随着组织将数据转移到云端以便于处理、存储和共享，云上数据的安全性日益重要，云安全的状况引起了美国NSA的密切关注。2024年3月7日，美国NSA发布了一系列关于云安全的战略，指导组织为其云环境保持良好的网络安全实践。这些安全实践来自于对近期网络攻击事件的观察，美国家安全局将这份“十大”策略指南称之为“改善云环境安全状况的最重要实践。网络安全和基础设施安全局（CISA）与NSA一起成为十项战略中的六项战略的合作伙伴。我们可以深入了解一下这些缓解策略，为我国安全从业人员及用户组织建设云上安全提供借鉴意义。另外，为了提高云用户的网络安全性，文中多次提到，零信任原则将是最佳实践，这也要引起我们的高度关注。本文我们将会介绍缓解策略中的前五项。

缓解策略1：坚持云共享责任模式

云环境下的威胁与传统的本地环境不同，对于云端的日益依赖带来了新的复杂性和安全性挑战，因此，攻击者越来越多地将目标瞄准这些环境。

客户组织经常错误的认为，云端服务提供者（CSP）是管理保护云端中资源的主体，但其实这并不属于CSP的责任。CSP提供高度自动化、API驱动的平台，这些平台依照客户的需求进行配置，而无需CSP方面的任何人工监督。错误配置和缺乏安全控制是云端环境中的重大风险。客户和CSP都有责任保护云端环境。

客户对其云端环境安全的责任将根据他们选择的云端服务不同而不同。下图说明了Iaas、PaaS和SaaS服务模式下的CSP和客户之间的责任划分。

图：客户与CSP责任划分

缓解策略2：使用安全的云身份和访问管理实践（与CISA联合）

 1. 多因素认证（MFA）的重要性： 

文章强调了使用多因素认证来增强账户安全性的必要性。MFA要求用户提供两个或更多的认证因素，如知识因素（密码）、拥有因素（手机或安全令牌）和生物识别因素（指纹或面部识别）。特别推荐使用防钓鱼的MFA方法，如基于公钥的Fast Identity Online (FIDO)/WebAuthn认证，以提高安全性。

2. PKI证书的安全管理： 

云环境中广泛使用客户端证书和TLS证书来验证用户身份和保护数据传输。文章指出，组织应使用安全的方法来管理这些证书，包括安全存储密钥、定期轮换密钥、实施密钥撤销，并使用硬件安全模块（HSM）来增强保护。

3. 身份联合的保护：

身份联合允许组织在不同的系统和环境中统一管理身份，但这也可能成为攻击者的目标。文章建议使用端点检测和响应系统来监控身份联合服务器，保护证书和密钥，并实施网络分段来隔离这些服务器。

4. 基于上下文的访问控制： 

文章推荐实施基于上下文的访问控制策略，例如，根据用户的地理位置、设备类型或其他条件来限制对敏感资源的访问。这有助于限制即使在用户凭据被泄露的情况下，攻击者也能对系统造成的潜在损害。

5. 最小权限原则和职责分离： 

遵循最小权限原则，确保用户和应用程序仅拥有完成其任务所需的最小权限。职责分离是确保没有单个用户能够独立滥用系统的原则。这要求组织分离管理员角色，以控制资源的访问和管理。

6. 云实例元数据服务（IMDS）的保护： 

IMDS是一个提供关于云租户的一般信息的服务，但也可能被滥用来检索敏感信息。建议限制对IMDS的访问，使用最新版本的IMDS，并遵循供应商提供的最佳实践来保护此服务。

缓解策略3：使用安全的云密钥管理机制（与CISA联合）

1. 密钥管理的重要性：

密钥管理是确保云环境中数据安全的关键环节，它涉及到加密操作的创建、存储、轮换和删除;云服务提供商（CSP）提供的密钥管理服务（KMS）可以帮助客户管理对称和非对称密钥，以及API密钥和其他服务密钥。

2. 云密钥管理选项：

客户可以选择CSP完全管理的密钥，也可以选择自行在本地或通过外部KMS管理密钥;云KMS提供了一种中间选项，允许客户在享受CSP服务的同时，对密钥类型、大小、轮换计划等进行自定义。

3. 信任与控制：

使用公共云服务意味着扩展了信任边界，引入了额外的风险，如内部威胁和对安全操作控制的缺失;客户应评估CSP的技术信息，以确保其安全实践满足组织的需求，并建立信任关系。

4. 共享的安全责任：

在使用CSP的KMS时，客户需要了解与CSP之间的责任分界，并确保自己负责的密钥得到妥善保护;客户负责定义密钥管理的用户和管理员角色以及策略，应遵循职责分离和最小权限原则。

5. 硬件安全模块（HSM）：

使用经过验证的基于HSM的密钥管理系统是管理高度敏感数据的最佳实践，因为HSM提供了物理和逻辑上的保护。

6. 保护敏感信息：

组织应定期审计云环境中的密钥使用情况，确保密钥使用符合预期目的;应避免在可能被泄露的元数据中使用敏感信息，并确保客户密钥在静态和传输状态下始终加密。

7. 密钥销毁：

客户应了解CSP的密钥销毁过程，因为销毁密钥后，任何使用该密钥加密的数据将无法解密。

8. 标准和认证：

组织应选择符合国家标准和技术研究所（NIST）和联邦风险和授权管理计划（FedRAMP）标准的CSP。应使用商业国家安全算法（CNSA）套件推荐的量子抗性算法，并有计划过渡到更安全的算法。

缓解策略4：在云环境中实现网络分段和加密（与CISA联合）

1.  网络加密的重要性：

2. 安全的云连接：

3. 私有连接的优势：

4. 流量镜像：

图：使用流量镜像进行渗透的范例

5. 后端流量（Backend traffic）:

后端流量指的是在云服务提供商（CSP）的网络内部发生的流量，例如，当用户上传数据到云存储桶时，加密和数据管理服务需要与数据存储服务进行通信以完成这一操作。理想情况下，这些在CSP网络内部发生的服务间通信应该是加密的，并且与其他租户的流量隔离。这是因为云用户通常无法直接看到或控制CSP环境中的这些过程。

组织在选择云平台时，应该审查CSP的文档，并询问提供商如何保护客户数据。这有助于确定CSP的实践是否符合组织的安全需求。

需要注意的是，云中的客户资源之间的流量不一定会停留在云内。在某些情况下，客户流量可能会通过互联网路由，从而使其暴露给可能位于网络中的恶意行为者（MCA），他们可能会检查或甚至操纵这些流量。为了降低这种风险，组织必须确保在客户资源之间传输的流量得到适当的保护。此外，一些CSP提供私有API端点，客户可以使用这些端点确保流量在云内保持私密，而不会路由到互联网上。如果外部服务需要与云中部署的应用程序交互，组织可以配置基于身份的访问策略，以限制对应用程序的访问权限，只允许使用策略执行点的可信方进行访问。

6. 网络分段与微分段：

后端流量指的是在云服务提供商（CSP）的网络内部发生的流量，例如，当用户上传数据到云存储桶时，加密和数据管理服务需要与数据存储服务进行通信以完成这一操作。理想情况下，这些在CSP网络内部发生的服务间通信应该是加密的，并且与其他租户的流量隔离。这是因为云用户通常无法直接看到或控制CSP环境中的这些过程。

组织在选择云平台时，应该审查CSP的文档，并询问提供商如何保护客户数据。这有助于确定CSP的实践是否符合组织的安全需求。

需要注意的是，云中的客户资源之间的流量不一定会停留在云内。在某些情况下，客户流量可能会通过互联网路由，从而使其暴露给可能位于网络中的恶意行为者（MCA），他们可能会检查或甚至操纵这些流量。为了降低这种风险，组织必须确保在客户资源之间传输的流量得到适当的保护。此外，一些CSP提供私有API端点，客户可以使用这些端点确保流量在云内保持私密，而不会路由到互联网上。如果外部服务需要与云中部署的应用程序交互，组织可以配置基于身份的访问策略，以限制对应用程序的访问权限，只允许使用策略执行点的可信方进行访问。

缓解策略5：保护云端数据（与CISA联合）

云服务提供商（CSP）通常提供的三种数据存储类型：文件存储、对象存储和块存储。这些存储类型不仅作为独立系统存在，也是构建云平台即服务（PaaS）和软件即服务（SaaS）产品的基础。

保护云端数据常见的缓解措施：

1. 数据加密：

2. 数据访问策略：

3. 限制攻击面：

4. 系统恢复与备份：

5. 理解CSP数据程序：

组织应了解CSP的数据存储和保留政策，特别是软删除功能，这可以在一定时间内恢复被删除的对象。此外，应理解资源停用和数据删除之间的区别，确保敏感数据被正确安全地删除。

综上所述，正确保护云端存储系统及资料安全的最佳实践包括：充分了解云端存储产品并选择对所春促的资料有意义的存储类型；对所有敏感资料进行加密，并且使用使用密钥管理服务（KMS）或硬件安全模块（HSM）来安全管理密钥；有一个向使用者和服务分配权限的流程账户，并始终坚持最小权限原则。正确了解并核查云端资料的攻击面；定期测试关键资料的复原，并查看云端提供者有关资料删除的保留策略，确保正确删除携带敏感资料的系统。

[1]https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3699169/nsa-releases-top-ten-cloud-security-mitigation-strategies/

[2]https://media.defense.gov/2024/Mar/07/2003407863/-1/-1/0/CSI-CloudTop10-Shared-Responsibility-Model.PDF

[3]https://media.defense.gov/2024/Mar/07/2003407866/-1/-1/0/CSI-CloudTop10-Identity-Access-Management.PDF

[4]https://media.defense.gov/2024/Mar/07/2003407858/-1/-1/0/CSI-CloudTop10-Key-Management.PDF

[5]https://media.defense.gov/2024/Mar/07/2003407861/-1/-1/0/CSI-CloudTop10-Network-Segmentation.PDF

[6]https://media.defense.gov/2024/Mar/07/2003407862/-1/-1/0/CSI-CloudTop10-Secure-Data.PDF

[7]https://media.defense.gov/2023/Jun/28/2003249466/-1/-1/0/CSI_DEFENDING_CI_CD_ENVIRONMENTS.PDF

[8]https://media.defense.gov/2024/Mar/07/2003407857/-1/-1/0/CSI-CloudTop10-Infrastructure-as-Code.PDF

[9]https://media.defense.gov/2024/Mar/07/2003407865/-1/-1/0/CSI-CloudTop10-Hybrid-Multi-Cloud.PDF

[10]https://media.defense.gov/2024/Mar/07/2003407859/-1/-1/0/CSI-CloudTop10-Managed-Service-Providers.PDF

[11]https://media.defense.gov/2024/Mar/07/2003407864/-1/-1/0/CSI_CloudTop10-Logs-for-Effective-Threat-Hunting.PDF