调查显示,目前几乎所有企业都在使用多家云提供商和大量基于云的解决方案。也就是说,企业IT已经接受了混合云模型。
分析公司IDC预计到2022年,全球90%以上的企业将拥有多个公有云。IT管理解决方案提供商Flexera根据发布的《2020年云现状报告》,93%的企业部署了混合云战略,比两年前高出81%。目前,受访者平均使用公共云和私有云2.2个。
但在传统企业中,公有云和私有云SaaS越来越多的应用程序组合也带来了许多安全问题。Flexera约83%的企业将安全性列为挑战,高于云支出管理(82%)和治理(79%)。
咨询公司Protiviti新兴技术和全球云实践总监Randy Armknecht说:“混合云给安全团队带来的挑战正在继续增长。服务发布的数量、新的交互方式、服务和系统的连接都在不断发展,也为企业安全模式增加了新的复杂性。”
混合云环境的安全性并不奇怪。因为首席信息安全官已经意识到,他们需要保护的范围已经从企业内部的基础设施转变为分布在不同制造商中的计算资源 *** 。致命的是,这些制造商提供不同的服务水平和安全承诺。这种环境给恶意软件攻击、数据泄露、违规和弹性带来了更多的漏洞。(KPMG)技术风险实践业务的合伙人Sai Gadia混合云架构的复杂性正成为攻击向量。“如果传统的人员、流程或技术存在漏洞,犯罪分子将寻求利用这些漏洞的机会。”
复杂性越来越高
技术供应商Blissfully在《2020年SaaS趋势报告指出,目前传统企业IT堆栈的基础设施和解决方案不仅包括公共云和私有云部署,还包括许多不同的SaaS产品(平均288种)。
不同的组成要素有不同的安全要求,内置安全功能的级别和类型也不同。云提供商使用不同的工具,即使是相同的工具,他们的术语也往往不同。此外,这些云提供商在安全方面也有不同的责任。所有这些都迫使首席信息安全官将其整合成一个整体,以记录云服务的安全功能是否足够,是否需要更多的安全,以及在哪里需要什么额外的安全措施。
451 Research高级研究分析师负责信息安全渠道Garrett Bekker说:“我们通常认为云服务可以让我们的生活更简单,它们可以通过各种方式实现,并为我们提供很多好处。但从安全的角度来看,它也增加了很多复杂性,因为他们必须做太多的事情。”
甲骨文和毕马威(KPMG)在2020年云威胁报告中,受访者认为复杂性是一个重大挑战。其中,70%的受访者认为保护其公共云足迹需要太多的特殊工具,78%的受访者指出,在云停留和本地应用之间需要不同的安全策略和流程。
这些问题给我们带来了另一个熟悉的安全问题:缺乏可见性。
Security Curve创始合伙人兼ISACA(国际信息系统审计协会)混合云环境安全影响管理团队审计协会)Ed Moyle指出:“为了确定统一的管理视角,用户很难从每个提供商那里获得所有不同的信息。”
Very Good Security首席信息安全官Kathy Wang可见性挑战来自多个层次。例如,企业安全团队无法深入了解企业的所有云部署(特别是业务部门直接购买的)SaaS产品)。即便如此,他们仍然很难监控所有的云部署并发现问题。此外,编译和解释事件管理工具的数据也非常困难。
制定策略
制定混合云安全策略,首先要确定企业使用的所有云,确保企业有强大的数据处理程序,指导与云相关的安全决策,并在正确的位置部署正确的工具,以确保适当的控制水平。
在《混合云环境安全影响管理》报告中,ISACA指出,“为了使许多供应商发挥作用,企业必须调整其工具、流程、监控功能、运营理念和许多与安全规划相关的因素。”
Gadia认为首席信息安全官正朝着这个方向发展。他指出,甲骨文和毕马威的调查报告显示,企业云安全架构师的数量超过了安全架构师。然而,许多安全团队需要进一步增加能够创建安全云架构所需的所有技能的人数。
以下是提高混合云安全性的三个关键步骤。
关注应用程序和数据
应用程序安全在混合云环境中的重要性不容低估。Micro Focus公司的安全风险和治理主管RamsésGallego说:“如今,强化和保护应用程序的安全比以往任何时候都更重要。这意味着不仅要确保代码没有漏洞,还要确保应用程序中使用的数据库及时更新,没有漏洞。”
Gallego补充说:“数据管理、数据最小化和最重要的数据匿名性和加密是企业构建混合云架构的支柱。与土木工程一样,基础必须牢固,必须有适当的数据屏蔽和数据隐藏策略。”
使用正确的工具
考虑到嵌入不同云产品的安全功能的变化,工具和技术的适当组合可以满足不同企业的云解决方案组合。首席信息安全官需要明确哪些解决方案在哪里工作,并选择可以跨越云环境的解决方案,为安全场景创建一个单一的管理平台。
专家建议引入云访问安全 *** (CASB),以及可以加强身份验证、凭证映射、设备配置文件、加密、恶意软件检测等安全措施的软件。
此外,专家还建议使用云安全状态管理(CSPM)。这是一种可根据安全要求评估企业云环境的更新技术,以确保云配置能够继续满足相关要求和规定。
非营利性组织云安全联盟(CSA)下设的ERP安全工作组的研究员Juan Perez-Etchegoyen说:“ CASB虽然很重要,但重点是SaaS。相比之下,CSPM更全面地关注所有云服务模型(IaaS、PaaS、SaaS)。”
增强安全性
安全领导还建议首席信息安全官采取零信任态度,大力部署可支持零信任安全模型的技术。除非他们能证明自己可信,否则该模型将假设连接是不可信的。
Gadia说:“在零信任安全模型中,云资产的安全不依赖于扩展 *** 中的可信用户和设备。零信任仅取决于所需的更低特权/访问权。所有用户和设备都需要验证,才能允许用户访问云环境中的资源。”
Moyle虽然这种思维方式认为所有未经验证的事情都是不可信的,但它们可以帮助安全团队保护企业免受未经批准的云部署和阴影IT以及云提供商的侵扰,安全性不达标。Moyle解释说:“这并不意味着供应商不能提供良好的安全性。这只是假设环境是危险的,并为此进行了有针对性的设计。”
最后,专家建议,希望提高混合云环境安全性的首席信息安全官应首先确保能够支持相关安全标准的过程,并完成长期主导安全的传统人员-流程-改造和更新技术 *** 。
这些工作需要企业内部所有相关部门之间进行协作,从而在业务需求、安全目标和合规性义务之间实现平衡。
451 Research信息安全团队首席研究分析师Fernando Montenegro说:“需要更高层次的战略对话,如何管理云,如何在组织内开发云,如何通过技术做出风险决策。”他指出,许多首席信息安全官及其团队在项目周期的早期就开始与开发人员和相关部门展开了合作,以确保安全性在一开始就被充分考虑。