于過往的十年,云計(jì)算象征了企業(yè)IT之中最為具顛覆性的一種趨勢(shì),安全團(tuán)隊(duì)于轉(zhuǎn)變過程之中并且沒脫離“動(dòng)蕩”。對(duì)安全專業(yè)的人員而言,他們感受自己已喪失了對(duì)于云計(jì)算的控制權(quán),并試圖處置云計(jì)算“動(dòng)蕩”以此保證其免受威脅時(shí)常深感失望,這是可理解的。
下列把認(rèn)識(shí)云計(jì)算毀壞安全性的方式,詳盡認(rèn)識(shí)安全性團(tuán)隊(duì)如何利用這些變化,并且順利完工保證數(shù)據(jù)安全性的關(guān)鍵性任務(wù)。
1.云計(jì)算緩解了一些重大責(zé)任
企業(yè)于使用云計(jì)算技術(shù)時(shí),可脫離獲取與維護(hù)物理IT基礎(chǔ)設(shè)施的負(fù)擔(dān),這使得企業(yè)的安全部門不必對(duì)于物理基礎(chǔ)設(shè)施的安全負(fù)責(zé)。云計(jì)算的共享安全性模型規(guī)定,比如AWS與Azure等云計(jì)算服務(wù)提供商(CSP)需專責(zé)物理基礎(chǔ)設(shè)施的安全性。用戶自己專責(zé)安全性采用云計(jì)算資源。不過,有關(guān)分享責(zé)任模型存在很多誤解,這造成了風(fēng)險(xiǎn)。
2.于云中,開發(fā)人員自己作出基礎(chǔ)設(shè)施決策
云計(jì)算資源可以透過應(yīng)用程序編程接口(API)按照需求獲取。因?yàn)樵朴?jì)算是一種自助服務(wù),開發(fā)人員可迅速采取行動(dòng),避開了傳統(tǒng)的安全性網(wǎng)關(guān)。如果開發(fā)人員作為其應(yīng)用程序開啟云計(jì)算環(huán)境時(shí),他們需要配置基礎(chǔ)設(shè)施的安全性。但是開發(fā)人員也許會(huì)犯一些錯(cuò)誤,其中包含嚴(yán)重的云計(jì)算資源配置錯(cuò)誤與違背法規(guī)遵從性策略。
3.開發(fā)人員不算改變基礎(chǔ)設(shè)施配置
企業(yè)可于云中比于數(shù)據(jù)中心更快展開創(chuàng)新。持續(xù)集成與持續(xù)布署(CI/CD)使得對(duì)云計(jì)算環(huán)境的持續(xù)更改。開發(fā)人員比較容易更改基礎(chǔ)設(shè)施配置,以此執(zhí)行比如自實(shí)例獲取日志或是解決問題等任務(wù)。所以,即便他們于第一天的云計(jì)算基礎(chǔ)設(shè)施的安全性是準(zhǔn)確的,或許第二天也許會(huì)引進(jìn)錯(cuò)誤配置漏洞。
4.云計(jì)算是可編程的,可構(gòu)建自動(dòng)化
因?yàn)榭赏高^API設(shè)立、修正與銷毀云計(jì)算資源,開發(fā)人員已放棄了根據(jù)Web的云計(jì)算“控制臺(tái)”,并且采用AWS CloudFormation與Hashicorp Terraform等基礎(chǔ)設(shè)施代碼工具對(duì)于其云計(jì)算資源展開編程。可預(yù)定義,按需布署大規(guī)模云平臺(tái)環(huán)境,并且以此編程方式與自動(dòng)化方式展開更新。這些基礎(chǔ)設(shè)施配置文件包含關(guān)鍵性資源的安全性相關(guān)配置。
5.云之中有很多的基礎(chǔ)設(shè)施需保障
于某些方面,數(shù)據(jù)中心的安全性越來越好管理。企業(yè)的網(wǎng)絡(luò)、防火墻與服務(wù)器均于機(jī)架之上行駛,因而云計(jì)算亦以此虛擬化形式存在。但是云計(jì)算亦獲取了一系列全新的基礎(chǔ)設(shè)施資源,如無服務(wù)器與容器。于過往的幾年之中,只AWS公司便發(fā)行了數(shù)百種全新的服務(wù)。即便是熟知的東西,例如網(wǎng)絡(luò)與防火墻,于云中亦以此絕不熟知的方式運(yùn)行。所有這些均需全新的與有所不同的安全姿勢(shì)。
6.云之中有越來越多基礎(chǔ)設(shè)施可保障
組織需越來越余的云計(jì)算基礎(chǔ)設(shè)施資源用以追蹤與保護(hù),并因?yàn)樵朴?jì)算的彈性,越來越余會(huì)隨著時(shí)間因而變動(dòng)。于云中全面營(yíng)運(yùn)的團(tuán)隊(duì)也許將要監(jiān)管跨多個(gè)區(qū)域與帳戶的數(shù)十個(gè)云平臺(tái)環(huán)境,每個(gè)團(tuán)隊(duì)也許牽涉數(shù)萬個(gè)單一安裝并且可透過API訪問的資源。這些資源相互作用,需自己的身份與訪問控制(IAM)權(quán)限。微服務(wù)架構(gòu)使這個(gè)問題復(fù)雜化。
7.云計(jì)算安全性和配置錯(cuò)誤有關(guān)
云計(jì)算營(yíng)運(yùn)全然和云計(jì)算資源配置有關(guān),其中包含網(wǎng)絡(luò)、安全組等安全敏感的資源,及數(shù)據(jù)庫(kù)與對(duì)象儲(chǔ)存的訪問策略。假如企業(yè)不用營(yíng)運(yùn)與保障物理基礎(chǔ)設(shè)施,安全性試點(diǎn)把遷移到云計(jì)算資源的配置之上,以此保證它們于第一天是準(zhǔn)確的,并它們于第二天以及之后維持這種狀態(tài)。
8. 云安全性亦和身份監(jiān)管有關(guān)
于云中,許多業(yè)務(wù)透過API初始化相互連接,建議對(duì)于安全性展開身份管理,因而絕不是根據(jù)IP的網(wǎng)絡(luò)規(guī)則、防火墻等。比如,采用附加到lambda接納其服務(wù)標(biāo)識(shí)的角色的策略來完工自lambda到S3存儲(chǔ)桶的連接。身份與訪問管理(IAM)及相似的服務(wù)均是復(fù)雜的,其功能豐富。
9.云計(jì)算的威脅的性質(zhì)是有所不同的
糟的參與者采用代碼與自動(dòng)化來查找云計(jì)算環(huán)境之中的漏洞并且予以利用,自動(dòng)化威脅把始終超過人工或是半人工的安全性防御。企業(yè)的云安全性必需能抵擋當(dāng)今的威脅,這使得它們必需包含所有關(guān)鍵性資源與策略,并且于沒人工參加的情況之下手動(dòng)自這些資源的任何錯(cuò)誤配置之中回復(fù)。這里的關(guān)鍵性指標(biāo)是關(guān)鍵性云計(jì)算配置錯(cuò)誤的平均值修復(fù)時(shí)間(MTTR)。假如以小時(shí)、天、周來量度,那麼有工作需做。
10.數(shù)據(jù)中心安全性于云中不起作用
到目前為止,人們也許已得出結(jié)論,于數(shù)據(jù)中心之中實(shí)習(xí)的許多安全性工具于云中沒多大用處。這并不意味著企業(yè)需舍棄始終于采用的所有東西,但是要明白哪些依然適用,哪些已落伍。比如,應(yīng)用程序安全性依然非常關(guān)鍵,但是靠跨度或是點(diǎn)擊來檢驗(yàn)流量的網(wǎng)絡(luò)監(jiān)視工具絕不會(huì)由于云計(jì)算服務(wù)供應(yīng)商提供直接網(wǎng)絡(luò)訪問。企業(yè)需彌補(bǔ)的主要安全漏洞和云計(jì)算資源配置有關(guān)。
11.云之中的安全性可以更容易、更有效
因?yàn)樵朴?jì)算是可編程的并可構(gòu)建自動(dòng)化,這使得云中安全性可高于數(shù)據(jù)中心更容易、更有效。
監(jiān)控配置錯(cuò)誤與偏差的情況可全然可以實(shí)現(xiàn)自動(dòng)化,企業(yè)可作為關(guān)鍵資源使用自我修繕基礎(chǔ)設(shè)施用以保障敏感數(shù)據(jù)。于配置或是更新基礎(chǔ)設(shè)施以前,企業(yè)運(yùn)行自動(dòng)化試驗(yàn)來證明當(dāng)作代碼的基礎(chǔ)設(shè)施與否合乎其企業(yè)安全策略,便如同企業(yè)保護(hù)應(yīng)用程序代碼一樣。這讓開發(fā)人員可更快地認(rèn)識(shí)是否適用需修繕的問題,并且最后協(xié)助他們更快地地行動(dòng),并且不斷創(chuàng)新。
12.于云中,合規(guī)性亦可以更容易、更有效
這對(duì)于合規(guī)性分析師亦是好消息。傳統(tǒng)的云計(jì)算環(huán)境人工審核的成本也許十分低廉,易出錯(cuò)且耗時(shí),所以于完工以前它們一般已過時(shí)。因?yàn)樵朴?jì)算是可編程的,并可構(gòu)建自動(dòng)化,所以亦可展開合規(guī)性掃描與調(diào)查報(bào)告。現(xiàn)在可于絕不交付大量時(shí)間與資源的情況之下,自動(dòng)履行合規(guī)性審核并且定時(shí)分解報(bào)告。因?yàn)榉植际江h(huán)境變化如此頻繁,超于一天的審計(jì)間隔可能太長(zhǎng)。
自哪里起采用云安全性
(1)認(rèn)識(shí)開發(fā)人員正在于做什么
他們采用的是什么云計(jì)算環(huán)境,他們?nèi)绾瓮高^帳戶(乃研發(fā)、試驗(yàn)、產(chǎn)品)分離問題?他們采用什么配置與持續(xù)集成與持續(xù)布署(CI/CD)工具?他們目前將要采用任何安全性工具嗎?這些問題的答案把協(xié)助企業(yè)制訂云計(jì)算安全性路線圖,并且確認(rèn)需重視的理想領(lǐng)域。
(2)把合規(guī)性框架運(yùn)用在現(xiàn)有環(huán)境
辨識(shí)違規(guī)行為,接著和企業(yè)的開發(fā)人員合作以使其符合規(guī)定。假如企業(yè)絕不遵循HIPAA、GDPR、NIST 800-53或是PCI等合規(guī)制度,亦使用互聯(lián)網(wǎng)安全性中心(CIS)基準(zhǔn)。如同AWS與Azure這樣的云計(jì)算獲取商已把其運(yùn)用至他們的云平臺(tái),以此協(xié)助去除他們?nèi)绾芜\(yùn)用在企業(yè)將要做什么的猜測(cè)。
(3)確認(rèn)關(guān)鍵性資源并且建立不錯(cuò)的配置基線
不要忽略關(guān)鍵細(xì)節(jié)。企業(yè)和開發(fā)人員合作,確認(rèn)包括關(guān)鍵數(shù)據(jù)的云計(jì)算資源,并且作為他們建立安全性的配置基線(及網(wǎng)絡(luò)與安全組等有關(guān)資源)。起檢測(cè)這些配置偏差,并且考量自動(dòng)修繕解決方案,以此避免錯(cuò)誤配置造成事故。
(4)協(xié)助開發(fā)人員越來越安全性地展開工作
透過和開發(fā)人員合作,于軟件開發(fā)生命周期早期(SLDC)之中加入安全性,構(gòu)建“左移”。DevSecOps方法(比如開發(fā)期間的自動(dòng)策略檢驗(yàn))透過去除慢的人工安全性與合規(guī)性流程來協(xié)助維持創(chuàng)意的快速發(fā)展。
精確而且具備彈性的云安全態(tài)勢(shì)的關(guān)鍵是和企業(yè)的開發(fā)與運(yùn)營(yíng)團(tuán)隊(duì)密切合作,以此使每個(gè)成員均于同一頁(yè)面之上并且采用相近的語(yǔ)言互動(dòng)。因而于云中,安全性絕不能當(dāng)作獨(dú)立功能運(yùn)行。