NIST安全框架漏掉了四個關鍵云安全問題
美國國家標準技術研究院(NIST)的網絡安全框架是一個很有價值的工具,可改善IT度量和標準,尤其是數據安全保護。
研究表明,將近三分之二的組織將安全性視為采用云技術的最大挑戰,這使NIST網絡安全框架成為重視數據安全的IT領導者的寶貴工具。
但是,隨著越來越多的企業采用越來越復雜的多云和混合云環境,照搬NIST網絡安全框架暗藏著巨大風險,因為NIST網絡安全框架忽略了很多關鍵的云安全問題。
不幸的是,NIST標準給大量企業和組織(從小型企業到大型政府組織)營造了錯誤的安全感。因為這些企業沒有意識到,盡管NIST安全框架有很多優點,但也給網絡內部埋下了巨大的云安全問題隱患。以下,我們簡要總結NIST安全框架漏掉的四個關鍵云安全問題。
日志文件和審計報告
許多組織會驚訝地發現,沒有NIST標準規定日志文件應保留30天以上。考慮到日志中存在的大量信息,30天的保留期太短,對于組織,尤其是大型企業而言,這對于安全報告來說是一個重大的挑戰。
考慮到企業平均需要四個月以上的時間才能檢測到數據泄露,因此當前的30天限制根本無法滿足需要。擴展的審核日志保留功能可確保IT團隊擁有調查安全事件溯源所需的取證數據,也是遵守GDPR等數據隱私法規的關鍵一步。
共同責任
云(數據)安全的問責是個十分讓人頭疼的問題,尤其是在使用多云或混合云環境的企業中。
SaaS之類的高級云平臺需要大量IT驅動的安全職責。在PaaS和SaaS解決方案中,身份和訪問管理是一項共同的職責,需要有效的實施計劃,其中包括身份提供者的配置、管理服務的配置、用戶身份的建立和配置以及服務訪問控制的實現。
隨著全球企業數字化轉型計劃的推進和大流行期間遠程辦公的流行,越來越多的組織將業務應用遷移到云托管環境中。盡管云計算責任分擔模型明確規定了云提供商及其用戶的安全義務以確保問責制度,但可見性和安全監控應用程序仍存在空白,需要解決。
隨著越來越多的企業選擇云計算節省成本和改進業務,企業比以往任何時候都更需要彌合可見性和安全監控的差距以實現最高安全性。
租戶代理
NIST要求對最小特權訪問進行范圍界定,但并未覆蓋租戶代理或“虛擬租戶”。虛擬租戶隔離了整個環境的各個區域,并防止管理員弄亂不屬于他們的區域。讓管理員控制他們的“虛擬”區域,從而幫助保護M365中的資源和數據。
可以理解,當涉及個人隱私信息(PII)和知識產權時,缺少租戶代理產生了重大的安全挑戰。因此,組織(尤其是大型的分布式組織)應考慮采用可對特定業務部門的訪問進行細分的工具,以提高整體安全水平。
管理員角色和規則
微軟應用管理員(Microsoft Application Administrator)包含大約有75個屬性,但是幾乎沒有人(無論微軟還是企業IT人士)確切了解它們的含義。如果授予用戶Application Administrator權限,則幾乎不可能確切知道該用戶具有哪種訪問權限,從而帶來不必要的安全風險。
盡管IT員工在工作中經常需要執行某些功能,例如創建新的用戶賬戶和更改密碼,但是這些“流動性”較強的功能并不容易歸屬到某個特定的角色。這種流動性使傳統安全方法(例如基于角色的訪問控制)的效力被削弱。
值得注意的是,NIST在管理員角色和規則方面也并非毫無作為,功能訪問控制(FAC)就是其中之一。RBAC是實現最低特權訪問的一種方法,而功能訪問控制(FAC)是實現RBAC的一種方法。
作為NIST認可的方法,FAC為IT管理員的功能權限提供了一種更細粒度的分配方法,使企業能夠調整特定用戶訪問權限的大小,從而改善安全性。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
