云安全建設的6個建議
云計算的應用和發展改變了企業的業務模式和數據原有的流通模式,切合了當前環境下數據化轉型的需求。相對傳統數據中心,云計算從硬件資源池到服務網格都開放了相應的云服務,南北向訪問的用戶和設備數量呈現指數增長,東西向接口上不同級別的系統數據和用戶數據不停交互,用戶應用在持續快速更迭,系統組件頻繁暴露出各類安全漏洞,加之外部攻擊和威脅也在不斷變化,這些都給云計算安全帶來了巨大的挑戰。那么實現云安全的秘訣是什么?安全牛收集整理了有關安全專業人士給出的6條建議。
一、積極擁抱變化
安全團隊一直在滅火,尤其是在當下,面對日趨嚴峻的網絡態勢,安全團隊可謂身心俱疲,分身乏術,因此他們不愿意以業務所需的速度采用和適應新技術;同時,安全團隊迫切需要減少工作量,重復使用相同的方法對他們來說更得心應手。然而,這種‘拒絕變化/突破’的態度勢必會阻礙企業利用云來發揮其真正潛力,甚至還會導致更糟糕的結果,因為傳統的安全技術和新技術與云環境的動態需求不同步。
二、與新技術同步
我們在技術方面面臨的最大挑戰之一,就是其快速的變革速度。雖然這推動了業務創新并改善了我們的日常生活,但它也是有代價的——安全團隊需要花費更多的時間來了解這些不斷迭代的新技術及其使用方法。
如今,云技術也面臨同樣的情況——IT團隊通常缺乏有關如何有效部署和保護云的培訓和知識。為了改善這種情況,企業需要在部署任何新技術之前對員工進行云知識培訓。而且,隨著云技術的不斷發展,有必要確保這種培訓的持續性,并定期更新培訓內容。
三、遵循安全設計原則
云環境應遵循五個基本的信息安全設計要求:身份驗證、授權、數據完整性、數據機密性和不可否認性。任何工程學科中最困難的問題之一,就是在構建產品之后再去添加核心功能。例如,在汽車制造中,原始設備制造商可以在售后階段系上安全帶,但是要添加安全氣囊或確保車輛前端提供“折疊區”就要困難得多。
在軟件領域也是如此,從一開始就增加安全性要比檢測出問題后被迫添加安全性更方便、更高效、更便宜。在高級設計階段修復一個缺陷大約需要花費10美分,而一旦處于生產狀態的代碼報告了一個錯誤,花費則可能要超過100,000美元。確保將更少的錯誤放入代碼中可以節省故障排除、返工和延遲造成的成本。
四、持續的、跨平臺的、云原生的能力
企業業務正在從“以數據中心為中心”的經典模式轉變為“以云為中心”的數據使用模式。新冠肺炎疫情在全球的蔓延加速推動了這一轉變,企業數字化和云遷移進程,企業也越來越需要在生產環境中快速創新,以應對技術和威脅不斷加快的發展速度。最好的安全性應該是業務推動者。只有當安全性是連續的、跨平臺的和云原生的時,我們才能做到這一點。
五、自動化一切
我們生活在一個技能短缺和商業需求不斷碰撞的世界,這使企業面臨不斷升級的網絡風險。在云中,它會導致配置錯誤和連鎖數據泄露,以及暴露重要資產的風險。更糟糕的是,網絡犯罪分子和國家行為體黑客正加大力度檢索和利用這些易受攻擊的系統,并且已經取得了不俗的“戰績”。
這就是自動化技術發揮作用的地方。在云安全態勢管理(Cloud Security Posture Management ,簡稱“CSPM”)中,自動化技術可以連續掃描數百個系統或程序,然后自動修復任何錯誤以降低合規風險。自動化還可以簡化公有云、私有云和虛擬云環境的安全操作。它可以通過機器學習和虛擬補丁等技術幫助檢測和保護新的工作負載,且在不減慢DevOps性能的情況下,將安全性融入CI/CD管道。
六、安全責任分擔
誰都不能說云不安全,因為云的安全性取決于使用方式。別問“AWS、Azure、谷歌云,誰更安全?”而要問“做些什么才能使所有云都像我需要的那樣安全?”答案是,這完全取決于具體環境/背景,不同的環境需要使用不同的安全策略,各組成部分共同承擔安全責任。如何使用容器將是容器安全策略中的一個決策點;軟件即服務(Software as a Service,SaaS)更關注于企業希望通過API實現哪些安全功能。
云安全自助服務以各種形式充分發揮作用。目前,云安全態勢管理(CSPM)市場已初具規模,以響應自助服務的需求,使企業能夠跨越多個云產品實施安全策略。除此之外,安全訪問服務邊緣(Secure Access Service Edge,SASE)工具也正在以新的方式,將遠程辦公人員和支持SD-WAN的分支機構安全地連接到SaaS和云。
