技術(shù)
導(dǎo)讀:隨著云計(jì)算服務(wù)支出比以往任何時(shí)候都要多,全球主要的公共云提供商之間爭(zhēng)奪市場(chǎng)份額的斗爭(zhēng)日益激烈。他們采用的提高云計(jì)算客戶忠誠(chéng)度的策略往往會(huì)加劇這些客戶面臨的云安全挑戰(zhàn)。
研究表明,在2020年第二季度,全球客戶在公共云服務(wù)的支出首次超過了非云IT系統(tǒng)的支出。隨著云計(jì)算服務(wù)支出比以往任何時(shí)候都要多,全球主要的公共云提供商之間爭(zhēng)奪市場(chǎng)份額的斗爭(zhēng)日益激烈。他們采用的提高云計(jì)算客戶忠誠(chéng)度的策略往往會(huì)加劇這些客戶面臨的云安全挑戰(zhàn)。
此外,許多客戶希望避免被某個(gè)云計(jì)算提供商鎖定。通過采用多云,可以更多地獲得將其業(yè)務(wù)遷移到云平臺(tái)的好處。如今,越來越少的客戶采用單個(gè)公共云提供商的云平臺(tái)。與其相反,93%的客戶采用多云,并且大多數(shù)采用公共云、私有云以及內(nèi)部部署設(shè)施的混合部署環(huán)境。
云安全的主要挑戰(zhàn)是什么?
組織在云安全方面面臨挑戰(zhàn),意味著其安全團(tuán)隊(duì)的任務(wù)需要為應(yīng)用混合云或多云采用新的策略和措施。
多云和混合云策略都可能為云安全帶來挑戰(zhàn)。云計(jì)算部署使IT運(yùn)營(yíng)變得更加復(fù)雜,即使減少了管理物理設(shè)施的需求。多云也為組織的安全團(tuán)隊(duì)帶來了負(fù)擔(dān),他們通常難以在多云環(huán)境中保持洞察力。組織避免云計(jì)算提供商鎖定的做法可能導(dǎo)致多個(gè)云計(jì)算提供商的平臺(tái)和軟件即服務(wù)(SaaS)應(yīng)用讀取大量信息。它們可以存儲(chǔ)在集成度較差的不同的數(shù)據(jù)孤島中,這使得創(chuàng)建高效的監(jiān)視和事件響應(yīng)工作流變得非常困難。
其他云安全挑戰(zhàn)來自更復(fù)雜的數(shù)據(jù)導(dǎo)致缺乏控制的方式。當(dāng)組織使用來自多個(gè)云計(jì)算提供商的架構(gòu)和服務(wù)交付模型時(shí),要確保全面滿足數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)所需的精細(xì)控制就變得更加困難。
在公共云的應(yīng)用中,快速的變化已經(jīng)成為了一種常態(tài),這只會(huì)增加問題的嚴(yán)重性。公共云提供商不斷地改變他們的產(chǎn)品,通常是為了讓客戶更難將工作負(fù)載轉(zhuǎn)移到競(jìng)爭(zhēng)對(duì)手的云平臺(tái)上。因此,及時(shí)了解潛在問題變得越來越困難。
如果負(fù)責(zé)監(jiān)視威脅、檢測(cè)安全事件和風(fēng)險(xiǎn)以及協(xié)調(diào)工作流的組織團(tuán)隊(duì)無法滿足安全需求,那么在任何云計(jì)算環(huán)境中都無法真正確保安全。如果這些措施使組織的工作變得十分混亂,以至于導(dǎo)致錯(cuò)誤或泄露云計(jì)算資源的數(shù)據(jù),那么就不是有效節(jié)省成本的措施。
確保云環(huán)境安全的最佳安全實(shí)踐
(1)注意配置錯(cuò)誤
防止配置錯(cuò)誤,這是大多數(shù)云計(jì)算數(shù)據(jù)泄露中仍然存在的問題。
在2019年報(bào)告的數(shù)據(jù)泄露事件中,五分之一以上的事件是由于配置錯(cuò)誤造成的,并且在所有情況下,都是由于人為錯(cuò)誤造成的。
但是,“不要犯錯(cuò)誤”說起來容易做起來難。涉及的大多數(shù)團(tuán)隊(duì)并沒有意識(shí)到他們有責(zé)任解決應(yīng)該歸咎的具體問題。在其他情況下,他們?nèi)狈徍伺渲玫墓ぞ摺?/p>
組織必須為IT運(yùn)營(yíng)人員提供支持和培訓(xùn),并確保安全團(tuán)隊(duì)對(duì)云計(jì)算平臺(tái)有足夠的了解。使用云原生工具來監(jiān)視常見的錯(cuò)誤配置(包括存儲(chǔ)桶風(fēng)險(xiǎn))也可能會(huì)有所幫助。
(2)默認(rèn)加密
在默認(rèn)情況下,對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密。
盡管加密本身并不能防止數(shù)據(jù)泄露,但它確實(shí)提供了另一層保證,即在發(fā)生漏洞時(shí),數(shù)據(jù)不會(huì)被泄露。這只是一個(gè)額外的保護(hù)措施,但它在多云供應(yīng)商的安全防護(hù)中起著關(guān)鍵作用。自動(dòng)化工具有助于深入了解每個(gè)云存儲(chǔ)桶是否啟用了加密措施。
(3)維護(hù)身份和訪問管理控制
組織仔細(xì)維護(hù)身份和訪問管理(IAM)解決方案,以解決一些最常見的云安全問題。
在基于云計(jì)算的混合環(huán)境中,憑據(jù)泄露是一個(gè)重大威脅。眾所周知,這類攻擊難以快速檢測(cè)。在內(nèi)部部署設(shè)施托管的身份和訪問管理(IAM)解決方案在混合云和多云環(huán)境中往往無法很好地工作。針對(duì)混合云環(huán)境(例如使用輕量級(jí)目錄訪問協(xié)議(LDAP)的混合環(huán)境)專用的身份和訪問管理(IAM)解決方案有著良好的發(fā)展前景。基于硬件令牌的服務(wù)也是如此,例如谷歌公司的Titan安全密鑰或YubiKey。
(4)監(jiān)控環(huán)境
有效的監(jiān)控對(duì)于面對(duì)混合部署和云安全挑戰(zhàn)至關(guān)重要。
組織的安全運(yùn)營(yíng)流程和工作流程需要與云計(jì)算技術(shù)的發(fā)展保持同步。在解決云安全問題時(shí)為員工提供支持并幫助他們提高技能至關(guān)重要。
組織采用自動(dòng)化解決方案來幫助分析師收集和監(jiān)視由云平臺(tái)創(chuàng)建的不斷增長(zhǎng)的日志數(shù)據(jù),而不會(huì)因誤報(bào)而陷于困境,這是關(guān)鍵。SOAR平臺(tái)(基于開源技術(shù)和標(biāo)準(zhǔn)的平臺(tái))可以跨多個(gè)云計(jì)算提供商的工具和云計(jì)算提供商的平臺(tái)使用。它們簡(jiǎn)化了事件分類和響應(yīng)。人工智能和機(jī)器學(xué)習(xí)輔助工具還可以幫助過濾數(shù)據(jù)以減少警報(bào)。
(5)權(quán)衡成本和收益
在設(shè)計(jì)多云提供商的計(jì)劃時(shí),需要仔細(xì)權(quán)衡。
每件事都有利弊,多云也是如此。從一系列公共云提供商中選擇云計(jì)算服務(wù)和云平臺(tái)的主要好處包括潛在的成本節(jié)省,以及開發(fā)團(tuán)隊(duì)有機(jī)會(huì)選擇更適合優(yōu)化應(yīng)用程序性能的平臺(tái)。
另一方面,這意味著組織可以創(chuàng)建一個(gè)技能差距很大的工作流程。當(dāng)需要在平臺(tái)之間移動(dòng)數(shù)據(jù)或管理整個(gè)生態(tài)系統(tǒng)的安全性時(shí),最有可能出現(xiàn)這種情況。
選擇適合云安全戰(zhàn)略的路線圖
那么,組織如何選擇更適合應(yīng)對(duì)云安全挑戰(zhàn)的方法?考慮采用一種強(qiáng)調(diào)框架和標(biāo)準(zhǔn)的方法。然后根據(jù)服務(wù)是否適合這個(gè)生態(tài)系統(tǒng)來選擇服務(wù)。這可能會(huì)增加服務(wù)的前期成本,但可能會(huì)在以后減少管理成本。
采用既廣泛又統(tǒng)一的混合云和多云提供商的云安全策略,組織可以構(gòu)建一種安全的、易于構(gòu)建、管理和維護(hù)的云計(jì)算環(huán)境。