云安全建設(shè)的6個建議
云計(jì)算的應(yīng)用和發(fā)展改變了企業(yè)的業(yè)務(wù)模式和數(shù)據(jù)原有的流通模式,,切合了當(dāng)前環(huán)境下數(shù)據(jù)化轉(zhuǎn)型的需求,。相對傳統(tǒng)數(shù)據(jù)中心,云計(jì)算從硬件資源池到服務(wù)網(wǎng)格都開放了相應(yīng)的云服務(wù),,南北向訪問的用戶和設(shè)備數(shù)量呈現(xiàn)指數(shù)增長,,東西向接口上不同級別的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)不停交互,用戶應(yīng)用在持續(xù)快速更迭,,系統(tǒng)組件頻繁暴露出各類安全漏洞,,加之外部攻擊和威脅也在不斷變化,這些都給云計(jì)算安全帶來了巨大的挑戰(zhàn),。那么實(shí)現(xiàn)云安全的秘訣是什么?安全牛收集整理了有關(guān)安全專業(yè)人士給出的6條建議,。
一、積極擁抱變化
安全團(tuán)隊(duì)一直在滅火,,尤其是在當(dāng)下,,面對日趨嚴(yán)峻的網(wǎng)絡(luò)態(tài)勢,安全團(tuán)隊(duì)可謂身心俱疲,,分身乏術(shù),,因此他們不愿意以業(yè)務(wù)所需的速度采用和適應(yīng)新技術(shù);同時,安全團(tuán)隊(duì)迫切需要減少工作量,,重復(fù)使用相同的方法對他們來說更得心應(yīng)手,。然而,這種‘拒絕變化/突破’的態(tài)度勢必會阻礙企業(yè)利用云來發(fā)揮其真正潛力,,甚至還會導(dǎo)致更糟糕的結(jié)果,,因?yàn)閭鹘y(tǒng)的安全技術(shù)和新技術(shù)與云環(huán)境的動態(tài)需求不同步。
二,、與新技術(shù)同步
我們在技術(shù)方面面臨的最大挑戰(zhàn)之一,,就是其快速的變革速度。雖然這推動了業(yè)務(wù)創(chuàng)新并改善了我們的日常生活,,但它也是有代價的——安全團(tuán)隊(duì)需要花費(fèi)更多的時間來了解這些不斷迭代的新技術(shù)及其使用方法,。
如今,云技術(shù)也面臨同樣的情況——IT團(tuán)隊(duì)通常缺乏有關(guān)如何有效部署和保護(hù)云的培訓(xùn)和知識,。為了改善這種情況,,企業(yè)需要在部署任何新技術(shù)之前對員工進(jìn)行云知識培訓(xùn)。而且,,隨著云技術(shù)的不斷發(fā)展,,有必要確保這種培訓(xùn)的持續(xù)性,,并定期更新培訓(xùn)內(nèi)容。
三,、遵循安全設(shè)計(jì)原則
云環(huán)境應(yīng)遵循五個基本的信息安全設(shè)計(jì)要求:身份驗(yàn)證,、授權(quán)、數(shù)據(jù)完整性,、數(shù)據(jù)機(jī)密性和不可否認(rèn)性,。任何工程學(xué)科中最困難的問題之一,就是在構(gòu)建產(chǎn)品之后再去添加核心功能,。例如,,在汽車制造中,原始設(shè)備制造商可以在售后階段系上安全帶,,但是要添加安全氣囊或確保車輛前端提供“折疊區(qū)”就要困難得多,。
在軟件領(lǐng)域也是如此,從一開始就增加安全性要比檢測出問題后被迫添加安全性更方便,、更高效,、更便宜。在高級設(shè)計(jì)階段修復(fù)一個缺陷大約需要花費(fèi)10美分,,而一旦處于生產(chǎn)狀態(tài)的代碼報告了一個錯誤,,花費(fèi)則可能要超過100,000美元。確保將更少的錯誤放入代碼中可以節(jié)省故障排除,、返工和延遲造成的成本,。
四、持續(xù)的,、跨平臺的,、云原生的能力
企業(yè)業(yè)務(wù)正在從“以數(shù)據(jù)中心為中心”的經(jīng)典模式轉(zhuǎn)變?yōu)?ldquo;以云為中心”的數(shù)據(jù)使用模式。新冠肺炎疫情在全球的蔓延加速推動了這一轉(zhuǎn)變,,企業(yè)數(shù)字化和云遷移進(jìn)程,,企業(yè)也越來越需要在生產(chǎn)環(huán)境中快速創(chuàng)新,以應(yīng)對技術(shù)和威脅不斷加快的發(fā)展速度,。最好的安全性應(yīng)該是業(yè)務(wù)推動者,。只有當(dāng)安全性是連續(xù)的、跨平臺的和云原生的時,,我們才能做到這一點(diǎn)。
五,、自動化一切
我們生活在一個技能短缺和商業(yè)需求不斷碰撞的世界,,這使企業(yè)面臨不斷升級的網(wǎng)絡(luò)風(fēng)險。在云中,,它會導(dǎo)致配置錯誤和連鎖數(shù)據(jù)泄露,,以及暴露重要資產(chǎn)的風(fēng)險,。更糟糕的是,網(wǎng)絡(luò)犯罪分子和國家行為體黑客正加大力度檢索和利用這些易受攻擊的系統(tǒng),,并且已經(jīng)取得了不俗的“戰(zhàn)績”,。
這就是自動化技術(shù)發(fā)揮作用的地方。在云安全態(tài)勢管理(CloudSecurityPostureManagement,,簡稱“CSPM”)中,,自動化技術(shù)可以連續(xù)掃描數(shù)百個系統(tǒng)或程序,然后自動修復(fù)任何錯誤以降低合規(guī)風(fēng)險,。自動化還可以簡化公有云,、私有云和虛擬云環(huán)境的安全操作。它可以通過機(jī)器學(xué)習(xí)和虛擬補(bǔ)丁等技術(shù)幫助檢測和保護(hù)新的工作負(fù)載,,且在不減慢DevOps性能的情況下,,將安全性融入CI/CD管道。
六,、安全責(zé)任分擔(dān)
誰都不能說云不安全,,因?yàn)樵频陌踩匀Q于使用方式。別問“AWS,、Azure,、谷歌云,誰更安全?”而要問“做些什么才能使所有云都像我需要的那樣安全?”答案是,,這完全取決于具體環(huán)境/背景,,不同的環(huán)境需要使用不同的安全策略,各組成部分共同承擔(dān)安全責(zé)任,。如何使用容器將是容器安全策略中的一個決策點(diǎn);軟件即服務(wù)(SoftwareasaService,,SaaS)更關(guān)注于企業(yè)希望通過API實(shí)現(xiàn)哪些安全功能。
云安全自助服務(wù)以各種形式充分發(fā)揮作用,。目前,,云安全態(tài)勢管理(CSPM)市場已初具規(guī)模,以響應(yīng)自助服務(wù)的需求,,使企業(yè)能夠跨越多個云產(chǎn)品實(shí)施安全策略,。除此之外,安全訪問服務(wù)邊緣(SecureAccessServiceEdge,,SASE)工具也正在以新的方式,,將遠(yuǎn)程辦公人員和支持SD-WAN的分支機(jī)構(gòu)安全地連接到SaaS和云。
