于過往的十年,云計算象征了企業(yè)IT之中最為具顛覆性的一種趨勢���,安全團隊于轉(zhuǎn)變過程之中并且沒脫離“動蕩”����。對安全專業(yè)的人員而言,他們感受自己已喪失了對于云計算的控制權(quán)�,并試圖處置云計算“動蕩”以此保證其免受威脅時常深感失望�,這是可理解的�����。
下列把認識云計算毀壞安全性的方式,詳盡認識安全性團隊如何利用這些變化,并且順利完工保證數(shù)據(jù)安全性的關(guān)鍵性任務(wù)。
1.云計算緩解了一些重大責任
企業(yè)于使用云計算技術(shù)時���,可脫離獲取與維護物理IT基礎(chǔ)設(shè)施的負擔,這使得企業(yè)的安全部門不必對于物理基礎(chǔ)設(shè)施的安全負責。云計算的共享安全性模型規(guī)定����,比如AWS與Azure等云計算服務(wù)提供商(CSP)需專責物理基礎(chǔ)設(shè)施的安全性���。用戶自己專責安全性采用云計算資源�����。不過,有關(guān)分享責任模型存在很多誤解,這造成了風險��。
2.于云中�����,開發(fā)人員自己作出基礎(chǔ)設(shè)施決策
云計算資源可以透過應(yīng)用程序編程接口(API)按照需求獲取�。因為云計算是一種自助服務(wù)����,開發(fā)人員可迅速采取行動����,避開了傳統(tǒng)的安全性網(wǎng)關(guān)��。如果開發(fā)人員作為其應(yīng)用程序開啟云計算環(huán)境時�����,他們需要配置基礎(chǔ)設(shè)施的安全性。但是開發(fā)人員也許會犯一些錯誤��,其中包含嚴重的云計算資源配置錯誤與違背法規(guī)遵從性策略���。
3.開發(fā)人員不算改變基礎(chǔ)設(shè)施配置
企業(yè)可于云中比于數(shù)據(jù)中心更快展開創(chuàng)新��。持續(xù)集成與持續(xù)布署(CI/CD)使得對云計算環(huán)境的持續(xù)更改。開發(fā)人員比較容易更改基礎(chǔ)設(shè)施配置,以此執(zhí)行比如自實例獲取日志或是解決問題等任務(wù)。所以,即便他們于第一天的云計算基礎(chǔ)設(shè)施的安全性是準確的����,或許第二天也許會引進錯誤配置漏洞��。
4.云計算是可編程的,可構(gòu)建自動化
因為可透過API設(shè)立、修正與銷毀云計算資源,開發(fā)人員已放棄了根據(jù)Web的云計算“控制臺”����,并且采用AWS CloudFormation與Hashicorp Terraform等基礎(chǔ)設(shè)施代碼工具對于其云計算資源展開編程�����?深A(yù)定義,按需布署大規(guī)模云平臺環(huán)境,并且以此編程方式與自動化方式展開更新��。這些基礎(chǔ)設(shè)施配置文件包含關(guān)鍵性資源的安全性相關(guān)配置�����。
5.云之中有很多的基礎(chǔ)設(shè)施需保障
于某些方面�����,數(shù)據(jù)中心的安全性越來越好管理。企業(yè)的網(wǎng)絡(luò)、防火墻與服務(wù)器均于機架之上行駛,因而云計算亦以此虛擬化形式存在��。但是云計算亦獲取了一系列全新的基礎(chǔ)設(shè)施資源���,如無服務(wù)器與容器��。于過往的幾年之中,只AWS公司便發(fā)行了數(shù)百種全新的服務(wù)�����。即便是熟知的東西����,例如網(wǎng)絡(luò)與防火墻,于云中亦以此絕不熟知的方式運行���。所有這些均需全新的與有所不同的安全姿勢。
6.云之中有越來越多基礎(chǔ)設(shè)施可保障
組織需越來越余的云計算基礎(chǔ)設(shè)施資源用以追蹤與保護��,并因為云計算的彈性�,越來越余會隨著時間因而變動。于云中全面營運的團隊也許將要監(jiān)管跨多個區(qū)域與帳戶的數(shù)十個云平臺環(huán)境�,每個團隊也許牽涉數(shù)萬個單一安裝并且可透過API訪問的資源�����。這些資源相互作用,需自己的身份與訪問控制(IAM)權(quán)限���。微服務(wù)架構(gòu)使這個問題復雜化。
7.云計算安全性和配置錯誤有關(guān)
云計算營運全然和云計算資源配置有關(guān)����,其中包含網(wǎng)絡(luò)��、安全組等安全敏感的資源,及數(shù)據(jù)庫與對象儲存的訪問策略��。假如企業(yè)不用營運與保障物理基礎(chǔ)設(shè)施��,安全性試點把遷移到云計算資源的配置之上����,以此保證它們于第一天是準確的����,并它們于第二天以及之后維持這種狀態(tài)。
8. 云安全性亦和身份監(jiān)管有關(guān)
于云中���,許多業(yè)務(wù)透過API初始化相互連接,建議對于安全性展開身份管理��,因而絕不是根據(jù)IP的網(wǎng)絡(luò)規(guī)則�����、防火墻等����。比如�����,采用附加到lambda接納其服務(wù)標識的角色的策略來完工自lambda到S3存儲桶的連接�。身份與訪問管理(IAM)及相似的服務(wù)均是復雜的����,其功能豐富。
9.云計算的威脅的性質(zhì)是有所不同的
糟的參與者采用代碼與自動化來查找云計算環(huán)境之中的漏洞并且予以利用�,自動化威脅把始終超過人工或是半人工的安全性防御��。企業(yè)的云安全性必需能抵擋當今的威脅,這使得它們必需包含所有關(guān)鍵性資源與策略�,并且于沒人工參加的情況之下手動自這些資源的任何錯誤配置之中回復����。這里的關(guān)鍵性指標是關(guān)鍵性云計算配置錯誤的平均值修復時間(MTTR)���。假如以小時�����、天、周來量度,那麼有工作需做。
10.數(shù)據(jù)中心安全性于云中不起作用
到目前為止�,人們也許已得出結(jié)論���,于數(shù)據(jù)中心之中實習的許多安全性工具于云中沒多大用處���。這并不意味著企業(yè)需舍棄始終于采用的所有東西���,但是要明白哪些依然適用��,哪些已落伍。比如,應(yīng)用程序安全性依然非常關(guān)鍵,但是靠跨度或是點擊來檢驗流量的網(wǎng)絡(luò)監(jiān)視工具絕不會由于云計算服務(wù)供應(yīng)商提供直接網(wǎng)絡(luò)訪問����。企業(yè)需彌補的主要安全漏洞和云計算資源配置有關(guān)���。
11.云之中的安全性可以更容易�、更有效
因為云計算是可編程的并可構(gòu)建自動化����,這使得云中安全性可高于數(shù)據(jù)中心更容易、更有效。
監(jiān)控配置錯誤與偏差的情況可全然可以實現(xiàn)自動化��,企業(yè)可作為關(guān)鍵資源使用自我修繕基礎(chǔ)設(shè)施用以保障敏感數(shù)據(jù)���。于配置或是更新基礎(chǔ)設(shè)施以前��,企業(yè)運行自動化試驗來證明當作代碼的基礎(chǔ)設(shè)施與否合乎其企業(yè)安全策略���,便如同企業(yè)保護應(yīng)用程序代碼一樣����。這讓開發(fā)人員可更快地認識是否適用需修繕的問題�,并且最后協(xié)助他們更快地地行動,并且不斷創(chuàng)新��。
12.于云中�����,合規(guī)性亦可以更容易�����、更有效
這對于合規(guī)性分析師亦是好消息。傳統(tǒng)的云計算環(huán)境人工審核的成本也許十分低廉,易出錯且耗時,所以于完工以前它們一般已過時。因為云計算是可編程的,并可構(gòu)建自動化,所以亦可展開合規(guī)性掃描與調(diào)查報告。現(xiàn)在可于絕不交付大量時間與資源的情況之下,自動履行合規(guī)性審核并且定時分解報告。因為分布式環(huán)境變化如此頻繁�����,超于一天的審計間隔可能太長����。
自哪里起采用云安全性
(1)認識開發(fā)人員正在于做什么
他們采用的是什么云計算環(huán)境,他們?nèi)绾瓮高^帳戶(乃研發(fā)、試驗����、產(chǎn)品)分離問題?他們采用什么配置與持續(xù)集成與持續(xù)布署(CI/CD)工具?他們目前將要采用任何安全性工具嗎?這些問題的答案把協(xié)助企業(yè)制訂云計算安全性路線圖��,并且確認需重視的理想領(lǐng)域。
(2)把合規(guī)性框架運用在現(xiàn)有環(huán)境
辨識違規(guī)行為�����,接著和企業(yè)的開發(fā)人員合作以使其符合規(guī)定�����。假如企業(yè)絕不遵循HIPAA、GDPR��、NIST 800-53或是PCI等合規(guī)制度��,亦使用互聯(lián)網(wǎng)安全性中心(CIS)基準��。如同AWS與Azure這樣的云計算獲取商已把其運用至他們的云平臺,以此協(xié)助去除他們?nèi)绾芜\用在企業(yè)將要做什么的猜測���。
(3)確認關(guān)鍵性資源并且建立不錯的配置基線
不要忽略關(guān)鍵細節(jié)。企業(yè)和開發(fā)人員合作���,確認包括關(guān)鍵數(shù)據(jù)的云計算資源,并且作為他們建立安全性的配置基線(及網(wǎng)絡(luò)與安全組等有關(guān)資源)����。起檢測這些配置偏差��,并且考量自動修繕解決方案,以此避免錯誤配置造成事故���。
(4)協(xié)助開發(fā)人員越來越安全性地展開工作
透過和開發(fā)人員合作,于軟件開發(fā)生命周期早期(SLDC)之中加入安全性����,構(gòu)建“左移”�。DevSecOps方法(比如開發(fā)期間的自動策略檢驗)透過去除慢的人工安全性與合規(guī)性流程來協(xié)助維持創(chuàng)意的快速發(fā)展�����。
精確而且具備彈性的云安全態(tài)勢的關(guān)鍵是和企業(yè)的開發(fā)與運營團隊密切合作�,以此使每個成員均于同一頁面之上并且采用相近的語言互動�����。因而于云中,安全性絕不能當作獨立功能運行���。