雲中端點安全的最佳實踐

随着雲服務的廣泛應用(yòng)，IT團隊應該重新審視(shì)雲安全并着手進行改進。端點安全策略在任何一個企業IT環境中都至關重要。然而，對(duì)于采用(yòng)雲服務的一些(xiē)企業來(lái)說，這(zhè)些(xiē)策略可能(néng)特别複雜(zá)。例如，管理(lǐ)員必須考慮不同雲計(jì)算(suàn)模型(例如私有雲、公有雲、混合雲和(hé)多雲)中端點安全的細微差别。更重要的是，由于遠程工(gōng)作(zuò)的增加，連接到(dào)雲計(jì)算(suàn)資源的端點設備的數量顯著增加。作(zuò)爲IT保護策略的一部分，安全團隊必須考慮到(dào)大(dà)量的終端用(yòng)戶設備的安全。幸運的是，一些(xiē)行業最佳實踐和(hé)工(gōng)具不斷發展可以解決雲中的端點安全問題。雲計(jì)算(suàn)如何改變端點保護從(cóng)安全角度來(lái)看(kàn)，自(zì)從(cóng)計(jì)算(suàn)機病毒通過軟盤傳播以來(lái)，終端設備的安全性一直令人擔憂。防病毒軟件是很(hěn)多企業采用(yòng)的首個端點保護措施。安全專家發現(xiàn)，他(tā)們可以通過本地防病毒軟件保護網絡外(wài)圍的端點。随着時(shí)間的推移，這(zhè)演變成更現(xiàn)代的端點保護平台(EPP)，在每台個人電腦(nǎo)上(shàng)都可以提供防病毒、防火牆和(hé)加密功能(néng)。IT供應商随後開(kāi)發了(le)更複雜(zá)的端點檢測和(hé)響應(EDR)平台，例如Sophos Intercept X、Sentinel One端點保護平台和(hé)CrowdSec。這(zhè)些(xiē)平台通過行爲分析、異常檢測和(hé)簡化更新的工(gōng)具擴展了(le)端點保護平台(EPP)的功能(néng)。借助這(zhè)些(xiē)端點保護工(gōng)具，IT管理(lǐ)員可以方便管理(lǐ)安全邊界。即使員工(gōng)在家中連接到(dào)IT資源，他(tā)們通常也(yě)會(huì)通過安全的VPN在托管的企業筆(bǐ)記本電腦(nǎo)上(shàng)進行連接。雲計(jì)算(suàn)在兩個關鍵方面改變了(le)端點保護市場。首先，它爲新的端點保護産品提供了(le)一個平台。其次，它将安全邊界從(cóng)企業邊界擴展到(dào)連接到(dào)雲平台的所有設備。在傳統上(shàng)，安全團隊将精力集中在運營環境上(shàng)，并嚴格監管從(cóng)外(wài)部到(dào)内部資源的流量；内部端點的安全和(hé)強化實踐的優先級較低(dī)。獨立的安全和(hé)隐私合規評估機構Schellman&Co公司的業務經理(lǐ)Bryan Harper說，“考慮到(dào)公有雲的性質，這(zhè)種模式已經被颠覆了(le)。”Harper表示，對(duì)于公有雲，管理(lǐ)員應該在所有端點設備都可以被外(wài)部訪問的假設下(xià)實現(xiàn)端點安全性。考慮雲服務如何潛在地增加攻擊向量也(yě)很(hěn)重要。開(kāi)發和(hé)技術培訓服務提供商Pluralsight公司的網絡安全講師Terumi Laskowsky表示，随着雲平台成爲企業基礎設施的延伸，越來(lái)越多的端點設備可以提供更多的企業資源途徑。形成雲中端點保護策略應對(duì)這(zhè)些(xiē)挑戰并确保雲中端點安全的第一步是清點設備。Harper說，“如果你(nǐ)不知(zhī)道(dào)自(zì)己擁有什(shén)麽，就不可能(néng)保護這(zhè)些(xiē)端點。”雲端點保護策略應識别連接到(dào)企業資源的所有端點。個人電腦(nǎo)、智能(néng)手機和(hé)平闆電腦(nǎo)通常包括在其中，它們必須通過端點安全公司的策略進行控制。此外(wài)，考慮物聯網設備，例如安全攝像頭和(hé)聯網打印機，因爲它們也(yě)可能(néng)帶來(lái)風(fēng)險，Laskowsky表示，清楚了(le)解哪些(xiē)團隊負責某些(xiē)設備的安全。例如，設施團隊負責攝像頭的安全，而網絡團隊負責打印機的安全。如果沒有這(zhè)些(xiē)信息，這(zhè)些(xiē)團隊可能(néng)會(huì)忽略端點保護策略中的某些(xiē)設備，因爲他(tā)們認爲由不同的部門(mén)負責。企業應爲所有端點設備實施全面且一緻的安全方法。爲了(le)實現(xiàn)端點保護，企業可以執行以下(xià)操作(zuò)：?通過使用(yòng)強密碼和(hé)多因素身份驗證實施加密，并加強訪問控制。?使用(yòng)VPN作(zuò)爲另一層保護。?使用(yòng)特定端點類型的行業最佳實踐強化端點。?持續掃描端點，确保系統能(néng)夠分析和(hé)響應異常行爲。?定期更新補丁。Laskowsky說，管理(lǐ)員可以從(cóng)兩個角度解決雲中的端點安全問題。首先，它們可以保護端點設備本身免受攻擊。其次，如果設備成爲了(le)攻擊媒介，需要保護企業資源免受設備攻擊。後者可能(néng)發生在居心不良的員工(gōng)或惡意行爲者破壞機器的時(shí)候。企業必須采用(yòng)保護端點設備和(hé)使用(yòng)這(zhè)些(xiē)設備通過雲計(jì)算(suàn)或VPN訪問企業資源的策略。德勤公司風(fēng)險與金(jīn)融咨詢業務負責人兼網絡負責人Vikram Kunchala表示，IT團隊應制定安全政策和(hé)标準，以面向不同類型設備的常見使用(yòng)案例，并考慮訪問雲計(jì)算(suàn)資源的新端點的各種工(gōng)作(zuò)流和(hé)交互模式。公有雲、私有雲和(hé)混合雲的安全差異每個雲計(jì)算(suàn)基礎設施模型都有自(zì)己的安全邊界。Laskowsky認爲私有雲是最安全的，因爲它是單租戶的，隻有一家企業使用(yòng)該基礎設施。相比之下(xià)，多家公司共享公有雲基礎設施，使黑客更容易識别和(hé)瞄準與其連接的薄弱端點。由于私有雲和(hé)公有雲資源之間的複雜(zá)連接，混合雲可能(néng)是風(fēng)險最大(dà)的雲平台。Laskowsky說，多雲也(yě)面臨同樣的問題，企業使用(yòng)和(hé)連接來(lái)自(zì)多個雲計(jì)算(suàn)提供商的雲服務。在這(zhè)些(xiē)情況下(xià)，企業必須保護連接不同類型雲基礎設施的端點。保護雲端點的工(gōng)具和(hé)服務各類工(gōng)具保護連接到(dào)雲資源的端點。Laskowsky表示，可以使用(yòng)Broadcom Symantec DLP、Forcepoint DLP和(hé)Digital Guardian DLP等數據丢失預防工(gōng)具來(lái)保護雲計(jì)算(suàn)資源，并使用(yòng)EDR工(gōng)具來(lái)保護連接的端點。企業可以在内部實施和(hé)管理(lǐ)這(zhè)些(xiē)工(gōng)具。一些(xiē)企業使用(yòng)安全即服務模型，其中雲服務供應商提供安全監控和(hé)響應。這(zhè)些(xiē)産品包括Oracle雲訪問安全代理(lǐ)、Okta身份即服務和(hé)Qualys網絡安全資産管理(lǐ)。但(dàn)是Laskowsky指出，最終負責端點保護的是企業，而不是其雲計(jì)算(suàn)提供商。德勤公司的Kunchala推薦企業考慮統一的端點管理(lǐ)工(gōng)具，這(zhè)些(xiē)工(gōng)具已經演變爲替代傳統端點管理(lǐ)工(gōng)具。雲計(jì)算(suàn)工(gōng)作(zuò)負載保護工(gōng)具也(yě)已經出現(xiàn)，例如Trend Micro Deep Security和(hé)VMware Carbon Black App Control，用(yòng)于保護雲中運行的虛拟端點。此外(wài)，托管EDR服務(包括Deepwatch和(hé)Broadcom Symantec産品)可以爲端點上(shàng)檢測到(dào)的事(shì)件提供全天候響應能(néng)力。