安全審計。

　　2.Prower

　　Prower主要用于執(zhí)行審計、最佳實(shí)踐評估、安全加固和取證分析就緒。Prowler在設(shè)計時嚴(yán)格遵循CIS Amazon Web Services Foundations Benchmark指南及相關(guān)行業(yè)審計標(biāo)準(zhǔn)，比如《健康保險可攜性及責(zé)任性法案》（HIPAA）和《通用數(shù)據(jù)保護(hù)條例》（GDPR）的合規(guī)要求。

　　3.Dow Jone's Hammer

　　該工具主要面向Amazon AWS的云安全解決方案，支持多賬戶審計功能。借助Slack和JIRA等實(shí)時報告功能，Hammer可以識別用戶AWS云資源中的錯誤配置以及不安全的數(shù)據(jù)隱患。產(chǎn)品具有實(shí)時報告功能，能夠向工程師提供快速反饋，并自動修復(fù)一些錯誤配置。Hammer還可以創(chuàng)建安全護(hù)欄，幫助保護(hù)部署在云平臺上的產(chǎn)品。

　　4.ScoutSuite

　　ScoutSuite是一種用于多云環(huán)境安全審計的開源工具，可以評估云環(huán)境的安全狀況。ScoutSuite使用云提供商公開的API，以收集配置數(shù)據(jù)供人工檢查，并能夠重點(diǎn)顯示風(fēng)險區(qū)域。它支持Azure、AWS、GCP、Oracle和我國的阿里云等多云環(huán)境。

　　5.CloudSploit Scans

　　CloudSploit Scans是一款出色的開源云安全審計工具，支持Azure、AWS、GCP 和Oracle云的評估工作。通過使用CloudSploit Scans，有助于審計人員檢測云基礎(chǔ)設(shè)施賬戶中的潛在安全威脅，它具有一些特定腳本可讓設(shè)備防護(hù)一系列潛在的錯誤配置和安全風(fēng)險。

　　云安全審計流程

　　云安全審計涉及許多技術(shù)和程序。如果遵循這些技術(shù)和程序，組織可以讓云上業(yè)務(wù)更可靠地運(yùn)行。以下是云安全審計工作中最重要的工作環(huán)節(jié)：

　　掃描并識別云環(huán)境中的漏洞，并提供修補(bǔ)建議；

　　分析云計算應(yīng)用配置是否合理，是否存在違規(guī)配置；

　　檢查云應(yīng)用安全策略是否被有效執(zhí)行；

　　查看訪問控制列表，是否存在違規(guī)或異常訪問行為；

　　查看并分析云監(jiān)控數(shù)據(jù)日志。

　　云安全審計指標(biāo)

　　組織在實(shí)際開展云安全審計工作時，可以參考以下最佳實(shí)踐經(jīng)驗(yàn)，合理設(shè)計審計指標(biāo)：

　　云服務(wù)商的安全狀況

　　任何組織都不想與沒有足夠安全保障能力的云供應(yīng)商打交道。除了云平臺提供的安全策略和程序外，客戶還需要能夠通過對自身云上數(shù)據(jù)的監(jiān)測來評估風(fēng)險。

　　攻擊面管理與評估

　　如果定期監(jiān)控云環(huán)境，組織可以迅速識別安全預(yù)防措施中的缺陷，并控制整個云資產(chǎn)面臨的風(fēng)險。只有了解這些情況，組織才可以集中精力進(jìn)行補(bǔ)救，重點(diǎn)保護(hù)風(fēng)險系數(shù)高或重要性高的資產(chǎn)。

　　訪問控制管理措施

　　訪問權(quán)限管理不當(dāng)是目前最普遍的云安全問題。雖然云提供商會提供訪問權(quán)限管理功能，但如果這些登錄信息被非法竊取，組織的數(shù)據(jù)隨時可能會泄露。這是需要重點(diǎn)關(guān)注和審計的內(nèi)容。

　　外部共享標(biāo)準(zhǔn)

　　云計算可以讓數(shù)據(jù)共享使用更快捷。通過云計算平臺，整個組織訪問和共享信息變得輕而易舉，然而這也帶來了風(fēng)險。員工可能會在家用網(wǎng)絡(luò)上安裝惡意軟件，在未經(jīng)授權(quán)的情況下訪問組織數(shù)據(jù)，或與組織外部的人共享數(shù)據(jù)，因此需要對云數(shù)據(jù)的共享使用建立規(guī)范標(biāo)準(zhǔn)，并保證其被有效執(zhí)行。

　　補(bǔ)丁管理

　　補(bǔ)丁管理是確保云環(huán)境安全的一個重要環(huán)節(jié)。然而，實(shí)際工作中落實(shí)補(bǔ)丁及時管理并非易事，需要時刻了解云計算應(yīng)用中的漏洞修補(bǔ)情況。

　　云安全審計挑戰(zhàn)

　　根據(jù)實(shí)踐總結(jié)，研究人員發(fā)現(xiàn)，組織開展云安全審計工作存在的主要挑戰(zhàn)包括：

　　云安全審計在識別與使用云服務(wù)相關(guān)的所有風(fēng)險時常面臨困難；

　　需要專業(yè)知識和技能保障。如果沒有這些知識和技能，安全審計常常會走歪路；

　　審計人員對云環(huán)境的內(nèi)部運(yùn)作缺乏足夠的認(rèn)知和了解；

　　由于安全隱患的未知性和復(fù)雜性，可能會出現(xiàn)誤報和漏報。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<