目前，國內的云計算應用如火如荼，企業(yè)在加速云上業(yè)務應用的同時，也需要構建更加透明、更加可靠的云應用環(huán)境。開展云安全審計正是保障云計算應用安全的有效手段之一，它能夠將云上業(yè)務運營狀態(tài)及風險進行充分地檢驗和評審，預防發(fā)現(xiàn)可能出現(xiàn)的安全隱患。

　　云安全審計的價值

　　云安全審計是一套流程，旨在識別與云計算應用相關的安全漏洞和風險。云安全審計之所以很重要，是由于它可以幫助組織評估云環(huán)境的安全狀況，識別和減小數(shù)字化應用上云后的安全風險，保護云上重要數(shù)據(jù)資產(chǎn)的安全，從而實現(xiàn)組織業(yè)務的穩(wěn)定開展。

　　組織在開展云安全審計時，應該明確以下重點工作目標：

　　識別和減小與使用云服務相關的風險。

　　滿足監(jiān)管部門的應用合規(guī)要求。

　　改善組織的云上應用安全狀況。

　　降低云服務的使用成本和預算投入。

　　云安全審計工具

　　云安全審計工作可以手動執(zhí)行，也可以借助自動化工具執(zhí)行。這類工具多用于識別和修復漏洞，監(jiān)控安全策略合規(guī)情況，并跟蹤云環(huán)境出現(xiàn)的變化。AstraPentest、Prowler、DowJone’sHammer、ScoutSuite和CloudSploitScans是目前最常用的云安全審計工具。

　　1、AstraPentest

　　Astra的Pentest云安全審計工具經(jīng)過1000余種安全測試，遵守國際安全標準，這種云安全審計工具擁有界面直觀的儀表板，可動態(tài)顯示漏洞。它還可以檢測潛在漏洞的嚴重性，并通過修復協(xié)助和多次重新掃描提供安全審計。

　　2、Prower

　　Prower主要用于執(zhí)行審計、最佳實踐評估、安全加固和取證分析就緒。Prowler在設計時嚴格遵循CISAmazonWebServicesFoundationsBenchmark指南及相關行業(yè)審計標準，比如《健康保險可攜性及責任性法案》（HIPAA）和《通用數(shù)據(jù)保護條例》（GDPR）的合規(guī)要求。

　　3、DowJone’sHammer

　　該工具主要面向AmazonAWS的云安全解決方案，支持多賬戶審計功能。借助Slack和JIRA等實時報告功能，Hammer可以識別用戶AWS云資源中的錯誤配置以及不安全的數(shù)據(jù)隱患。產(chǎn)品具有實時報告功能，能夠向工程師提供快速反饋，并自動修復一些錯誤配置。Hammer還可以創(chuàng)建安全護欄，幫助保護部署在云平臺上的產(chǎn)品。

　　4、ScoutSuite

　　ScoutSuite是一種用于多云環(huán)境安全審計的開源工具，可以評估云環(huán)境的安全狀況。ScoutSuite使用云提供商公開的API，以收集配置數(shù)據(jù)供人工檢查，并能夠重點顯示風險區(qū)域。它支持Azure、AWS、GCP、Oracle和我國的阿里云等多云環(huán)境。

　　5、CloudSploitScans

　　CloudSploitScans是一款出色的開源云安全審計工具，支持Azure、AWS、GCP和Oracle云的評估工作。通過使用CloudSploitScans，有助于審計人員檢測云基礎設施賬戶中的潛在安全威脅，它具有一些特定腳本可讓設備防護一系列潛在的錯誤配置和安全風險。

　　云安全審計流程

　　云安全審計涉及許多技術和程序。如果遵循這些技術和程序，組織可以讓云上業(yè)務更可靠地運行。以下是云安全審計工作中最重要的工作環(huán)節(jié)：

　　掃描并識別云環(huán)境中的漏洞，并提供修補建議。

　　分析云計算應用配置是否合理，是否存在違規(guī)配置。

　　檢查云應用安全策略是否被有效執(zhí)行。

　　查看訪問控制列表，是否存在違規(guī)或異常訪問行為。

　　查看并分析云監(jiān)控數(shù)據(jù)日志。

　　云安全審計指標

　　組織在實際開展云安全審計工作時，可以參考以下最佳實踐經(jīng)驗，合理設計審計指標：

　　云服務商的安全狀況

　　任何組織都不想與沒有足夠安全保障能力的云供應商打交道。除了云平臺提供的安全策略和程序外，客戶還需要能夠通過對自身云上數(shù)據(jù)的監(jiān)測來評估風險。

　　攻擊面管理與評估

　　如果定期監(jiān)控云環(huán)境，組織可以迅速識別安全預防措施中的缺陷，并控制整個云資產(chǎn)面臨的風險。只有了解這些情況，組織才可以集中精力進行補救，重點保護風險系數(shù)高或重要性高的資產(chǎn)。

　　訪問控制管理措施

　　訪問權限管理不當是目前最普遍的云安全問題。雖然云提供商會提供訪問權限管理功能，但如果這些登錄信息被非法竊取，組織的數(shù)據(jù)隨時可能會泄露。這是需要重點關注和審計的內容。

　　外部共享標準

　　云計算可以讓數(shù)據(jù)共享使用更快捷。通過云計算平臺，整個組織訪問和共享信息變得輕而易舉，然而這也帶來了風險。員工可能會在家用網(wǎng)絡上安裝惡意軟件，在未經(jīng)授權的情況下訪問組織數(shù)據(jù)，或與組織外部的人共享數(shù)據(jù)，因此需要對云數(shù)據(jù)的共享使用建立規(guī)范標準，并保證其被有效執(zhí)行。

　　補丁管理

　　補丁管理是確保云環(huán)境安全的一個重要環(huán)節(jié)。然而，實際工作中落實補丁及時管理并非易事，需要時刻了解云計算應用中的漏洞修補情況。

　　云安全審計挑戰(zhàn)

　　根據(jù)實踐總結，研究人員發(fā)現(xiàn)，組織開展云安全審計工作存在的主要挑戰(zhàn)包括：

　　云安全審計在識別與使用云服務相關的所有風險時常面臨困難。

　　需要專業(yè)知識和技能保障。如果沒有這些知識和技能，安全審計常常會走歪路。

　　審計人員對云環(huán)境的內部運作缺乏足夠的認知和了解。

　　由于安全隱患的未知性和復雜性，可能會出現(xiàn)誤報和漏報。?