導(dǎo)讀:隨著云計算服務(wù)支出比以往任何時候都要多,全球主要的公共云提供商之間爭奪市場份額的斗爭日益激烈。他們采用的提高云計算客戶忠誠度的策略往往會加劇這些客戶面臨的云安全挑戰(zhàn)。
研究表明,在2020年第二季度,全球客戶在公共云服務(wù)的支出首次超過了非云IT系統(tǒng)的支出。隨著云計算服務(wù)支出比以往任何時候都要多,全球主要的公共云提供商之間爭奪市場份額的斗爭日益激烈。他們采用的提高云計算客戶忠誠度的策略往往會加劇這些客戶面臨的云安全挑戰(zhàn)。
此外,許多客戶希望避免被某個云計算提供商鎖定。通過采用多云,可以更多地獲得將其業(yè)務(wù)遷移到云平臺的好處。如今,越來越少的客戶采用單個公共云提供商的云平臺。與其相反,93%的客戶采用多云,并且大多數(shù)采用公共云、私有云以及內(nèi)部部署設(shè)施的混合部署環(huán)境。
云安全的主要挑戰(zhàn)是什么?
組織在云安全方面面臨挑戰(zhàn),意味著其安全團隊的任務(wù)需要為應(yīng)用混合云或多云采用新的策略和措施。
多云和混合云策略都可能為云安全帶來挑戰(zhàn)。云計算部署使IT運營變得更加復(fù)雜,即使減少了管理物理設(shè)施的需求。多云也為組織的安全團隊帶來了負擔(dān),他們通常難以在多云環(huán)境中保持洞察力。組織避免云計算提供商鎖定的做法可能導(dǎo)致多個云計算提供商的平臺和軟件即服務(wù)(SaaS)應(yīng)用讀取大量信息。它們可以存儲在集成度較差的不同的數(shù)據(jù)孤島中,這使得創(chuàng)建高效的監(jiān)視和事件響應(yīng)工作流變得非常困難。
其他云安全挑戰(zhàn)來自更復(fù)雜的數(shù)據(jù)導(dǎo)致缺乏控制的方式。當(dāng)組織使用來自多個云計算提供商的架構(gòu)和服務(wù)交付模型時,要確保全面滿足數(shù)據(jù)保護標準所需的精細控制就變得更加困難。
在公共云的應(yīng)用中,快速的變化已經(jīng)成為了一種常態(tài),這只會增加問題的嚴重性。公共云提供商不斷地改變他們的產(chǎn)品,通常是為了讓客戶更難將工作負載轉(zhuǎn)移到競爭對手的云平臺上。因此,及時了解潛在問題變得越來越困難。
如果負責(zé)監(jiān)視威脅、檢測安全事件和風(fēng)險以及協(xié)調(diào)工作流的組織團隊無法滿足安全需求,那么在任何云計算環(huán)境中都無法真正確保安全。如果這些措施使組織的工作變得十分混亂,以至于導(dǎo)致錯誤或泄露云計算資源的數(shù)據(jù),那么就不是有效節(jié)省成本的措施。
確保云環(huán)境安全的最佳安全實踐
(1)注意配置錯誤
防止配置錯誤,這是大多數(shù)云計算數(shù)據(jù)泄露中仍然存在的問題。
在2019年報告的數(shù)據(jù)泄露事件中,五分之一以上的事件是由于配置錯誤造成的,并且在所有情況下,都是由于人為錯誤造成的。
但是,“不要犯錯誤”說起來容易做起來難。涉及的大多數(shù)團隊并沒有意識到他們有責(zé)任解決應(yīng)該歸咎的具體問題。在其他情況下,他們?nèi)狈徍伺渲玫墓ぞ摺?/p>
組織必須為IT運營人員提供支持和培訓(xùn),并確保安全團隊對云計算平臺有足夠的了解。使用云原生工具來監(jiān)視常見的錯誤配置(包括存儲桶風(fēng)險)也可能會有所幫助。
(2)默認加密
在默認情況下,對靜態(tài)數(shù)據(jù)進行加密。
盡管加密本身并不能防止數(shù)據(jù)泄露,但它確實提供了另一層保證,即在發(fā)生漏洞時,數(shù)據(jù)不會被泄露。這只是一個額外的保護措施,但它在多云供應(yīng)商的安全防護中起著關(guān)鍵作用。自動化工具有助于深入了解每個云存儲桶是否啟用了加密措施。
(3)維護身份和訪問管理控制
組織仔細維護身份和訪問管理(IAM)解決方案,以解決一些最常見的云安全問題。
在基于云計算的混合環(huán)境中,憑據(jù)泄露是一個重大威脅。眾所周知,這類攻擊難以快速檢測。在內(nèi)部部署設(shè)施托管的身份和訪問管理(IAM)解決方案在混合云和多云環(huán)境中往往無法很好地工作。針對混合云環(huán)境(例如使用輕量級目錄訪問協(xié)議(LDAP)的混合環(huán)境)專用的身份和訪問管理(IAM)解決方案有著良好的發(fā)展前景?;谟布钆频姆?wù)也是如此,例如谷歌公司的Titan安全密鑰或YubiKey。
(4)監(jiān)控環(huán)境
有效的監(jiān)控對于面對混合部署和云安全挑戰(zhàn)至關(guān)重要。
組織的安全運營流程和工作流程需要與云計算技術(shù)的發(fā)展保持同步。在解決云安全問題時為員工提供支持并幫助他們提高技能至關(guān)重要。
組織采用自動化解決方案來幫助分析師收集和監(jiān)視由云平臺創(chuàng)建的不斷增長的日志數(shù)據(jù),而不會因誤報而陷于困境,這是關(guān)鍵。SOAR平臺(基于開源技術(shù)和標準的平臺)可以跨多個云計算提供商的工具和云計算提供商的平臺使用。它們簡化了事件分類和響應(yīng)。人工智能和機器學(xué)習(xí)輔助工具還可以幫助過濾數(shù)據(jù)以減少警報。
(5)權(quán)衡成本和收益
在設(shè)計多云提供商的計劃時,需要仔細權(quán)衡。
每件事都有利弊,多云也是如此。從一系列公共云提供商中選擇云計算服務(wù)和云平臺的主要好處包括潛在的成本節(jié)省,以及開發(fā)團隊有機會選擇更適合優(yōu)化應(yīng)用程序性能的平臺。
另一方面,這意味著組織可以創(chuàng)建一個技能差距很大的工作流程。當(dāng)需要在平臺之間移動數(shù)據(jù)或管理整個生態(tài)系統(tǒng)的安全性時,最有可能出現(xiàn)這種情況。
選擇適合云安全戰(zhàn)略的路線圖
那么,組織如何選擇更適合應(yīng)對云安全挑戰(zhàn)的方法?考慮采用一種強調(diào)框架和標準的方法。然后根據(jù)服務(wù)是否適合這個生態(tài)系統(tǒng)來選擇服務(wù)。這可能會增加服務(wù)的前期成本,但可能會在以后減少管理成本。
采用既廣泛又統(tǒng)一的混合云和多云提供商的云安全策略,組織可以構(gòu)建一種安全的、易于構(gòu)建、管理和維護的云計算環(huán)境。