云安全建設(shè)的六個(gè)建議

發(fā)布時(shí)間 2022-04-08

image-37.png

云計(jì)算的應(yīng)用和發(fā)展改變了企業(yè)的業(yè)務(wù)模式和數(shù)據(jù)原有的流通模式,切合了當(dāng)前環(huán)境下數(shù)據(jù)化轉(zhuǎn)型的需求。相對(duì)傳統(tǒng)數(shù)據(jù)中心,云計(jì)算從硬件資源池到服務(wù)網(wǎng)格都開放了相應(yīng)的云服務(wù),南北向訪問的用戶和設(shè)備數(shù)量呈現(xiàn)指數(shù)增長,東西向接口上不同級(jí)別的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)不停交互,用戶應(yīng)用在持續(xù)快速更迭,系統(tǒng)組件頻繁暴露出各類安全漏洞,加之外部攻擊和威脅也在不斷變化,這些都給云計(jì)算安全帶來了巨大的挑戰(zhàn)。那么實(shí)現(xiàn)云安全的秘訣是什么?安全牛收集整理了有關(guān)安全專業(yè)人士給出的6條建議。

一、積極擁抱變化

安全團(tuán)隊(duì)一直在滅火,尤其是在當(dāng)下,面對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)態(tài)勢(shì),安全團(tuán)隊(duì)可謂身心俱疲,分身乏術(shù),因此他們不愿意以業(yè)務(wù)所需的速度采用和適應(yīng)新技術(shù);同時(shí),安全團(tuán)隊(duì)迫切需要減少工作量,重復(fù)使用相同的方法對(duì)他們來說更得心應(yīng)手。然而,這種‘拒絕變化/突破’的態(tài)度勢(shì)必會(huì)阻礙企業(yè)利用云來發(fā)揮其真正潛力,甚至還會(huì)導(dǎo)致更糟糕的結(jié)果,因?yàn)閭鹘y(tǒng)的安全技術(shù)和新技術(shù)與云環(huán)境的動(dòng)態(tài)需求不同步。

二、與新技術(shù)同步

我們?cè)诩夹g(shù)方面面臨的最大挑戰(zhàn)之一,就是其快速的變革速度。雖然這推動(dòng)了業(yè)務(wù)創(chuàng)新并改善了我們的日常生活,但它也是有代價(jià)的——安全團(tuán)隊(duì)需要花費(fèi)更多的時(shí)間來了解這些不斷迭代的新技術(shù)及其使用方法。

如今,云技術(shù)也面臨同樣的情況——IT團(tuán)隊(duì)通常缺乏有關(guān)如何有效部署和保護(hù)云的培訓(xùn)和知識(shí)。為了改善這種情況,企業(yè)需要在部署任何新技術(shù)之前對(duì)員工進(jìn)行云知識(shí)培訓(xùn)。而且,隨著云技術(shù)的不斷發(fā)展,有必要確保這種培訓(xùn)的持續(xù)性,并定期更新培訓(xùn)內(nèi)容。

三、遵循安全設(shè)計(jì)原則

云環(huán)境應(yīng)遵循五個(gè)基本的信息安全設(shè)計(jì)要求:身份驗(yàn)證、授權(quán)、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和不可否認(rèn)性。任何工程學(xué)科中最困難的問題之一,就是在構(gòu)建產(chǎn)品之后再去添加核心功能。例如,在汽車制造中,原始設(shè)備制造商可以在售后階段系上安全帶,但是要添加安全氣囊或確保車輛前端提供“折疊區(qū)”就要困難得多。

在軟件領(lǐng)域也是如此,從一開始就增加安全性要比檢測(cè)出問題后被迫添加安全性更方便、更高效、更便宜。在高級(jí)設(shè)計(jì)階段修復(fù)一個(gè)缺陷大約需要花費(fèi)10美分,而一旦處于生產(chǎn)狀態(tài)的代碼報(bào)告了一個(gè)錯(cuò)誤,花費(fèi)則可能要超過100,000美元。確保將更少的錯(cuò)誤放入代碼中可以節(jié)省故障排除、返工和延遲造成的成本。

四、持續(xù)的、跨平臺(tái)的、云原生的能力

企業(yè)業(yè)務(wù)正在從“以數(shù)據(jù)中心為中心”的經(jīng)典模式轉(zhuǎn)變?yōu)椤耙栽茷橹行摹钡臄?shù)據(jù)使用模式。新冠肺炎疫情在全球的蔓延加速推動(dòng)了這一轉(zhuǎn)變,企業(yè)數(shù)字化和云遷移進(jìn)程,企業(yè)也越來越需要在生產(chǎn)環(huán)境中快速創(chuàng)新,以應(yīng)對(duì)技術(shù)和威脅不斷加快的發(fā)展速度。最好的安全性應(yīng)該是業(yè)務(wù)推動(dòng)者。只有當(dāng)安全性是連續(xù)的、跨平臺(tái)的和云原生的時(shí),我們才能做到這一點(diǎn)。

五、自動(dòng)化一切

我們生活在一個(gè)技能短缺和商業(yè)需求不斷碰撞的世界,這使企業(yè)面臨不斷升級(jí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。在云中,它會(huì)導(dǎo)致配置錯(cuò)誤和連鎖數(shù)據(jù)泄露,以及暴露重要資產(chǎn)的風(fēng)險(xiǎn)。更糟糕的是,網(wǎng)絡(luò)犯罪分子和國家行為體黑客正加大力度檢索和利用這些易受攻擊的系統(tǒng),并且已經(jīng)取得了不俗的“戰(zhàn)績”。

這就是自動(dòng)化技術(shù)發(fā)揮作用的地方。在云安全態(tài)勢(shì)管理(Cloud Security Posture Management ,簡稱“CSPM”)中,自動(dòng)化技術(shù)可以連續(xù)掃描數(shù)百個(gè)系統(tǒng)或程序,然后自動(dòng)修復(fù)任何錯(cuò)誤以降低合規(guī)風(fēng)險(xiǎn)。自動(dòng)化還可以簡化公有云、私有云和虛擬云環(huán)境的安全操作。它可以通過機(jī)器學(xué)習(xí)和虛擬補(bǔ)丁等技術(shù)幫助檢測(cè)和保護(hù)新的工作負(fù)載,且在不減慢DevOps性能的情況下,將安全性融入CI/CD管道。

六、安全責(zé)任分擔(dān)

誰都不能說云不安全,因?yàn)樵频陌踩匀Q于使用方式。別問“AWS、Azure、谷歌云,誰更安全?”而要問“做些什么才能使所有云都像我需要的那樣安全?”答案是,這完全取決于具體環(huán)境/背景,不同的環(huán)境需要使用不同的安全策略,各組成部分共同承擔(dān)安全責(zé)任。如何使用容器將是容器安全策略中的一個(gè)決策點(diǎn);軟件即服務(wù)(Software as a Service,SaaS)更關(guān)注于企業(yè)希望通過API實(shí)現(xiàn)哪些安全功能。

云安全自助服務(wù)以各種形式充分發(fā)揮作用。目前,云安全態(tài)勢(shì)管理(CSPM)市場(chǎng)已初具規(guī)模,以響應(yīng)自助服務(wù)的需求,使企業(yè)能夠跨越多個(gè)云產(chǎn)品實(shí)施安全策略。除此之外,安全訪問服務(wù)邊緣(Secure Access Service Edge,SASE)工具也正在以新的方式,將遠(yuǎn)程辦公人員和支持SD-WAN的分支機(jī)構(gòu)安全地連接到SaaS和云。