云計(jì)算技術(shù)改變了企業(yè)的運(yùn)營(yíng)方式，提供按需訪問(wèn)、巨大的可擴(kuò)展性、更好的業(yè)務(wù)連續(xù)性以及許多其他好處，還包括企業(yè)不再依賴(lài)擁有和運(yùn)營(yíng)成本昂貴的數(shù)據(jù)中心。

 

盡管越來(lái)越多的企業(yè)正在將業(yè)務(wù)遷移到云平臺(tái)，但他們?nèi)栽诳紤]傳統(tǒng)數(shù)據(jù)中心的安全性。但他們還沒(méi)有接受這樣一個(gè)事實(shí)：需要采用截然不同的方法以截然不同的方式處理云安全。隨著云計(jì)算變得對(duì)業(yè)務(wù)變得更加關(guān)鍵，并且他們開(kāi)始考慮他們的云安全態(tài)勢(shì)管理(CSPM)，這對(duì)企業(yè)的IT團(tuán)隊(duì)來(lái)說(shuō)將是一個(gè)挑戰(zhàn)。

 

對(duì)于內(nèi)部部署的數(shù)據(jù)中心，將日志添加到像傳統(tǒng)日志管理和事件關(guān)聯(lián)(SEIM)這樣的單一管理工具，并保護(hù)網(wǎng)絡(luò)邊界將是一種標(biāo)準(zhǔn)方法。對(duì)于許多早期采用云計(jì)算服務(wù)的企業(yè)來(lái)說(shuō)，這是他們?cè)谛颅h(huán)境中采用的方法：在云平臺(tái)中建立一個(gè)“由IT控制”的網(wǎng)絡(luò)，并開(kāi)始將云日志轉(zhuǎn)儲(chǔ)到傳統(tǒng)日志管理和事件關(guān)聯(lián)(SEIM)中。

 

但是有太多的活動(dòng)和云計(jì)算訪問(wèn)點(diǎn)，因此它無(wú)法成為一個(gè)可用的解決方案。日志是時(shí)間點(diǎn)記錄，而不是云計(jì)算所需的持續(xù)監(jiān)控。因此，雖然日志是必要的，但它們并不能提供完整的畫(huà)面，并且可能并不總是有用。安全邊界也隨著云計(jì)算從企業(yè)網(wǎng)絡(luò)到身份和訪問(wèn)(IAM)的變化而變化，這需要采用一種完全不同的方法。僅僅依靠日志也不夠全面或敏捷，無(wú)法滿(mǎn)足各種服務(wù)、部署頻率以及用戶(hù)都接觸到多云環(huán)境的需求。

 

換句話說(shuō)，模型變了，所以方法也必須改變。保護(hù)云平臺(tái)的工作負(fù)載意味著深入了解每個(gè)配置、每個(gè)資產(chǎn)和每個(gè)更改，以及持續(xù)識(shí)別風(fēng)險(xiǎn)的能力。但企業(yè)的IT團(tuán)隊(duì)往往難以做出轉(zhuǎn)變。以下是一些不熟悉云安全態(tài)勢(shì)管理(CSPM)的團(tuán)隊(duì)所遇到的常見(jiàn)挑戰(zhàn)，以及將這些挑戰(zhàn)轉(zhuǎn)化為機(jī)遇的方法。

 

 

企業(yè)IT團(tuán)隊(duì)在云安全方面面臨的最大挑戰(zhàn)將是停止像過(guò)去處理數(shù)據(jù)中心安全那樣處理它。這些思維方式的轉(zhuǎn)變之一是理解安全不再僅僅由孤島中的安全團(tuán)隊(duì)決定。在云中，基礎(chǔ)設(shè)施是以代碼和自動(dòng)化為中心部署的，這意味著安全必須融入到整個(gè)開(kāi)發(fā)生命周期中。其挑戰(zhàn)在于讓每個(gè)人了解他們?cè)谡麄€(gè)產(chǎn)品生命周期中的角色和職責(zé)。

 

企業(yè)領(lǐng)導(dǎo)層需要制定一項(xiàng)計(jì)劃，將組織從以自上而下的控制和嚴(yán)格的政策為特征的內(nèi)部部署思維方式轉(zhuǎn)變?yōu)橐杂脩?hù)授權(quán)為導(dǎo)向，并通過(guò)平衡敏捷性和控制權(quán)的智能政策護(hù)欄。這可以通過(guò)戰(zhàn)略規(guī)劃、頭腦風(fēng)暴、協(xié)作和支持來(lái)實(shí)現(xiàn)，不僅可以跨團(tuán)隊(duì)，還可以通過(guò)企業(yè)高層來(lái)實(shí)現(xiàn)。這種思維方式的轉(zhuǎn)變還要求團(tuán)隊(duì)成員更全面地了解安全性需要如何融入整個(gè)部署過(guò)程。

 

 

不幸的是，許多企業(yè)的IT團(tuán)隊(duì)沒(méi)有考慮安全性，有時(shí)甚至沒(méi)有考慮整體治理，直到為時(shí)已晚。無(wú)論他們有沒(méi)有預(yù)算，或者沒(méi)有擴(kuò)大規(guī)模，或者只是不是最重要的事項(xiàng)，在云安全方面拖延可能會(huì)使企業(yè)面臨違規(guī)、不合規(guī)和其他高風(fēng)險(xiǎn)問(wèn)題。另一方面，企業(yè)最初可能采取了過(guò)于嚴(yán)厲的方法，并實(shí)施了如此嚴(yán)格的控制，以致于他們無(wú)法在未來(lái)完全實(shí)現(xiàn)云計(jì)算和DevOps的承諾。

 

企業(yè)應(yīng)該盡早考慮云安全性，這不僅包括采用正確的工具，還包括正確的流程和人員。從開(kāi)始云遷移時(shí)就需要考慮安全性，因?yàn)榘踩枰獜囊婚_(kāi)始就融入其工作流程。企業(yè)的目標(biāo)不僅僅是建立一個(gè)流程，還要確保它足夠敏捷，能夠隨著不斷變化的云計(jì)算環(huán)境的需求而逐步擴(kuò)展。

 

 

企業(yè)啟動(dòng)真正的云安全態(tài)勢(shì)管理(CSPM)程序來(lái)監(jiān)控云計(jì)算環(huán)境是云安全的一種關(guān)鍵方法。但企業(yè)通常只依賴(lài)技術(shù)，認(rèn)為只擁有云安全態(tài)勢(shì)管理(CSPM)或依賴(lài)云計(jì)算供應(yīng)商的能力就足夠了——這讓企業(yè)的IT團(tuán)隊(duì)對(duì)他們需要發(fā)揮的積極作用知之甚少。希望保持云計(jì)算安全性的企業(yè)需要優(yōu)先考慮持續(xù)的教育和技能提升，不僅圍繞應(yīng)用于云計(jì)算的傳統(tǒng)安全，還圍繞行業(yè)最佳實(shí)踐和云計(jì)算基礎(chǔ)知識(shí)。確定愿意深入研究的團(tuán)隊(duì)成員，并將他們與企業(yè)的行業(yè)專(zhuān)家合作，或利用主要云計(jì)算提供商的免費(fèi)教育工具來(lái)保持團(tuán)隊(duì)的知識(shí)庫(kù)廣泛且不斷發(fā)展。

 

 

企業(yè)通常會(huì)相信他們的云安全性得到了保障，因?yàn)樗麄円呀?jīng)在持續(xù)集成(CI)/持續(xù)交付(CD)管道中構(gòu)建了控制，認(rèn)為如果他們能夠發(fā)現(xiàn)管道中的問(wèn)題，將能夠確保完美的部署。實(shí)際上，情況并非如此，因?yàn)楦慕?jīng)常發(fā)生在管道之外，云計(jì)算提供商進(jìn)行配置更新，無(wú)需通過(guò)正確的程序即可更新模板，或許多其他未記錄的更改，使其無(wú)法跟蹤所有內(nèi)容。

 

為了緩解這種情況，除了管道控制之外，還要制定一個(gè)持續(xù)監(jiān)控云計(jì)算的計(jì)劃，這樣企業(yè)不僅可以了解正在開(kāi)發(fā)和已部署的內(nèi)容，而且還可以看到管道外正在發(fā)生的變化，這樣企業(yè)也可以為這種遷移創(chuàng)建響應(yīng)計(jì)劃。

 

 

最后，許多企業(yè)并不知道他們?cè)谠破脚_(tái)中或跨多云環(huán)境中擁有哪些資產(chǎn)，如果這些資產(chǎn)配置正確、是否合規(guī)或是否受到保護(hù)。這意味著，如果企業(yè)無(wú)法了解云中的內(nèi)容及其隨時(shí)間的變化情況，就無(wú)法利用云計(jì)算帶來(lái)的眾多優(yōu)勢(shì)。

 

首先為企業(yè)定義一組關(guān)于云中的內(nèi)容的標(biāo)準(zhǔn)，美國(guó)互聯(lián)網(wǎng)安全中心(CIS)和國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì) (NIST)是可以指導(dǎo)企業(yè)的安全狀況的行業(yè)標(biāo)準(zhǔn)框架。然后，使用云安全態(tài)勢(shì)管理(CSPM)工具獲得對(duì)整個(gè)云計(jì)算環(huán)境的可見(jiàn)性，以此衡量企業(yè)的資產(chǎn)基線以確保捕捉當(dāng)前和未來(lái)的偏差，并可以快速修復(fù)任何問(wèn)題。

 

 

與啟動(dòng)任何新計(jì)劃或采用任何更改一樣，云安全將需要不同的思維方式、一些新技能以及對(duì)實(shí)施徹底有效的云安全態(tài)勢(shì)管理(CSPM)方法的承諾。這將是一個(gè)挑戰(zhàn)，但企業(yè)在云計(jì)算之旅早期采用云安全，不僅可以確保企業(yè)的業(yè)務(wù)安全，還將提供更多的洞察力和好處。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。