根據云計算安全聯盟最近對200名IT和安全專業人員進行的調查,三分之二的人對云計算可見性缺乏信心。云計算安全聯盟在其“云計算的主要威脅”中列出了云計算使用可見性。此外,與可見性相關的風險導致缺乏治理、意識和安全性,從而導致云中的數據泄露。
云計算可見性的挑戰
企業目前是否希望了解哪些人員可以訪問其云平臺中的數據?而這并不是孤例。很多企業在云平臺的數據都缺乏可見性,從而導致更多的風險。以下是企業面臨的一些主要挑戰:
(1)挑戰1:確保人類與非人類身份的安全
云安全團隊在身份驗證(例如訪問者的身份和位置、是人類還是非人類等考慮因素)及其有效權限方面面臨可見性挑戰。例如,云計算架構在任何時候都有數百個資源在運行,而大量的人類或非人類的身份都可以訪問。如何確保所有這些身份的安全訪問,對于云安全團隊來說是一項獨特的挑戰。
身份可以承擔具有特定權限的角色。首先,很多人過度使用權限。其次,由于云計算的短暫性,其權限的濫用可以完全隱藏在具有間歇性的審計時間框架的監控服務中。最后,更復雜的是特權身份可以根據需要切換角色,產生未經檢查的升級特權的臨時權限鏈。
其解決方案是采用持續有效的權限監控。安全團隊依賴于以“一個用戶(人類),一個身份”的概念構建身份管理規則。這種類型的管理可以防止特定于云平臺的新型特權濫用。身份的潛在訪問路徑不是線性的,而是相互關聯的角色、特權升級能力、權限、信任關系和用戶組網絡的一部分。提供對每個身份的詳細可見性的圖形功能是確保最低權限執行的唯一方法。
(2)挑戰2:確保數據安全
企業的團隊必須跟蹤在多云環境中訪問的大量數據。因此,在任何給定時刻,每個身份都會訪問大量數據。所有這些沒有多云端到端可見性的數據訪問都會導致風險。
傳統的數據保護工具缺乏對數據的場景理解,例如敏感性或雙因素身份驗證。例如,企業可能會將敏感的數據保存在配置錯誤的AWS S3存儲桶中,而該存儲桶未標記。如果沒有對企業的數據的場景可見性,就不會知道是否受到保護。
即使知道敏感數據在哪里,云安全團隊也面臨著了解其去向的挑戰。因為數據可以在多云環境中駐留和移動。然而,云安全團隊會發現在沒有標準化的單一數據移動視圖的情況下持續監控數據具有挑戰性。
(3)挑戰3:克服復雜性
最重要的是,云計算在本質上是復雜的。而負載計算工作可能在幾分鐘甚至幾秒鐘內加速和減速。因此,云計算的短暫性使得以完全可見的方式持續監控資源變得更加困難。
也就是說,當開發人員在沒有預先考慮引入復雜性的情況下迅速加快生產進度時,云計算的復雜性就會增加。利益相關者通常希望加快開發速度,以添加具有無數端點的身份和資源。他們的理解是云計算提供了無限的可擴展性,但他們誤認為云計算是始終保持資產安全的最終解決方案,事實并非如此。
不幸的是,云計算的復雜性繼續增長。當身份是邊界時,安全團隊需要一種簡化的方式來查看身份如何訪問資源。
(4)挑戰4:各個云計算供應商的不同安全模型
每個云計算提供商的云安全模型處理方式不同,并沒有實現標準化。他們的云安全模型不涉及第三方數據存儲。云計算供應商通常需要使用低級工具,其中一個錯誤配置就會導致災難性的結果。云計算提供商安全工具一旦離開云平臺就不會跟蹤數據,從而導致可見性差距。
如何在多云中獲得可見性
企業在公有云中獲得可見性的能力取決于從云平臺中獲取所需數據的訪問權限。IT專業人員可以使用涵蓋云計算資源的云安全平臺解決方案來做到這一點。
(1)Sonrai安全可以提供幫助
Sonrai Dig可以提供跨多云的完整可見性,當企業處理成百上千個帳戶時,采用Sonrai Dig可以了解跨越多個云平臺的身份和數據,提供跨多云的規范化視圖以及對云計算身份和數據訪問的控制。
(2)身份安全
Sonrai Dig發現、規范化并在圖表上顯示AWS賬戶、Azure訂閱和GCP項目的所有結果。其圖表公開了所有身份,并提供了對每個角色、特權、權限、信任關系和組的詳細可見性。這讓團隊了解他們的有效權限。Sonrai提供對身份鏈的可見性。人們可以看到身份、他們所屬的組、策略和信任關系,可以了解他們的權限如何增加訪問權限。有了這種理解,團隊就有了一個可行的路線圖來實現最小特權。
(3)數據安全
借助Sonrai Dig,企業的團隊可以發現并持續監控數據存儲,以圖形方式映射哪些數據存在、存在于何處(包括敏感的數據)、可以訪問它的內容、發生了什么以及它去了哪里。團隊可以鎖定結構化數據和非結構化數據,并通過跨多云的深入分析功能對其進行持續監控。
企業的團隊可以識別敏感數據,并將其分類。通過對數據進行分類,他們可以確定哪些數據已經鎖定,哪些數據需要鎖定,并采取措施降低風險。
(4)智能云安全態勢管理(CSPM)
Sonrai Dig的智能云安全態勢管理(CSPM) 可以為企業提供完整的可見性,其中包括其環境的場景知識。將會發現所有資源并確保企業安全地配置他們采用的多云。因此,該平臺提供何時發生漂移的檢測,如果與既定的安全基線有偏差,Sonrai Dig會提醒企業立即進行審查和修復。
智能云安全態勢管理(CSPM) 平臺擁有開箱即用的框架。而內部治理控制(NISTCSF、ISO27001)、既定的監管框架(HIPAA、PCI-DSS、SOC2)和法律(歐盟GDPR)可以顯著地減少實施這些框架所需的繁重工作。
(5)治理自動化
Sonrai Dig提供智能工作流程和自動修復功能,與左移安全方法保持一致。企業能夠以多云的速度和復雜性解決風險,在問題變得更加嚴重之前發現并解決。
企業通過治理自動化可以在正確的時間將正確的問題發送給負責的團隊,這樣可以減少警報疲勞。在原有的方法中,企業團隊需要對持續積壓的問題進行分類和修復。
Sonrai還集成了企業的持續集成(CI)/持續交付(CD)管道,以真正了解多云中的風險。當然,如果存在無法看到的風險,Sonrai Dig就會發現。Sonrai可以通過提醒負責的團隊或自動修復來解決問題。此外,企業還可以利用Sonrai的內置預防機器人進行管理。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號