NIST安全框架漏掉了四个关键云安全问题

美国国家标准技术研究院（NIST）的网络安全框架是一个很有价值的工具，可改善IT度量和标准，尤其是数据安全保护。

研究表明，将近三分之二的组织将安全性视为采用云技术的最大挑战，这使NIST网络安全框架成为重视数据安全的IT领导者的宝贵工具。

但是，随着越来越多的企业采用越来越复杂的多云和混合云环境，照搬NIST网络安全框架暗藏着巨大风险，因为NIST网络安全框架忽略了很多关键的云安全问题。

不幸的是，NIST标准给大量企业和组织（从小型企业到大型政府组织）营造了错误的安全感。因为这些企业没有意识到，尽管NIST安全框架有很多优点，但也给网络内部埋下了巨大的云安全问题隐患。以下，我们简要总结NIST安全框架漏掉的四个关键云安全问题。

许多组织会惊讶地发现，没有NIST标准规定日志文件应保留30天以上。考虑到日志中存在的大量信息，30天的保留期太短，对于组织，尤其是大型企业而言，这对于安全报告来说是一个重大的挑战。

考虑到企业平均需要四个月以上的时间才能检测到数据泄露，因此当前的30天限制根本无法满足需要。扩展的审核日志保留功能可确保IT团队拥有调查安全事件溯源所需的取证数据，也是遵守GDPR等数据隐私法规的关键一步。

云（数据）安全的问责是个十分让人头疼的问题，尤其是在使用多云或混合云环境的企业中。

SaaS之类的高级云平台需要大量IT驱动的安全职责。在PaaS和SaaS解决方案中，身份和访问管理是一项共同的职责，需要有效的实施计划，其中包括身份提供者的配置、管理服务的配置、用户身份的建立和配置以及服务访问控制的实现。

随着全球企业数字化转型计划的推进和大流行期间远程办公的流行，越来越多的组织将业务应用迁移到云托管环境中。尽管云计算责任分担模型明确规定了云提供商及其用户的安全义务以确保问责制度，但可见性和安全监控应用程序仍存在空白，需要解决。

随着越来越多的企业选择云计算节省成本和改进业务，企业比以往任何时候都更需要弥合可见性和安全监控的差距以实现最高安全性。

NIST要求对最小特权访问进行范围界定，但并未覆盖租户代理或“虚拟租户”。虚拟租户隔离了整个环境的各个区域，并防止管理员弄乱不属于他们的区域。让管理员控制他们的“虚拟”区域，从而帮助保护M365中的资源和数据。

可以理解，当涉及个人隐私信息（PII）和知识产权时，缺少租户代理产生了重大的安全挑战。因此，组织（尤其是大型的分布式组织）应考虑采用可对特定业务部门的访问进行细分的工具，以提高整体安全水平。

微软应用管理员（Microsoft Application Administrator）包含大约有75个属性，但是几乎没有人（无论微软还是企业IT人士）确切了解它们的含义。如果授予用户Application Administrator权限，则几乎不可能确切知道该用户具有哪种访问权限，从而带来不必要的安全风险。

尽管IT员工在工作中经常需要执行某些功能，例如创建新的用户账户和更改密码，但是这些“流动性”较强的功能并不容易归属到某个特定的角色。这种流动性使传统安全方法（例如基于角色的访问控制）的效力被削弱。

值得注意的是，NIST在管理员角色和规则方面也并非毫无作为，功能访问控制（FAC）就是其中之一。RBAC是实现最低特权访问的一种方法，而功能访问控制（FAC）是实现RBAC的一种方法。

作为NIST认可的方法，FAC为IT管理员的功能权限提供了一种更细粒度的分配方法，使企业能够调整特定用户访问权限的大小，从而改善安全性。