分析公司IDC預(yù)計(jì),到2022年,全球90%以上的企業(yè)將擁有多個(gè)公有云。據(jù)IT管理解決方案提供商Flexera發(fā)布的《2020年云現(xiàn)狀報(bào)告》顯示,93%的企業(yè)部署了混合云戰(zhàn)略,這一百分比高于兩年前的81%。目前受訪者平均使用的公有云和私有云均為2.2個(gè)。
但是傳統(tǒng)企業(yè)中公有云和私有云以及SaaS應(yīng)用程序越來(lái)越多的組合也帶來(lái)了許多安全問(wèn)題。在Flexera的調(diào)查中,約83%的企業(yè)將安全性列為挑戰(zhàn),高于對(duì)云支出的管理(82%)和治理(79%)。
咨詢公司Protiviti的新興技術(shù)和全球云實(shí)踐主管RandyArmknecht說(shuō):“混合云給安全團(tuán)隊(duì)帶來(lái)的挑戰(zhàn)正在持續(xù)增長(zhǎng)。服務(wù)的發(fā)布數(shù)量、新的交互方式、服務(wù)與系統(tǒng)的互連,所有的這些都在不斷發(fā)展,同時(shí)也為企業(yè)安全模型增加了新的復(fù)雜性。”
混合云環(huán)境的安全性被高度關(guān)注并不意外。因?yàn)槭紫畔踩賯円呀?jīng)意識(shí)到他們需要保護(hù)的范圍已經(jīng)從企業(yè)內(nèi)部的基礎(chǔ)設(shè)施變成了分布在不同廠商中的計(jì)算資源網(wǎng)。要命的是,這些廠商提供的服務(wù)級(jí)別和安全承諾各不相同。這種環(huán)境為惡意軟件攻擊、數(shù)據(jù)泄露、違規(guī)和彈性問(wèn)題帶來(lái)了更多的漏洞。畢馬威(KPMG)技術(shù)風(fēng)險(xiǎn)實(shí)踐業(yè)務(wù)的合伙人SaiGadia說(shuō),混合云架構(gòu)的復(fù)雜性正在成為一種攻擊向量。“如果傳統(tǒng)的人員、流程或技術(shù)中存在漏洞,那么不法分子就會(huì)尋求機(jī)會(huì)利用這些漏洞。”
復(fù)雜性越來(lái)越高
技術(shù)供應(yīng)商Blissfully在《2020年SaaS趨勢(shì)報(bào)告》中指出,目前傳統(tǒng)的企業(yè)IT基礎(chǔ)設(shè)施和解決方案堆棧不僅包括了公有云和私有云部署,還包括了大量不同的SaaS產(chǎn)品(平均數(shù)量為288種)。
不同構(gòu)成要素有著不同的安全要求,內(nèi)置的安全功能的級(jí)別和類型也各不相同。各家云提供商使用工具也不盡相同,即便是同一類工具,他們的術(shù)語(yǔ)往往也不一樣。此外,這些云提供商在安全方面的責(zé)任也是不同的。所有這些都迫使首席信息安全官不得不將它們整合為一個(gè)整體,以記錄云服務(wù)的安全功能是否夠用,是否需要更多的安全性,以及在何處需要什么樣的額外安全措施。
451Research負(fù)責(zé)信息安全渠道的高級(jí)研究分析師GarrettBekker說(shuō):“我們通常認(rèn)為云服務(wù)可以讓我們的生活變得更簡(jiǎn)單,并且它們可以通過(guò)多種方式實(shí)現(xiàn),可以為我們提供很多好處。但是從安全的角度來(lái)看,由于它們要做的事情太多,因此也增加了很多復(fù)雜性。”
在甲骨文和畢馬威(KPMG)的《2020年云威脅報(bào)告》中,受訪者認(rèn)為復(fù)雜性是一項(xiàng)重大挑戰(zhàn)。其中,70%的受訪者認(rèn)為保護(hù)其公有云足跡需要太多的專用工具,78%的受訪者則指出,在云端駐留和本地應(yīng)用程序之間需要在不同的安全策略和流程。
這些問(wèn)題又帶來(lái)了另一個(gè)我們熟悉的安全問(wèn)題:缺乏可見(jiàn)性。
SecurityCurve的創(chuàng)始合伙人兼ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))混合云環(huán)境安全影響管理團(tuán)隊(duì)的首席開(kāi)發(fā)者EdMoyle指出:“用戶難以從各家提供商那里獲得所有的不同信息,以確定統(tǒng)一的管理視角。”
VeryGoodSecurity的首席信息安全官KathyWang稱,可見(jiàn)性挑戰(zhàn)來(lái)自多個(gè)層面。例如,企業(yè)安全團(tuán)隊(duì)無(wú)法深入了解企業(yè)的所有云部署(尤其是那些由業(yè)務(wù)部門直接購(gòu)買的SaaS產(chǎn)品)。即使這樣做了,他們也仍然難以監(jiān)控所有的云部署并從中發(fā)現(xiàn)問(wèn)題。另外,對(duì)事件管理工具的數(shù)據(jù)進(jìn)行編譯和解讀也是一件非常困難的事情。
制定策略
制定混合云安全策略首先要確定企業(yè)使用的所有云,確保企業(yè)擁有強(qiáng)大的數(shù)據(jù)治理程序以指導(dǎo)與云相關(guān)的安全決策,以及在正確的位置部署正確的工具,從而確保控制級(jí)別適當(dāng)。
在《混合云環(huán)境安全性影響管理》報(bào)告中,ISACA指出,“要想讓多家提供商都能發(fā)揮作用,企業(yè)必須調(diào)整他們的工具、流程、監(jiān)控功能、運(yùn)營(yíng)思路,以及與安全規(guī)劃相關(guān)的諸多要素。”
Gadia認(rèn)為目前首席信息安全官正在朝著這個(gè)方向發(fā)展。他指出,甲骨文和畢馬威的調(diào)查報(bào)告顯示,企業(yè)的云安全架構(gòu)師的數(shù)量要多于安全架構(gòu)師。盡管如此,許多安全團(tuán)隊(duì)還需要進(jìn)一步增加具備能夠創(chuàng)建安全云架構(gòu)所需全部技能的人員數(shù)量。
以下是增強(qiáng)混合云安全性的三大關(guān)鍵步驟。
關(guān)注應(yīng)用程序和數(shù)據(jù)
混合云環(huán)境中應(yīng)用程序安全的重要性不可低估。MicroFocus公司的安全風(fēng)險(xiǎn)與治理主管RamsésGallego說(shuō):“如今,依靠強(qiáng)大而可靠的方法來(lái)強(qiáng)化和保護(hù)應(yīng)用程序的安全比以往任何時(shí)候都更重要。這意味著不僅要確保代碼沒(méi)有漏洞,同時(shí)還要確保應(yīng)用程序正在使用的庫(kù)被及時(shí)更新且沒(méi)有漏洞。”
Gallego補(bǔ)充說(shuō):“數(shù)據(jù)管理、數(shù)據(jù)最小化以及最重要的數(shù)據(jù)匿名化和加密是企業(yè)要構(gòu)建混合云架構(gòu)的支柱。和土木工程一樣,基礎(chǔ)必須牢固,并且按照一些法規(guī)中要求的那樣,必須要有適當(dāng)?shù)臄?shù)據(jù)屏蔽和數(shù)據(jù)隱藏策略。”
使用正確的工具
考慮到嵌入在不同云產(chǎn)品中的安全功能的變化,將工具與技術(shù)進(jìn)行適當(dāng)組合可以滿足不同企業(yè)的云解決方案組合。首席信息安全官需要明確哪些解決方案在哪里工作,并選擇可以跨越云環(huán)境的解決方案,從而為安全場(chǎng)景創(chuàng)建單一的管理平臺(tái)。
專家建議引入云訪問(wèn)安全代理(CASB),以及可在企業(yè)和云服務(wù)提供商之間強(qiáng)化身份驗(yàn)證、憑證映射、設(shè)備配置文件、加密和惡意軟件檢測(cè)等安全措施的軟件。
此外,專家還建議使用云安全狀態(tài)管理(CSPM)。這是一種更新的技術(shù),其可根據(jù)安全要求評(píng)估企業(yè)云環(huán)境,從而保證云配置能夠持續(xù)滿足相關(guān)的要求與規(guī)定。
非營(yíng)利性組織云安全聯(lián)盟(CSA)下設(shè)的ERP安全工作組的研究員JuanPerez-Etchegoyen說(shuō):“CASB雖然很重要,但是它們的重點(diǎn)是SaaS。相比之下,CSPM則更為全面地專注于所有云服務(wù)模型(IaaS、PaaS、SaaS)。”
增強(qiáng)安全性
安全領(lǐng)導(dǎo)者還建議首席信息安全官采取零信任態(tài)度,并大力部署可支持零信任安全模型的技術(shù)。該模型會(huì)假設(shè)連接是不可信的,除非它們可以證明自己是可信的。
Gadia說(shuō):“在零信任安全模型中,云資產(chǎn)的安全性不依賴于擴(kuò)展網(wǎng)絡(luò)中的受信用戶和設(shè)備。零信任只取決于需要的最低特權(quán)/訪問(wèn)權(quán)限。在允許用戶訪問(wèn)云環(huán)境中的資源之前,所有用戶和設(shè)備都需要經(jīng)過(guò)驗(yàn)證。”
Moyle表示,雖然這種思維方式將所有未經(jīng)驗(yàn)證的東西都視為不可信任,但是它們可幫助安全團(tuán)隊(duì)保護(hù)企業(yè)免受未經(jīng)批準(zhǔn)的云部署、影子IT以及安全性不達(dá)標(biāo)的云提供商的侵?jǐn)_。Moyle解釋說(shuō):“這并不是說(shuō)提供商無(wú)法提供很好的安全性,這只是預(yù)先假定環(huán)境是危險(xiǎn)的,并為此進(jìn)行了有針對(duì)性的設(shè)計(jì)而已。”
最后,專家建議,那些希望提高混合云環(huán)境安全性的首席信息安全官先確保已有能夠支持相關(guān)安全標(biāo)準(zhǔn)的流程,同時(shí)完成長(zhǎng)期一直主導(dǎo)安全性的傳統(tǒng)的人員-流程-技術(shù)方法的改造和更新。
這些工作需要企業(yè)內(nèi)部所有相關(guān)部門之間進(jìn)行協(xié)作,從而在業(yè)務(wù)需求、安全目標(biāo)和合規(guī)性義務(wù)之間實(shí)現(xiàn)平衡。
451Research的信息安全團(tuán)隊(duì)首席研究分析師FernandoMontenegro說(shuō):“關(guān)于如何對(duì)云進(jìn)行風(fēng)險(xiǎn)管理、組織內(nèi)部如何進(jìn)行云開(kāi)發(fā),以及如何通過(guò)技術(shù)做出風(fēng)險(xiǎn)決策等問(wèn)題需要進(jìn)行更高層級(jí)的戰(zhàn)略對(duì)話。”他指出,許多首席信息安全官及其團(tuán)隊(duì)在項(xiàng)目周期的早期就開(kāi)始與開(kāi)發(fā)人員和相關(guān)部門展開(kāi)了合作,以確保安全性在一開(kāi)始就被充分考慮。
