在过去十年中,云计算代表了公司最具颠覆性的IT趋势,而安全团队在转型过程中并未幸免“混乱”。对于安全专业人士来说,他们觉得自己已经失去了对云计算的控制权,并且在他们试图应对云计算的“混乱”时会感到沮丧,以确保他们免受威胁。这是可以理解的。
以下是云计算如何破坏安全性,获取有关安全团队如何利用这些变更以及成功完成关键数据安全任务的信息。
云计算支持IT安全的12种方式
云计算减轻了一些重要的责任
通过采用云计算技术,企业可以摆脱获取和维护物理IT基础架构的负担,这意味着公司的安全部门不再负责物理基础架构的安全性。云计算的共享安全模型规定,云计算服务提供商(CSP)(如AWS和Azure)负责物理基础架构的安全性。用户负责在云中安全使用计算资源。然而,对共享责任模型存在许多误解,这种模式存在风险。
2.在云中,开发人员自己做出基础架构决策。
云计算资源可通过应用程序编程接口(API)索取。由于云计算是自助服务的,因此开发人员可以快速行动并避开传统的安全网关。当开发人员为其应用程序启动云计算环境时,他们正在配置其基础架构的安全性。但是,开发人员可能会犯一些错误,包括云计算资源的严重配置错误和违反合规性策略。
3.开发人员不断更改基础结构的配置
企业可以在云中比在数据中心中更快地进行创新。持续集成和持续实施(CI/CD)意味着云计算环境的不断变化。开发人员可以轻松更改基础结构设置,以执行诸如从实例获取记录或解决问题等任务。因此,即使您在云基础架构的第一天的安全性是正确的,第二天也可能出现一个有缺陷的配置漏洞。
4.云计算是可编程的,可以自动化。
因为在云中可以创建,修改和通过API破坏计算资源,开发人员在云放弃了“控制台”云计算为基础的网络和调度计算资源使用AWS CloudFormation和Hashicorp Terraform等基础设施代码工具。预定义的大规模云平台环境可以按需实施,并以编程方式自动更新。这些基础架构配置文件包括关键资源的安全相关配置。
5.云中有更多基础设施需要保护。
在某种程度上,数据中心的安全性更易于管理。业务网络,防火墙和服务器在机架中运行,云计算也以虚拟形式存在。但云计算还提供了一系列新的基础架构资源,例如服务器和容器。近年来,只有AWS推出了数百项新服务。甚至网络和防火墙等熟悉的东西也在云中以未知的方式运行。所有这些都需要新的和不同的安全姿势。6.云中有更多的基础设施需要保护。
组织需要在云中更多的计算基础架构资源来跟踪和保护,并且由于云计算的阻力,更多将随着时间的推移而发生变化。在云中运营的大型团队可以管理多个地区和帐户中的数十个云平台环境,每个环境都可以包含数万个单独配置和访问的资源。 API。这些资源交互并需要自己的访问和身份控制(IAM)权限。微服务架构使这个问题复杂化。
7.云中的计算机安全性与配置错误有关。
云计算操作与云中的计算资源配置完全相关,包括安全敏感资源(如网络和安全组)以及数据库和数据库的访问策略。对象的存储。如果组织不具有操作和维护的物理基础设施,安全的做法将改变计算资源的配置在云中,以确保它们的第一天是正确的,并在第二天保持这种状态和超越。
8.云安全还与身份管理有关。
在云中,许多服务通过API调用相互连接,这需要身份管理以确保安全性,而不是基于IP的网络规则,防火墙等。例如,从lambda到一组S3的连接是由附加到lambda接受其服务标识的函数的策略产生的。身份和访问管理(IAM)和类似服务很复杂,并且具有许多功能。
9.云计算威胁的性质是不同的
参与者使用代码和自动化来查找和利用云计算环境中的漏洞,自动威胁将始终克服手动或半手动安全防御。企业云安全必须能够承受当前的威胁,这意味着它们必须涵盖所有关键资源和策略,并在没有人为干预的情况下自动从这些资源的任何错误配置中恢复。这里的关键指标是关键云计算配置错误的平均修复时间(MTTR)。如果以小时,天和周来衡量,仍有工作要做。
10.数据中心安全性在云中不起作用。
到目前为止,人们可能已经得出结论,在数据中心中工作的许多安全工具在云中几乎没有用处。这并不意味着公司必须放弃他们一直在使用的所有东西,而是要知道哪些仍然适用,哪些已经过时。例如,应用程序安全性仍然是重要的,但是这取决于程度或点击验证网络流量监控工具不提供云计算的网络服务提供商的直接访问。公司必须填补的主要安全漏洞与云中计算资源的配置有关。
11.云安全性可以更容易,更有效。
由于云计算是可编程的并且可以自动化,因此这意味着云安全性可以比数据中心更容易,更高效。
监控配置错误和偏差可以完全自动化,组织可以使用自动恢复基础架构来关键资源来保护敏感数据。在设置或升级基础设施,企业可以执行自动验证基础设施与企业的安全策略,以及应用程序代码保护测试业务代码兼容。这使开发人员能够事先了解是否存在需要解决的问题,并最终帮助他们更快地进行创新。12.在云中,合规性可以更容易,更有效。
这对合规分析师来说也是个好消息。传统云计算环境中的人工审计成本可能过高,容易出错,耗时且在完成之前通常已过时。由于云计算是可编程和自动化的,因此也可以使用合规性扫描和调查报告。现在,可以自动执行合规性审计并定期生成报告,而无需投入大量时间和资源。由于云计算环境变化如此频繁,因此一天的审核间隔可能太长。
从哪里开始使用云安全性
(1)了解开发人员正在做什么
他们使用什么样的云计算环境,他们如何通过账户(即开发,测试,产品)分离问题?您使用什么配置,持续集成和连续实施(CI/CD)工具?您目前正在使用任何安全工具吗?这些问题的答案将有助于公司制定云计算安全的路线图,并确定理想的重点领域。
(2)将合规性框架应用于现有环境。
识别违规行为,然后与公司的开发人员合作,使其兼容。如果公司未能满足合规系统,如HIPAA,GDPR,NIST 800-53或PCI,使用互联网安全中心(CIS)的基准。 AWS和Azure等云计算提供商已将其应用于其云平台,以帮助消除有关其如何应用于业务运营的猜想。
(3)识别关键资源并建立良好的基线配置
不要忽视关键细节。公司与开发人员合作,识别包含关键数据的云计算资源,并为他们建立安全配置基线(以及相关资源,如网络和安全组)。开始检测这些配置偏差并考虑自动修复解决方案,以防止事故造成事故。
(4)帮助开发人员更安全地工作。
与开发人员合作时,安全性会添加到软件开发生命周期(SLDC)的开头,以实现“向左转”。 DevSecOps方法(例如在开发期间自动验证策略)通过消除缓慢的手动安全性和合规性流程,帮助创新快速发展。
有效且有弹性的云安全态势的关键是与公司的开发和运营团队密切合作,以便每个成员都在同一页面上并使用相同的语言进行通信。在云中,安全性不能作为单独的功能执行。
中文
电话咨询
微信咨询
公众号
