云安全建设的6个建议
云计算的应用和发展改变了企业的业务模式和数据原有的流通模式,切合了当前环境下数据化转型的需求。相对传统数据中心,云计算从硬件资源池到服务网格都开放了相应的云服务,南北向访问的用户和设备数量呈现指数增长,东西向接口上不同级别的系统数据和用户数据不停交互,用户应用在持续快速更迭,系统组件频繁暴露出各类安全漏洞,加之外部攻击和威胁也在不断变化,这些都给云计算安全带来了巨大的挑战。那么实现云安全的秘诀是什么?安全牛收集整理了有关安全专业人士给出的6条建议。
一、积极拥抱变化
安全团队一直在灭火,尤其是在当下,面对日趋严峻的网络态势,安全团队可谓身心俱疲,分身乏术,因此他们不愿意以业务所需的速度采用和适应新技术;同时,安全团队迫切需要减少工作量,重复使用相同的方法对他们来说更得心应手。然而,这种‘拒绝变化/突破’的态度势必会阻碍企业利用云来发挥其真正潜力,甚至还会导致更糟糕的结果,因为传统的安全技术和新技术与云环境的动态需求不同步。
二、与新技术同步
我们在技术方面面临的最大挑战之一,就是其快速的变革速度。虽然这推动了业务创新并改善了我们的日常生活,但它也是有代价的——安全团队需要花费更多的时间来了解这些不断迭代的新技术及其使用方法。
如今,云技术也面临同样的情况——IT团队通常缺乏有关如何有效部署和保护云的培训和知识。为了改善这种情况,企业需要在部署任何新技术之前对员工进行云知识培训。而且,随着云技术的不断发展,有必要确保这种培训的持续性,并定期更新培训内容。
三、遵循安全设计原则
云环境应遵循五个基本的信息安全设计要求:身份验证、授权、数据完整性、数据机密性和不可否认性。任何工程学科中最困难的问题之一,就是在构建产品之后再去添加核心功能。例如,在汽车制造中,原始设备制造商可以在售后阶段系上安全带,但是要添加安全气囊或确保车辆前端提供“折叠区”就要困难得多。
在软件领域也是如此,从一开始就增加安全性要比检测出问题后被迫添加安全性更方便、更高效、更便宜。在高级设计阶段修复一个缺陷大约需要花费10美分,而一旦处于生产状态的代码报告了一个错误,花费则可能要超过100,000美元。确保将更少的错误放入代码中可以节省故障排除、返工和延迟造成的成本。
四、持续的、跨平台的、云原生的能力
企业业务正在从“以数据中心为中心”的经典模式转变为“以云为中心”的数据使用模式。新冠肺炎疫情在全球的蔓延加速推动了这一转变,企业数字化和云迁移进程,企业也越来越需要在生产环境中快速创新,以应对技术和威胁不断加快的发展速度。最好的安全性应该是业务推动者。只有当安全性是连续的、跨平台的和云原生的时,我们才能做到这一点。
五、自动化一切
我们生活在一个技能短缺和商业需求不断碰撞的世界,这使企业面临不断升级的网络风险。在云中,它会导致配置错误和连锁数据泄露,以及暴露重要资产的风险。更糟糕的是,网络犯罪分子和国家行为体黑客正加大力度检索和利用这些易受攻击的系统,并且已经取得了不俗的“战绩”。
这就是自动化技术发挥作用的地方。在云安全态势管理(Cloud Security Posture Management ,简称“CSPM”)中,自动化技术可以连续扫描数百个系统或程序,然后自动修复任何错误以降低合规风险。自动化还可以简化公有云、私有云和虚拟云环境的安全操作。它可以通过机器学习和虚拟补丁等技术帮助检测和保护新的工作负载,且在不减慢DevOps性能的情况下,将安全性融入CI/CD管道。
六、安全责任分担
谁都不能说云不安全,因为云的安全性取决于使用方式。别问“AWS、Azure、谷歌云,谁更安全?”而要问“做些什么才能使所有云都像我需要的那样安全?”答案是,这完全取决于具体环境/背景,不同的环境需要使用不同的安全策略,各组成部分共同承担安全责任。如何使用容器将是容器安全策略中的一个决策点;软件即服务(Software as a Service,SaaS)更关注于企业希望通过API实现哪些安全功能。
云安全自助服务以各种形式充分发挥作用。目前,云安全态势管理(CSPM)市场已初具规模,以响应自助服务的需求,使企业能够跨越多个云产品实施安全策略。除此之外,安全访问服务边缘(Secure Access Service Edge,SASE)工具也正在以新的方式,将远程办公人员和支持SD-WAN的分支机构安全地连接到SaaS和云。
