CSI（网络安全信息）表

网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA)最近发布了新的 CSI（网络安全信息）表，旨在为组织提供有关如何有效保护其云环境的信息和指南。

这个新版本总共包括五个 CSI 表，涵盖了云安全的各个方面，例如威胁缓解、身份和访问管理、网络安全等。以下是我们对新 CSI 表的概述、它们所涉及的内容以及每张表的主要要点。

实施云身份和访问管理

创建“使用安全云身份和访问管理实践”CSI 表是为了帮助识别和解决云环境中出现的独特安全挑战。随着大多数现代企业迅速采用更多基于云的解决方案来帮助其扩展，他们创建的虚拟攻击面需要足够的保护。

该文件接着解释说，与扩展到云相关的主要风险之一来自恶意网络参与者，他们积极利用第三方平台访问协议中未发现的漏洞。这主要是由于用户访问限制或角色定义的配置错误以及社会工程活动的战略执行造成的。

通过使用旨在更严格地监视和控制云访问的身份和访问管理 (IAM)解决方案，可以成功缓解许多已识别的风险。此外，CISA 和 NSA 建议正确实施多因素身份验证协议，这在提高网络钓鱼防御能力以及谨慎管理公钥基础设施证书方面特别有效。

提到的另一个重要点是用户访问云资源时使用加密通道。建议组织在配置所有软件和固件时强制使用传输层安全 (TLS) 1.2 或更高版本，并尽可能依赖商业国家安全算法 (CNSA) 套件 2.0 。

强化云密钥管理流程

发布“使用安全云密钥管理实践”表是为了强调加密操作在云环境中发挥的重要作用。这些操作可确保通信安全，并为动态和静态数据提供适当级别的加密。

该表概述了云客户可用的各种密钥管理选项，包括云服务提供商 (CSP) 管理的加密密钥和可以而且应该应用的第三方密钥管理解决方案 (KMS)。

拥有专用的硬件安全模块 (HSM) 是应用适当的密钥管理流程的另一个重要组成部分，因为它为存储和处理加密密钥提供了安全且防篡改的环境。

然而，组织需要权衡与部署共享、分区和专用 HSM 相关的收益和风险，因为共享责任模型需要应用于组织及其合作的第三方。

利用网络分段和加密

“在云环境中实施网络分段和加密”表旨在强调从基于边界的安全方法到更细粒度、基于身份的网络安全的持续转变。为了安全地做到这一点，CISA 和 NSA 建议使用端到端加密和微分段来隔离和强化其网络，使其免受快速扩展的网络攻击。

目前，NSA 批准的 CNSA Suite 算法或 NIST 推荐的算法被认为是传输中数据加密的黄金标准。在提供的所有表格中多次推荐这些内容，并且在连接到云服务时，尽可能依赖私有连接而不是公共连接。

由于许多现代网络攻击非常具有侵略性，因此强烈建议实施网络分段。这有助于遏制可能在连接的数据库或关键系统之间横向移动的漏洞。现在有许多云原生选项可以帮助组织实施分段并准确控制整个网络的流量。

保护云中的数据

提供的“云中数据安全”表详细介绍了云数据类型的分类，包括“文件”、“对象”和“块”存储选项。该表继续解释说，根据您使用的存储类型，这将意味着应用不同的措施来正确保护它。

无论每种类型的数据使用何种加密方式，强烈建议在访问云服务时减少公共网络的使用。这些都是安全漏洞的持续来源，因为公共网络的安全性非常有限，并且经常被恶意来源用来监控流量并发现设备安全性的弱点。

本表还强调基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC) 的实施，作为管理特定数据访问的有效方法。这些解决方案允许您查看非常精细的访问权限，同时还鼓励组织消除过于宽松的云访问策略。

最大限度地提高云安全性的一个重要部分是审查和了解云服务提供商的程序和策略，特别是它们如何应用于数据存储和保留。

企业可以与他们的云服务提供商合作实施“软删除”等解决方案，这是一种将数据标记为已删除的做法，而不实际将其从服务器中删除。这允许在需要时进行恢复，但仍然可以防止未经授权的用户访问。

降低托管服务提供商的风险

最后一份表“减轻云环境中托管服务提供商的风险”旨在帮助提高人们对托管服务提供商 (MSP) 成为民族国家支持的恶意行为者的常规目标的认识。

当组织选择与云服务提供商合作时，对于遵守监管标准也存在许多误解。公司需要清楚地了解共同责任原则，并确保其合作伙伴高度重视数据安全。

该表解释说，组织应该预先建立审计机制，包括云原生数据记录和监控。这些帮助组织更好地理解、控制和保护其 MSP 代表组织采取的行动。

拥抱主动的云安全

多年来，CISA 和 NSA 一直强调，企业在与云中的 MSP 合作时应负责网络安全准备工作。通过遵循这些 CSI 的指导，组织可以确保他们应用最新的最佳实践，从而最大限度地减少攻击面并提高从云安全漏洞中成功恢复的能力