云平臺及產品默認配置風險檢測最佳實踐
梳理企業常用云產品和使用方式
企業應統計阿里云賬號下開通的云產品資源,并做好分類。同時調研其使用方式,從安全層面關注的使用方式的影響主要是該云服務是公網訪問還是私網訪問,是共享資源還是獨享資源,以及該云服務應用和存儲的數據類別及重要程度等。以便在后續的安全風險評估中,根據云產品實際應用場景來確定給出的風險建議。
建議企業按照以下分類方式對云資源進行分類:
資源類別 | 示例 | 使用方式 | 是否涉及重要數據 |
網絡 | SLB、EIP、VPC、CEN…… | 私網訪問和公網訪問 | 否 |
數據庫及存儲 | RDS、OSS | 私網訪問和公網訪問 | 是 |
計算 | ECS、ACK | 私網訪問 | 是 |
安全 | WAF、云防火墻CFW | 公網訪問 | 否 |
選擇安全評估標準
針對云平臺和云服務的安全評估標準分為兩個層面,第一個層面是基準,第二個層面是策略。策略是達成一系列基準的檢測方法,每個云平臺的安全評估策略略有不同,但可以遵循同一個基準執行相關的檢測策略。這也是大多數企業多云客戶的選擇方式。
推薦企業參考的基準模板如下:
ISO 27001
阿里云安全最佳實踐
通常情況下,企業需要結合推薦的基準模板結合自身業務進行梳理和融合,如金融行業可在基準模板上再疊加PCI DSS、等級保護、GDPR等基準,融合成為適合企業在云環境的統一標準安全評估基準。
使用工具自動化檢測掃描配置風險
在確定企業的安全評估基準后,需要通過一系列的策略來檢測企業是否使用或開啟相關的安全控制措施,以滿足安全基準要求。并根據檢測結果給出云平臺整體的安全評估風險和建議。
設定云資源安全評分
推薦企業采用定量的安全評分系統對云資源的整體安全風險進行可量化的評估,安全評分可以間接的反映結合安全評估基準,企業的安全控制措施的完備性。同時在多賬號的客戶架構中,安全評分也可用于更好地管理業務團隊安全的使用云資源。
企業使用云安全中心的云平臺配置檢查功能完成自動化掃描后,會根據企業訂閱的資產通過率進行打分,企業可根據評分情況及通過率查看每個策略詳情,關聯的資產、賬號等。詳細細節參考云安全中心的安全評分功能。
跟蹤風險和定期評估
企業應定期對云服務環境進行風險評估,因為云資源的生命周期相比傳統IDC要短,每次資源變更都有可能產生新的安全風險,需要企業結合上述最佳實踐方式,設定定期評估的方案計劃,以及通過安全評分來跟蹤云服務的安全風險水平。