于過往的十年,云計算象征了企業IT之中最為具顛覆性的一種趨勢,安全團隊于轉變過程之中并且沒脫離“動蕩”。對安全專業的人員而言,他們感受自己已喪失了對于云計算的控制權,并試圖處置云計算“動蕩”以此保證其免受威脅時常深感失望,這是可理解的。
下列把認識云計算毀壞安全性的方式,詳盡認識安全性團隊如何利用這些變化,并且順利完工保證數據安全性的關鍵性任務。
1.云計算緩解了一些重大責任
企業于使用云計算技術時,可脫離獲取與維護物理IT基礎設施的負擔,這使得企業的安全部門不必對于物理基礎設施的安全負責。云計算的共享安全性模型規定,比如AWS與Azure等云計算服務提供商(CSP)需專責物理基礎設施的安全性。用戶自己專責安全性采用云計算資源。不過,有關分享責任模型存在很多誤解,這造成了風險。
2.于云中,開發人員自己作出基礎設施決策
云計算資源可以透過應用程序編程接口(API)按照需求獲取。因為云計算是一種自助服務,開發人員可迅速采取行動,避開了傳統的安全性網關。如果開發人員作為其應用程序開啟云計算環境時,他們需要配置基礎設施的安全性。但是開發人員也許會犯一些錯誤,其中包含嚴重的云計算資源配置錯誤與違背法規遵從性策略。
3.開發人員不算改變基礎設施配置
企業可于云中比于數據中心更快展開創新。持續集成與持續布署(CI/CD)使得對云計算環境的持續更改。開發人員比較容易更改基礎設施配置,以此執行比如自實例獲取日志或是解決問題等任務。所以,即便他們于第一天的云計算基礎設施的安全性是準確的,或許第二天也許會引進錯誤配置漏洞。
4.云計算是可編程的,可構建自動化
因為可透過API設立、修正與銷毀云計算資源,開發人員已放棄了根據Web的云計算“控制臺”,并且采用AWS CloudFormation與Hashicorp Terraform等基礎設施代碼工具對于其云計算資源展開編程。可預定義,按需布署大規模云平臺環境,并且以此編程方式與自動化方式展開更新。這些基礎設施配置文件包含關鍵性資源的安全性相關配置。
5.云之中有很多的基礎設施需保障
于某些方面,數據中心的安全性越來越好管理。企業的網絡、防火墻與服務器均于機架之上行駛,因而云計算亦以此虛擬化形式存在。但是云計算亦獲取了一系列全新的基礎設施資源,如無服務器與容器。于過往的幾年之中,只AWS公司便發行了數百種全新的服務。即便是熟知的東西,例如網絡與防火墻,于云中亦以此絕不熟知的方式運行。所有這些均需全新的與有所不同的安全姿勢。
6.云之中有越來越多基礎設施可保障
組織需越來越余的云計算基礎設施資源用以追蹤與保護,并因為云計算的彈性,越來越余會隨著時間因而變動。于云中全面營運的團隊也許將要監管跨多個區域與帳戶的數十個云平臺環境,每個團隊也許牽涉數萬個單一安裝并且可透過API訪問的資源。這些資源相互作用,需自己的身份與訪問控制(IAM)權限。微服務架構使這個問題復雜化。
7.云計算安全性和配置錯誤有關
云計算營運全然和云計算資源配置有關,其中包含網絡、安全組等安全敏感的資源,及數據庫與對象儲存的訪問策略。假如企業不用營運與保障物理基礎設施,安全性試點把遷移到云計算資源的配置之上,以此保證它們于第一天是準確的,并它們于第二天以及之后維持這種狀態。
8. 云安全性亦和身份監管有關
于云中,許多業務透過API初始化相互連接,建議對于安全性展開身份管理,因而絕不是根據IP的網絡規則、防火墻等。比如,采用附加到lambda接納其服務標識的角色的策略來完工自lambda到S3存儲桶的連接。身份與訪問管理(IAM)及相似的服務均是復雜的,其功能豐富。
9.云計算的威脅的性質是有所不同的
糟的參與者采用代碼與自動化來查找云計算環境之中的漏洞并且予以利用,自動化威脅把始終超過人工或是半人工的安全性防御。企業的云安全性必需能抵擋當今的威脅,這使得它們必需包含所有關鍵性資源與策略,并且于沒人工參加的情況之下手動自這些資源的任何錯誤配置之中回復。這里的關鍵性指標是關鍵性云計算配置錯誤的平均值修復時間(MTTR)。假如以小時、天、周來量度,那麼有工作需做。
10.數據中心安全性于云中不起作用
到目前為止,人們也許已得出結論,于數據中心之中實習的許多安全性工具于云中沒多大用處。這并不意味著企業需舍棄始終于采用的所有東西,但是要明白哪些依然適用,哪些已落伍。比如,應用程序安全性依然非常關鍵,但是靠跨度或是點擊來檢驗流量的網絡監視工具絕不會由于云計算服務供應商提供直接網絡訪問。企業需彌補的主要安全漏洞和云計算資源配置有關。
11.云之中的安全性可以更容易、更有效
因為云計算是可編程的并可構建自動化,這使得云中安全性可高于數據中心更容易、更有效。
監控配置錯誤與偏差的情況可全然可以實現自動化,企業可作為關鍵資源使用自我修繕基礎設施用以保障敏感數據。于配置或是更新基礎設施以前,企業運行自動化試驗來證明當作代碼的基礎設施與否合乎其企業安全策略,便如同企業保護應用程序代碼一樣。這讓開發人員可更快地認識是否適用需修繕的問題,并且最后協助他們更快地地行動,并且不斷創新。
12.于云中,合規性亦可以更容易、更有效
這對于合規性分析師亦是好消息。傳統的云計算環境人工審核的成本也許十分低廉,易出錯且耗時,所以于完工以前它們一般已過時。因為云計算是可編程的,并可構建自動化,所以亦可展開合規性掃描與調查報告。現在可于絕不交付大量時間與資源的情況之下,自動履行合規性審核并且定時分解報告。因為分布式環境變化如此頻繁,超于一天的審計間隔可能太長。
自哪里起采用云安全性
(1)認識開發人員正在于做什么
他們采用的是什么云計算環境,他們如何透過帳戶(乃研發、試驗、產品)分離問題?他們采用什么配置與持續集成與持續布署(CI/CD)工具?他們目前將要采用任何安全性工具嗎?這些問題的答案把協助企業制訂云計算安全性路線圖,并且確認需重視的理想領域。
(2)把合規性框架運用在現有環境
辨識違規行為,接著和企業的開發人員合作以使其符合規定。假如企業絕不遵循HIPAA、GDPR、NIST 800-53或是PCI等合規制度,亦使用互聯網安全性中心(CIS)基準。如同AWS與Azure這樣的云計算獲取商已把其運用至他們的云平臺,以此協助去除他們如何運用在企業將要做什么的猜測。
(3)確認關鍵性資源并且建立不錯的配置基線
不要忽略關鍵細節。企業和開發人員合作,確認包括關鍵數據的云計算資源,并且作為他們建立安全性的配置基線(及網絡與安全組等有關資源)。起檢測這些配置偏差,并且考量自動修繕解決方案,以此避免錯誤配置造成事故。
(4)協助開發人員越來越安全性地展開工作
透過和開發人員合作,于軟件開發生命周期早期(SLDC)之中加入安全性,構建“左移”。DevSecOps方法(比如開發期間的自動策略檢驗)透過去除慢的人工安全性與合規性流程來協助維持創意的快速發展。
精確而且具備彈性的云安全態勢的關鍵是和企業的開發與運營團隊密切合作,以此使每個成員均于同一頁面之上并且采用相近的語言互動。因而于云中,安全性絕不能當作獨立功能運行。