在過去的十年,云計算代表了企業IT中最具顛覆性的一種趨勢,安全團隊在轉型過程中并沒有擺脫“混亂”。對于安全專業的人員而言,他們感覺自己已經失去了對云計算的控制權,并且在試圖處理云計算“混亂”以確保其免受威脅時而感到沮喪,這是可以理解的。
以下將了解云計算破壞安全性的方式,深入了解安全團隊如何利用這些變化,并成功完成保證數據安全的關鍵任務。
1.云計算減輕了一些重大責任
企業在采用云計算技術時,可以擺脫獲取和維護物理IT基礎設施的負擔,這意味著企業的安全部門不再對物理基礎設施的安全負責。云計算的共享安全模型規定,例如AWS和Azure等云計算服務提供商(CSP)需要負責物理基礎設施的安全性。用戶自己負責安全使用云計算資源。然而,關于共享責任模型存在很多誤解,這帶來了風險。
2.在云中,開發人員自己做出基礎設施決策
云計算資源可通過應用程序編程接口(API)按需提供。由于云計算是一種自助服務,開發人員可以快速采取行動,避開了傳統的安全網關。當開發人員為其應用程序啟動云計算環境時,他們正在配置其基礎設施的安全性。但開發人員可能會犯一些錯誤,其中包括嚴重的云計算資源配置錯誤和違反法規遵從性策略。
3.開發人員不斷改變基礎設施配置
企業可以在云中比在數據中心更快地進行創新。持續集成和持續部署(CI/CD)意味著對云計算環境的持續更改。開發人員很容易更改基礎設施配置,以執行諸如從實例獲取日志或解決問題等任務。因此,即使他們在第一天的云計算基礎設施的安全性是正確的,也許第二天可能會引入錯誤配置漏洞。
4.云計算是可編程的,可以實現自動化
由于可以通過API創建、修改和銷毀云計算資源,開發人員已經放棄了基于Web的云計算“控制臺”,并使用AWS CloudFormation和Hashicorp Terraform等基礎設施代碼工具對其云計算資源進行編程。可以預定義,按需部署大規模云平臺環境,并以編程方式和自動化方式進行更新。這些基礎設施配置文件包括關鍵資源的安全相關配置。
5.云中還有更多的基礎設施需要保護
在某些方面,數據中心的安全性更容易管理。企業的網絡、防火墻和服務器都在機架上運行,而云計算也以虛擬化形式存在。但云計算也提供了一系列新的基礎設施資源,如無服務器和容器。在過去的幾年中,僅AWS公司就推出了數百種新的服務。即使是熟悉的東西,如網絡和防火墻,在云中也以不熟悉的方式運行。所有這些都需要新的和不同的安全姿勢。
6.云中還有更多基礎設施可以保護
組織需要更多的云計算基礎設施資源來跟蹤和保護,并且由于云計算的彈性,更多會隨著時間而變化。在云中大規模運營的團隊可能正在管理跨多個區域和帳戶的數十個云平臺環境,每個團隊可能涉及數萬個單獨配置并可通過API訪問的資源。這些資源相互作用,需要自己的身份和訪問控制(IAM)權限。微服務架構使這個問題復雜化。
7.云計算安全性與配置錯誤有關
云計算運營完全與云計算資源配置有關,其中包括網絡、安全組等安全敏感資源,以及數據庫和對象存儲的訪問策略。如果企業不必運營和維護物理基礎設施,安全重點將轉移到云計算資源的配置上,以確保它們在第一天是正確的,并且它們在第二天及以后保持這種狀態。
8. 云安全也與身份管理有關
在云中,許多服務通過API調用相互連接,要求對安全性進行身份管理,而不是基于IP的網絡規則、防火墻等。例如,使用附加到lambda接受其服務標識的角色的策略來完成從lambda到S3存儲桶的連接。身份和訪問管理(IAM)以及類似的服務都是復雜的,其功能豐富。
9.對云計算的威脅的性質是不同的
糟糕的參與者使用代碼和自動化來查找云計算環境中的漏洞并加以利用,自動化威脅將始終超過人工或半人工的安全防御。企業的云安全必須能夠抵御當今的威脅,這意味著它們必須涵蓋所有關鍵資源和策略,并在沒有人工參與的情況下自動從這些資源的任何錯誤配置中恢復。這里的關鍵指標是關鍵云計算配置錯誤的平均修復時間(MTTR)。如果以小時、天、周來衡量,那么還有工作需要做。
10.數據中心安全性在云中不起作用
到目前為止,人們可能已經得出結論,在數據中心中工作的許多安全工具在云中沒有多大用處。這并不意味著企業需要拋棄一直在使用的所有東西,但要知道哪些仍然適用,哪些已經過時。例如,應用程序安全性仍然很重要,但依靠跨度或點擊來檢查流量的網絡監視工具不會因為云計算服務供應商不提供直接網絡訪問。企業需要填補的主要安全漏洞與云計算資源配置有關。
11.云中的安全性可以更容易、更有效
由于云計算是可編程的并且可以實現自動化,這意味著云中安全性可以比數據中心更容易、更有效。
監控配置錯誤和偏差的情況可以完全實現自動化,企業可以為關鍵資源使用自我修復基礎設施來保護敏感數據。在配置或更新基礎設施之前,企業可以運行自動化測試來驗證作為代碼的基礎設施是否符合其企業安全策略,就像企業保護應用程序代碼一樣。這讓開發人員可以更早地了解是否存在需要修復的問題,并最終幫助他們更快地行動,并不斷創新。
12.在云中,合規性也可以更容易、更有效
這對合規性分析師也是好消息。傳統的云計算環境人工審計的成本可能非常高昂,容易出錯且耗時,而且在完成之前它們通常已經過時。由于云計算是可編程的,并且可以實現自動化,因此也可以進行合規性掃描和調查報告。現在可以在不投入大量時間和資源的情況下,自動執行合規性審計并定期生成報告。由于云計算環境變化如此頻繁,超過一天的審計間隔可能太長。
從哪里開始使用云安全性
(1)了解開發人員正在做什么
他們使用的是什么云計算環境,他們如何通過帳戶(即開發、測試、產品)分離問題?他們使用什么配置和持續集成和持續部署(CI/CD)工具?他們目前正在使用任何安全工具嗎?這些問題的答案將幫助企業制定云計算安全路線圖,并確定需要關注的理想領域。
(2)將合規性框架應用于現有環境
識別違規行為,然后與企業的開發人員合作以使其符合規定。如果企業不遵守HIPAA、GDPR、NIST 800-53或PCI等合規制度,則采用互聯網安全中心(CIS)基準。像AWS和Azure這樣的云計算提供商已經將其應用到他們的云平臺,以幫助消除他們如何應用于企業正在做什么的猜測。
(3)確定關鍵資源并建立良好的配置基線
不要忽視關鍵細節。企業與開發人員合作,確定包含關鍵數據的云計算資源,并為他們建立安全的配置基線(以及網絡和安全組等相關資源)。開始檢測這些配置偏差,并考慮自動修復解決方案,以防止錯誤配置導致事故。
(4)幫助開發人員更安全地開展工作
通過與開發人員合作,在軟件開發生命周期早期(SLDC)中加入安全性,實現“左移”。DevSecOps方法(例如開發期間的自動策略檢查)通過消除緩慢的人工安全性和合規性流程來幫助保持創新的快速發展。
有效且具有彈性的云安全態勢的關鍵是與企業的開發和運營團隊密切合作,以使每個成員都在同一頁面上并使用相同的語言溝通。而在云中,安全性不能作為獨立功能運行。