在过去十年,云计算代表了企业IT最具颠覆性的趋势之一,而安全团队在转型过程中也没有摆脱“错乱”。对于安全专业人士来说,他们觉得自己已经失去了对云计算的控制,在试图应对云计算的“错乱”以确保其不受威胁时感到沮丧是可以理解的。
下面将了解云计算如何破坏安全,以及安全团队如何利用这些变化,成功完成确保数据安全的关键任务。
1.云计算减少了一些重大责任
当企业采用云计算技术时,就可以摆脱获取和维护物理IT基础设施的负担,这意味着企业的安全部门不再负责物理基础设施的安全。云计算的共享安全模型规定,AWS、Azure等云计算服务提供商(CSP)需要负责物理基础设施的安全。用户自己对云计算资源的安全使用负有责任。然而,对分担责任模式存在诸多误解,由此带来风险。
2.在云中,开发人员自己做基础设施决策
云计算资源可以通过应用程序编程接口(API)按需提供。因为云计算是一种自助服务,开发人员可以迅速采取行动,避开传统的安全网关。当开发人员为其应用程序启动云计算环境时,他们是在配置其基础设施的安全性。但是,开发人员可能会犯一些错误,包括严重的云计算资源分配错误和违反合规政策。
3.开发人员不断改变基础设施配置
企业在云中的创新在数据中心。持续集成和持续部署(CI/CD)意味着云计算环境的持续变化。开发人员很容易更改基础结构配置来执行从实例获取日志或解决问题等任务。因此,即使他们的云计算基础设施的安全性在第一天是正确的,但在第二天就可能引入错误配置漏洞。
4.云计算可编程、自动化
由于云计算资源可以通过API创建、修改和销毁,开发人员放弃了基于Web的云计算“控制台”,转而使用AWS CloudForm和Hashicorp Terraform等基础架构代码工具对其云计算资源进行编程。大规模云平台可预定义、按需部署环境,并以编程方式自动更新。这些基础结构配置文件包括关键资源的安全相关配置。
5.云端有更多基础设施需要保护
在某些方面,数据中心安全性更容易管理。企业网络、防火墙和服务器都运行在机架上,而云计算也以虚拟化的形式存在。但云计算也提供了一系列新的基础设施资源,比如无服务器和容器。在过去几年中,仅AWS就推出了数百项新服务。即使是熟悉的东西,比如网络和防火墙,也在云中以不熟悉的方式运行。这些都需要新的、不同的安全姿态。
6.云端有更多基础设施需要保护
组织需要更多的云计算基础设施资源来跟踪和保护,而且由于云计算的灵活性,更多的会随着时间的推移而改变。在云中大规模运营的团队可能正在管理着跨越多个地区和账户的数十个云平台环境,每个团队可能涉及数万个单独配置的资源,这些资源可以通过API访问。这些资源进行交互,并需要它们自己的身份和访问控制(IAM)权限。微服务架构使这个问题复杂化。
7.云计算安全与配置错误有关
云计算操作完全与云计算资源的分配相关,包括网络、安全组等安全敏感资源,以及数据库和对象存储的访问策略。如果企业不必运营和维护物理基础设施,安全重点就会转移到云计算资源的分配上,以确保它们在第一天是正确的,在第二天及以后保持这种状态。
8.云安全还与身份管理相关
在云中,许多服务都是通过API调用相互连接,这需要安全性的身份管理,而不是基于IP的网络规则、防火墙等,例如,从lambda到S3 bucket的连接是使用附加到其服务身份lambda接受的角色的策略完成的。身份和访问管理(IAM)和类似的服务复杂而功能丰富。
9.云计算面临的威胁性质不同
不良参与者使用代码和自动化来发现云计算环境中的漏洞并加以利用。自动化的威胁将永远超过手动或半手动的安全防御。企业云安全必须能够抵御当今的威胁,这意味着它们必须覆盖所有关键资源和策略,并在没有人类参与的情况下自动地从这些中派生从任何错误配置的资源中恢复。这里的关键指标是关键云计算配置错误的平均修复时间(MTTR)。如果以小时、天、周来衡量,还有工作要做。
10.数据中心安全在云中不起作用
到现在,人们可能已经得出这样的结论:许多在数据中心工作的安全工具在云中用处不大。这并不意味着企业需要抛弃他们一直在使用的一切,而是需要知道哪些仍然适用,哪些已经过时。例如,应用程序安全仍然重要,但依赖span或click检查流量的网络监控工具将不会是,因为云计算服务提供商不提供直接的网络访问。企业需要填补的主要安全漏洞与云计算资源分配有关。
11.云中的安全可以更容易、更有效
由于云计算是可编程的,并且可以自动化,这意味着云中的安全可以比数据中心中的安全更容易、更有效。
监控配置错误和偏差可以完全自动化,企业可以使用自愈基础设施为关键资源保护敏感数据。在配置或更新基础结构之前,企业可以运行自动化测试,以验证作为代码的基础结构是否符合其企业安全策略,就像企业保护应用程序代码一样。这让开发人员更早地知道是否存在需要修复的问题,最终帮助他们更快地行动并不断创新。
12.在云中,遵从性也可以更容易和更有效
这对合规分析师来说也是一个好消息。传统云计算环境的人工审核可能成本高、容易出错、耗时长,而且通常在完成之前就已经过时。因为云计算是可编程的,
也可以进行合规性扫描和调查报告。现在可以自动执行合规性审核,并定期生成报告,而无需投入大量时间和资源。由于云计算环境变化如此频繁,超过一天的审计间隔时间可能太长。
从哪里开始使用云安全?
(1)了解开发人员在做什么
他们使用什么云计算环境,他们如何通过账户(即开发、测试和产品)分离问题?他们使用什么配置和持续集成与持续部署(CI/CD)工具?他们目前是否使用任何安全工具?这些问题的答案将帮助企业制定云计算安全路线图并确定所关注的问题。
(2)将遵约框架应用于现有环境
识别违规行为,然后与企业的开发人员一起工作,使其符合规定。如果业务不符合HIPAA、GDPR、NIST 800-53或PCI等符合性系统,则使用Internet安全中心(CIS)基准。像AWS和Azure这样的云计算提供商已经将它们应用到自己的云平台上,以帮助消除关于它们如何应用到企业正在做的事情的猜测。
(3)确定关键资源,建立良好的分配基线
不要忽略关键的细节。企业与开发人员合作,识别包含关键数据的云计算资源,并为其建立安全配置基线(以及网络和安全组等相关资源)。开始检测这些配置偏差,并考虑自动修复解决方案,以防止配置错误导致的事故。
(4)帮助开发人员更安全地工作
通过与开发人员合作,将安全性添加到软件开发生命周期(SLDC)的早期阶段,以实现“左移”。DevSecOps方法(如开发过程中的自动策略检查)通过消除缓慢的手工安全和遵从性流程,帮助维持创新的快速发展。
一个有效和灵活的云安全局面的关键是与企业的开发和运营团队紧密合作,使每个成员在同一页面上、用同一种语言进行交流。然而,在云中,安全性不能作为一个独立的功能运行。
多开云官网 - 基于高速稳定24小时不关机的云端技术! 高性能固定IP挂机宝,云主机,云电脑,vps服务器,永久免费提供远程桌面连接软件,安卓手机ios苹果mac电脑均可使用!