從安全的角度來看,這種云計算的所有權劃分可能會在端到端可視性、控制和遵從性方面帶來嚴峻的挑戰。當然,云計算是一個共享的基礎設施,當涉及到安全事件時,組織可能總會有一些共同的責任。但缺乏集中的安全戰略和不一致的安全政策和標準,將導致潛在的灰色責任區域,可能造成嚴重的安全差距,并使關鍵數據和其他數字資源面臨風險。
云計算提供商與客戶責任
在調查機構IHS Markit公司最近的一項調查中,當受訪者被問及“組織云部署中存在漏洞或安全事件時誰需要真正負責?”問題是,他們給出的答案反映出對基本責任分工缺乏了解。即使在最佳情況下,也應該清楚誰負責安全事件(例如云平臺中的漏洞),只有大約一半的受訪者能夠確定根本原因和責任。
更為復雜的是,還有另一套工具可以明確責任。通過云計算提供商的市場作為附加組件提供的安全供應商列表很詳盡。云計算提供商本身也提供一系列安全解決方案(作為服務嵌入到他們的平臺中)。而且許多云計算管理平臺、虛擬機管理程序、編排工具和其他云計算基礎設施都具有不同級別的安全性。
然而,組織需要堅持共同責任模式,每當客戶對這些工具應用任何配置時,就成了他們的責任。盡管如此,對于不同的事件,責任分工并不總是很明確。
最佳的行動方案是確定并應用云中消耗的資源和服務的最佳實踐。根本原因分析(RCA)手冊應盡可能識別可能的威脅,并策劃確定事件根本原因的策略。這包括識別所有關鍵利益相關者,確定哪些調查工具可用于威脅分析,建立在各方之間編排響應和資源的流程,并將這些細節實現數字化,并將其映射到實際的云計算技術。此外,任何響應都應盡可能實現自動化。
客戶域內的安全責任
一旦在提供商、供應商和客戶之間確定了處理安全事件的主要職責分工(例如確定安全漏洞是由損壞的服務還是配置錯誤的系統造成的),大多數云計算客戶仍然必須解決他們自己負責的問題。
但面臨的挑戰是,當涉及到云安全時,很多組織無法很好地處理誰負責什么。部分挑戰是許多組織采取了臨時的云開發方法。因此,如今的組織平均有五個不同的云環境和兩個或更多的開發環境,每個云實例可能受到不同業務所擁有的挑戰的困擾。
由于許多原因,這些組織可能不愿意將其單個云環境的安全性轉交給中央安全團隊。例如,速度是DevOps工作的關鍵組成部分,因此任何干擾其交付應用程序主要目標的安全實施都將成為一個問題。
部分原因是傳統的IT安全團隊很少了解云計算環境,他們采用安全工具通常會阻礙開發。但是,移交給構建云應用程序和環境的DevOps團隊是有問題的,因為他們在安全方面幾乎沒有專業知識。
例如,許多基于云計算的安全工具面臨的最大挑戰之一是正確配置和管理它們所需的時間和技能,更不用說調整這些配置以消除誤報,或確保它們不會錯過關鍵事件或丟棄合法流量。所有這些都需要大多數DevOps團隊所不具備的專業知識。
從DevOps轉移到DevSecOps
解決這一挑戰可以像為各個DevOps團隊中的每個團隊增加網絡安全專家一樣簡單。一旦集成,DevSecOps可以幫助導航共享責任模型,以確保滿足開發和安全要求。他們可以在客戶/供應商/提供商責任模型之間進行協商,提供確保跨云實例和跨云實例的一致安全性策略,并平衡保護與性能。
其中一部分是通過選擇、部署和管理旨在應對速度和安全性雙重挑戰的工具來實現的。例如,許多基于SaaS的安全解決方案(例如Web應用程序防火墻)都是可自我擴展的,允許Web應用程序根據需要增長,而不會影響安全保護。選擇正確的工具還可以確保可以輕松地將其拼接到應用程序事務中。其中一些甚至具有已經包括部署、維護、擴展、微調功能的優勢。
自動化的正確應用在這一過程中起著同樣重要的作用。檢查配置和掃描惡意軟件對象是非常耗時的活動,當出現其他問題時,這些活動可能會被擱置。由DevSecOps團隊選擇和設計的自動化云安全解決方案可以提供全面的配置評估,動態保護存儲的數據,自動掃描公共云漏洞,識別使數據面臨風險的錯誤配置,掃描存儲在云中的文件以及防止未經授權下載敏感信息。
構建DevSecOps團隊需要執行支持
DevOps已成為高層管??理人員和董事會級別討論的主題,證明了Web應用程序和數字化轉型的不斷增長的關鍵價值,這是更廣泛的業務戰略的一部分。但是,如果遭遇網絡攻擊的頻率增長和首席信息安全官的擔憂日益增長,那么積極推動云計算解決方案的高管往往會錯誤地理解云采用和粗心采用DevOps程序可能給其組織帶來安全風險的性質。
因此,至關重要的是組織領導層應對與擴大組織數字足跡相關的風險進行培訓,從而對其新的潛在攻擊面進行教育。將DevOps擴展到DevSecOps可以在第一天將安全性集成到新的云計算環境中。它還可以確保開發和遵循根本原因分析(RCA)云安全手冊,并幫助引入和管理旨在保護關鍵數字資源而不會帶來不合理風險的安全解決方案。最后,如果云計算部署成為嚴重系統漏洞的渠道,它可以提供急需的緩沖區,以防止違反監管要求的處罰。
京公網安備 11010502049343號