CISO們所面臨的最大網絡安全挑戰之一是,當他們的組織將工作負載轉移到云上時,該如何維護數據保護和隱私。特別是,他們該如何在純云環境中管理安全控制?
由于新冠病毒疫情的大流行以及隨之而來的向在家辦公模式的轉變,在組織向云服務遷移的背景下,這一點將變得更加重要。正如研究公司IDC在2020年10月的一份報告中指出的那樣,這一流行病“已在很大程度上被證明了是云采用以及云擴展的加速器,并將繼續推動向以云為中心的IT的更快轉變。”
IDC預測,到2024年,全球在云服務、支撐云服務的硬件和軟件組件,以及圍繞云服務的專業和管理服務機會上的支出將超過1萬億美元,并保持16%的兩位數復合年增長率。
在可預見的未來,各種形式的云將在整個IT行業發揮越來越大的作用,甚至是占據主導地位,IDC全球研究部的集團副總裁Richard Villars表示。到2021年底,大多數企業都將建立一種機制,以加快向以云為中心的數字基礎設施和應用服務的轉變,他說。
鑒于云服務的重要性在與日俱增,企業需要弄清楚該如何在這種不斷變化的環境中有效地保持高水平的安全性。
移動營銷分析和歸因平臺提供商AppsFlyer提供了一個很好的例子來說明該如何做到這一點。
在大型多云環境中擴展安全性
該公司的IT環境是100%云原生的,沒有本地服務器。其平臺使用包括了AWS、Google Cloud、Microsoft Azure和阿里云在內的提供商的多種云服務。其云環境覆蓋了五個國家,擁有15000多臺服務器,每天需要處理超過80TB的數據。AppsFlyer是美國以外最大的AWS部署公司之一,擁有數以萬計的資源。
“由于AppsFlyer是一家基于云的公司,我們所面臨的最大威脅和擔憂就是如何擴展安全性,以管理和驗證我們環境中的所有不同組件,包括身份、基礎架構、網絡和周圍的一切,”Guy Flechter說,他在公司擔任CISO,直到最近才離開為一家初創公司工作。
“這一點很重要,因為我們需要能夠支持組織內的所有安全需求,包括工程團隊和DevOps團隊,等等,”Flechter說。“如果我們無法擴展我們的安全性,我們最終將被迫告訴我們組織內的一些團隊,我們無法支持某些計劃。”
身份治理和訪問權限是優先事項
AppsFlyer的安全團隊將身份治理和訪問權限管理作為了2020年的優先事項。對于開發人員、DevOps和數據科學家來說,目標是確保實施最小權限訪問,并且其策略能夠適合每個用戶的配置文件。
然而,在大型云環境中很難管理訪問權限的使用。此外,AppsFlyer還希望能夠審核授予基礎架構的所有訪問權限,以限制對重要資源的高風險訪問,強化環境,并刪除未使用的用戶、角色和權限。
最大的挑戰之一是提供可見性,因為云中有太多的移動部件,很容易就啟動更多的資源和基礎設施,Flechter說。“例如,開發人員可以添加新的實例和存儲桶,以及分配不同的訪問權限和權利,”他說。
為了應對各種挑戰,AppsFlyer部署了一個來自Ermetic的權限管理系統。“在我們選擇Ermetic之前,我們根據安全需求對云基礎架構授權管理產品進行非常全面的評估,”Flechter說。“該產品需要支持多個云提供商。我們希望該解決方案能夠支持運營,而不僅僅是提供可見性。它需要幫助我們彌補安全漏洞。最后,我們還希望能夠從工具內部修復問題,并與其他自動化工具進行集成。”
“我認為安全工具只有在能夠同時支持運營流程的情況下才是有效的,”Flechter說。“如果它只提供了良好的可視性,那么它就只是一個不錯的儀表板。還需要平臺提供所需的操作能力,以支持根據其提供的可見性來執行活動。”
AppsFlyer開始時是逐步將該平臺推廣到其不同的云環境中的,一次一個。連接到每個云平臺都很容易,因為它們都支持API集成來獲得讀取權限,Flechter說。每次連接只需要不到15分鐘。
“一旦我們開始從Ermetic中獲取了數據,我們馬上就發現了我們環境中的安全漏洞,并開始修復這些漏洞,”Flechter說。該平臺不需要任何微調就能開始發現風險,他說。
該系統可以根據資產的敏感性和風險,對需要首先解決的問題進行優先排序。一個例子是訪問一個對外界開放的AWS S3 bucket。bucket是AWS的Simple Storage Service產品中所提供的公共云存儲資源“它將被標記為更高優先級的過度許可,即使該許可本身不是特權或行政許可的,”Flechter說。
AppsFlyer安全團隊會使用該平臺審核所有第三方對其環境的訪問,并刪除所有不再使用的SaaS應用程序,包括一些安全和優化工具。該團隊還審查了有權訪問敏感數據的應用程序,并刪除了不必要的權限。
構建完整的云安全產品組合
授權管理系統只是AppsFlyer安全計劃的一個組成部分。該公司還在使用來自Broadcom的Symantec Secure Access Cloud來對AWS中的資源進行身份驗證和授權。“它使我們能夠保持安全和細粒度的訪問管理,使用軟件定義的邊界來執行零信任原則,”Flechter說。
AppsFlyer還使用了Rezilion提供的云工作負載保護工具,使公司能夠縮小攻擊面,防范惡意活動;而Salt Security API保護平臺則可以保護連接到AppsFlyer云資源的API,并阻止試圖操縱公司云服務API的攻擊;還有Amazon的威脅檢測工具GuardDuty。GuardDuty可以持續監視惡意活動和未經授權的行為,以保護AWS中所存儲的帳戶、工作負載和數據。
隨著安全技術組合的到位,AppsFlyer現在可以在不同的帳戶和不同的云提供商之間全面了解其云環境,這在以前是沒有的。“我們也有能力自動修復安全漏洞,并繼續擴展到其他領域,如事件響應,”Flechter說。
修復云安全的盲點
該公司也可以更經濟高效地識別和修復云安全盲點,Flechter說。“我們可以滿懷信心地知道,在每一個云環境中,我們的風險到底在哪里,需要解決哪些問題,而且我們已經擁有了哪些解決這些問題所需的自動化,”他說。“我們可以深入到一個特定的環境,但事實上,我們也可以在一個地方看到所有四個云環境的全局視圖,這對我們來說是非常寶貴的。”
最大的好處之一是AppsFlyer現在對身份和權限有了更深入的了解。“我們可以立即查明未使用的權限,并將其刪除,”Flechter說。“這使我們能夠以自動化的方式持續地實施零信任訪問。我們的安全態勢管理比以前好多了。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號