Gartner總結三大云安全實施建議 附重要安全工具及風險評估方法
Gartner預測:到2023年,主流的云服務提供商出現重大安全事件的概率將非常低,99%以上的云安全問題都是由客戶的過錯引起的。而到2024年,利用云基礎設施的可編程性來改進云上工作負載的安全,將展現出比傳統數據中心更好的合規性,并減少至少60%的安全事件。
近日,Gartner高級分析總監高峰在以“中國云安全的最佳實踐”為主題的線上研討會上提到:“企業在云上是安全的,而且比傳統的線下基礎設施平臺更加安全。”
中國企業面臨三大云安全挑戰
實際上,企業在云安全方面仍有諸多顧慮。由于云安全與傳統的線下基礎設施安全大不相同,企業在云上仍然面臨諸多挑戰,既有是否信任公有云以及如何信任公有云這類全球性挑戰,也有中國市場獨有的挑戰。
Gartner認為,中國企業目前面臨三大云安全挑戰:
一是對云安全責任分攤模型的理解和相關技術能力的缺失。企業在云安全中分擔的責任與傳統線下數據中心的安全有很大不同,因此理解與云安全提供商的安全責任分工非常重要。此外,云安全所需要的技能與傳統的邊界安全也有很大區別,企業在這方面的能力缺失,使云安全的實施面臨更大的挑戰。
二是在云安全技術的選擇與運用方面存在一定困難。云的部署模式需要一些安全工具支撐,然而中國的市場現狀是:目前的云服務提供商和安全廠商無法滿足云上安全的所有需求,不能提供所有的安全能力,因此許多企業在實施云安全的過程中面臨技術選擇難題。
三是缺乏對云服務提供商進行持續的風險評估。不同的云服務提供商存在不同風險,而這些風險并不是一成不變的,中國企業很少對云服務提供商進行系統性的風險評估,這使企業的云上資產面臨一定風險。
企業應對云安全挑戰的三大建議
如何應對以上三大挑戰呢?高峰在會上給出了Gartner的三大建議。
建議一:明確企業和云服務提供商的安全責任范圍,并建立云安全所需的能力。
云服務的資源共享理念,打破了傳統IT資產的物理邊界,使現有的安全架構無法有效保護云上的資產。由于對公有云缺乏信任,中國很多企業過于關注數據的存儲位置,認為數據在企業自身的物理邊界內更安全。而Gartner則認為:這種對數據物理位置的過度關注是錯誤的,數據保護需要企業對數據實施安全控制,而非過度關注數據的位置,這會使企業犧牲云計算的諸多好處。
實際上,對于云服務提供商而言,安全的重要性不言而喻,他們會持續進行大量安全投資,憑借大量的安全技術人員和用戶基數,云供應商更容易發現和解決安全問題,因此從規模化效應的角度來看,公有云其實比私有云和傳統數據中心更安全。企業之所以對數據的位置十分關注,除了監管合規的因素外,還有一部分原因是企業在實施云安全時存在一定困難,伴隨物理邊界的消失,企業不知道如何與云服務提供商共同保護云上的數據資產。
云計算安全責任共擔模型
高峰提到:基于責任共擔的理念,云計算的部署模式不同,企業與云供應商之間所承擔的安全責任也有所不同。如上圖所示,深藍色模塊代表企業的安全責任,綠色模塊代表云服務商的責任,淡藍色模塊則是企業和云服務商需要共同承擔的安全責任。從圖中可以看出,無論云的部署類型如何,數據安全永遠是企業自身的責任,必須通過數據加密、訪問授權控制等一系列手段提升云上的數據安全水平。
大部分企業都存在安全人員和技術能力的缺失問題,通過與云服務商分擔安全責任,企業能夠更專注于保護核心的數據資產。數據顯示,云上成功的安全攻擊,大多數是由于用戶的錯誤引起的,例如配置錯誤,或缺少必要的補丁,而充分利用云上內置的安全功能,以及高度自動化的工具,企業可以顯著減少此類配置錯誤,杜絕管理不善等問題,通過進一步減少攻擊面來改善整體的云安全狀況。
云資源具有可共享、生命周期短、自動化以及可編程等特點,云上的安全運維涉及大量的自動化工作,以及跨領域、跨平臺的安全保護工作,這與保護本地的基礎設施安全有很大不同。因此,企業必須建立云安全相關的能力,設立云安全架構師和云安全工程師兩個至關重要角色。
Gartner建議設立云安全架構師和云安全工程師兩個角色
云安全架構師主要責任包括以下幾點:
1)引領云安全的文化變革。
2)制定云安全策略。
3)開發和協調用于云安全的安全技術和工具。
4)招聘或培訓云安全工程師。
企業可以雇傭或從內部提拔“云安全架構師”。值得一提的是,“云安全架構師”并非唯一識別和制定“云安全架構”的決策人,他需要與云架構師及其他安全架構師緊密合作,共同做出決策,確保云上安全。
此外,云安全工程師也是一個非常重要的角色,與某些特定安全領域的傳統安全工程師不同的是,云安全工程師是擁有廣泛技能的技術專業人員,負責配置本地云原生和第三方云安全管控,配置跨多云環境共同使用的核心安全服務。
高峰強調:上云對大多數企業而言都至關重要,設置云安全架構師和云安全工程師兩個角色非常必要。對于中小型企業而言,如果無法設立這兩個專職角色,可以通過職能外包或培訓現有安全團隊,來提升自身的云安全能力。
建議二:優先選擇云服務商云原生的安全工具,并以第三方和開源安全工具作為補充實現安全控制。
如今,云服務提供商正在不斷推出新的云安全工具,以提高其云安全水平,其中不乏一些具備或接近企業級產品能力的安全工具,這些工具與其云服務高度集成,采用云服務提供商的安全工具,對企業而言成本更低,而訂閱式的付費模式非常方便、靈活,不僅能快速滿足企業的諸多安全訴求,也可以隨時取消或更換安全工具。
值得注意的是,為了滿足中國市場的監管合規要求,國外云服務商在中國提供的云服務與全球云服務之間是物理隔離的,相互之間不互通,運維也由第三方團隊負責,這就導致了其產品、技術和服務可用性的一些差異,國內可以訂閱的安全工具與國外也可能有所不同。因此,企業在選擇這些工具之前,需要核實其可用性以及產品路線圖。
對于那些需要將國外的應用部署遷移到國內同一個云服務提供商的企業而言,由于國內外云服務可用性的不同,在無形中增加了應用遷移的復雜度,此時采用一些第三方的安全工具,實現更多個性化配置和服務,是不錯的選擇。
國外很多云服務商的SaaS產品,需要用戶通過跨境連接的方式訪問其全球的SaaS服務,然而數據跨境會面臨一定的合規風險,當云服務商云原生的安全工具以及第三方安全工具都無法滿足企業需求時,開源工具成為企業實施云安全的另一種選擇,但是需要注意的是,由于缺乏商業支持,開源工具在漏洞管理等方面可能存在一定風險,需要企業仔細評估。
由于共享了云安全責任和云產品本身的復雜性,大部分企業上云后都需要對其安全工具進行更新,例如被國內大多數企業廣泛應用的CWPP(云工作負載保護平臺),在國外較為成熟的CASB(云訪問安全代理)、CSPM(云安全態勢管理)、CNAPP(云原生應用保護平臺),以及SSPM(SaaS安全態勢管理)和SMP(SaaS管理平臺)等新興的安全工具。
云安全工具組
從上圖可以看出,CWPP和CASB一般關注數據平面的安全,CSPM、SSPM和SMP主要關注控制平面的安全,而CNAPP則同時適用于控制平面和數據平面的安全管控。隨后,高峰詳細介紹了幾個重要的云安全工具。
CASB:即云訪問安全代理,CASB通過對多種類型的云安全控制進行整合,為SaaS、IaaS和PaaS提供一些可見性、合規性、數據安全和威脅保護的控制,例如授權、用戶行為分析(UEBA)、自適應訪問控制、數據泄漏防護(DLP)以及設備分析等。據悉,CASB在國外已得到廣泛應用,而在國內市場,由于CASB供應商需要與云服務提供商進行深度合作,因此市面上提供CASB的供應商較少。
CASB通常有四類集成方式:一是API集成,其部署優勢是不存在代理模式的會話管理問題;二是正向代理方式,主要針對用戶上云的訪問進行保護,包括企業訪問外網以及訪問云上資源的流量;三是反向代理部署,針對外部用戶(如:非企業管理的客戶端)對企業云上的應用訪問,進行保護;四是從安全網關或企業防火墻等安全設備提取日志,注入到CASB進行分析,并生成云應用的發行報告。
CWPP:即云工作負載保護平臺,又稱“云主機保護平臺”,是以工作負載的保護為主的安全產品,可以保護混合云、多云和數據中心的服務器工作負載。與EDR不同的是,CWPP專注于保護服務器負載主機,為物理機、虛擬機、容器和無服務工作負載等所有主機提供保護,無論它們在數據中心還是云上,都能提供一致性的可見控制。CWPP能夠結合多種功能保護工作負載,例如:系統完整性保護、應用程序控制、行為監控、入侵防御、以及惡意軟件的保護。
需要強調的是,盡管中國的供應商提供了很多CWPP工具,但是其中不乏一些基于供應商原有的EDR進行修改的產品,這些修改版的CWPP工具對無服務工作負載、容器以及云集成的支持能力可能非常有限,企業在選擇相關產品時需要格外注意。
CSPM:即云安全態勢管理,主要通過預防、檢測、響應和主動識別云基礎設施風險,持續管理云安全狀況,核心是通過ISO22701等通用框架要求,等保等相關法律法規要求,以及企業的安全策略,主動與被動結合,發現評估云服務的安全配置風險,一旦發現問題,可以提供自動或者人工的補救措施。例如,CSPM可以根據企業配置的安全策略,對其進行持續的安全檢查,一旦發現配置偏移,即可阻止或通知安全人員。由于CSPM產品需與云服務提供商深度合作,目前只有少數本地供應商能夠提供此類產品,而國外已經有很多CSPM產品開始支持中國的云服務商。
CNAPP :即云原生應用保護平臺,CNAPP集成了安全與合規功能,助力保護云原生應用程序的整個生命周期,包括應用的構建、云基礎設施的配置以及應用運行時的安全保護。CNAPP整合了大量獨立功能,例如容器掃描、云安全態勢管理以及云主機運行時的安全保護等等。目前,一些中國供應商,尤其是初創的云安全供應商,已經開始提供CNAPP產品,但是尚未覆蓋所有領域,這一類工具有待進一步發展。
建議三:評估云服務提供商的風險。
評估云安全提供商的常用方式
無論企業采用哪種云部署方式,云服務提供商的風險都不容忽視。Gartner總結了一些常用的評估方法,如上圖所示,這些評估方式從左到右給企業做出決定的評估價值會越來越高,從下到上評估所需要的投入會越來越少。企業可以根據自身的實際情況進行選擇,也可以采用多種評估方式對云服務提供商的風險進行綜合評估。
此外,Gartner根據云服務商的數量給出了一個簡單的評估模型:
第一梯隊是一些少量、成熟的大型云服務提供商,以及少數成熟的財務安全云服務提供商,他們主導市場的時間超過5年,均已通過等保三級等重要認證,以及市面上常見的第三方安全評估,這些巨頭更注重保護形象,會不斷增加安全投入以尋求客戶的信任。
第二梯隊是一些不斷增長的中型云服務提供商和大型知名軟件供應商,處于供應商成熟度與可靠性的中間層。第二梯隊中的供應商雖然提供云服務,但是并沒有良好的長期運營記錄,在安全運營方面不如第一梯隊成熟,往往缺乏一些重要的第三方安全評估認證,尤其是初創公司存在一些財務風險。因此,企業評估云服務商的大部分資源應放在第二梯隊的云服務提供商上。
第三梯隊是數量龐大、不斷增長的小型云服務提供商,他們很少進行第三方評估,因此企業很難了解他們的實際運行狀況,企業必須假設這些云服務提供商是不安全的,也不值得花費太多精力去評估其風險,這些云服務商的運營狀況可能在短時間內就會發生變化。企業在使用這一梯隊的云服務時,必須接受這些風險。在實際案例中,有些企業由于云服務提供商的云技術提供商破產,使其面臨云服務支持、安全、軟件版本更新等一系列問題,而后續的應用和數據遷移也會給企業帶來很大風險。
由此可見,對云服務提供商進行風險評估至關重要。在實際的云評估中,一些針對云服務提供商的重要安全認證,也是企業評估其安全風險的重要參考。上圖是企業需要重點關注的安全認證,相較于全球認證,中國企業為了滿足法律與合規要求,更應該關注那些中國本土的認證,例如“等保三級”是合格“云服務商”的基礎門檻。
高峰指出:這些認證有些只有通過和失敗之分,并沒有指定安全級別,而有些認證通常會提供針對云服務提供商的詳細書面報告,包括對其優、缺點的具體評論,企業可以向云服務提供商索要這些評估結果,以便進行更詳細的風險評估。當然,找專業的咨詢公司和評估機構進行風險評估更為可靠。
