擔心混合雲有風(fēng)險？三大(dà)秘訣助你(nǐ)撥開(kāi)雲霧，管控安全

調查顯示，目前幾乎所有的企業都在使用(yòng)多家雲提供商和(hé)大(dà)量基于雲的解決方案。也(yě)就是說企業IT已經接受了(le)混合雲模型。 分析公司IDC預計(jì)，到(dào)2022年，全球90%以上(shàng)的企業将擁有多個公有雲。據IT管理(lǐ)解決方案提供商Flexera發布的《2020年雲現(xiàn)狀報(bào)告》顯示，93%的企業部署了(le)混合雲戰略，這(zhè)一百分比高(gāo)于兩年前的81%。目前受訪者平均使用(yòng)的公有雲和(hé)私有雲均爲2.2個。但(dàn)是傳統企業中公有雲和(hé)私有雲以及SaaS應用(yòng)程序越來(lái)越多的組合也(yě)帶來(lái)了(le)許多安全問題。在Flexera的調查中，約83%的企業将安全性列爲挑戰，高(gāo)于對(duì)雲支出的管理(lǐ)(82%)和(hé)治理(lǐ)(79%)。 咨詢公司Protiviti的新興技術和(hé)全球雲實踐主管Randy Armknecht說：“混合雲給安全團隊帶來(lái)的挑戰正在持續增長。服務的發布數量、新的交互方式、服務與系統的互連，所有的這(zhè)些(xiē)都在不斷發展，同時(shí)也(yě)爲企業安全模型增加了(le)新的複雜(zá)性。” 混合雲環境的安全性被高(gāo)度關注并不意外(wài)。因爲首席信息安全官們已經意識到(dào)他(tā)們需要保護的範圍已經從(cóng)企業内部的基礎設施變成了(le)分布在不同廠(chǎng)商中的計(jì)算(suàn)資源網。要命的是，這(zhè)些(xiē)廠(chǎng)商提供的服務級别和(hé)安全承諾各不相同。這(zhè)種環境爲惡意軟件攻擊、數據洩露、違規和(hé)彈性問題帶來(lái)了(le)更多的漏洞。畢馬威(KPMG)技術風(fēng)險實踐業務的合夥人Sai Gadia說，混合雲架構的複雜(zá)性正在成爲一種攻擊向量。“如果傳統的人員、流程或技術中存在漏洞，那麽不法分子就會(huì)尋求機會(huì)利用(yòng)這(zhè)些(xiē)漏洞。” 複雜(zá)性越來(lái)越高(gāo) 技術供應商Blissfully在《2020年SaaS趨勢報(bào)告》中指出，目前傳統的企業IT基礎設施和(hé)解決方案堆棧不僅包括了(le)公有雲和(hé)私有雲部署，還包括了(le)大(dà)量不同的SaaS産品(平均數量爲288種)。 不同構成要素有着不同的安全要求，内置的安全功能(néng)的級别和(hé)類型也(yě)各不相同。各家雲提供商使用(yòng)工(gōng)具也(yě)不盡相同，即便是同一類工(gōng)具，他(tā)們的術語往往也(yě)不一樣。此外(wài)，這(zhè)些(xiē)雲提供商在安全方面的責任也(yě)是不同的。所有這(zhè)些(xiē)都迫使首席信息安全官不得不将它們整合爲一個整體，以記錄雲服務的安全功能(néng)是否夠用(yòng)，是否需要更多的安全性，以及在何處需要什(shén)麽樣的額外(wài)安全措施。 451 Research負責信息安全渠道(dào)的高(gāo)級研究分析師Garrett Bekker說：“我們通常認爲雲服務可以讓我們的生活變得更簡單，并且它們可以通過多種方式實現(xiàn)，可以爲我們提供很(hěn)多好(hǎo)處。但(dàn)是從(cóng)安全的角度來(lái)看(kàn)，由于它們要做的事(shì)情太多，因此也(yě)增加了(le)很(hěn)多複雜(zá)性。” 在甲骨文(wén)和(hé)畢馬威(KPMG)的《2020年雲威脅報(bào)告》中，受訪者認爲複雜(zá)性是一項重大(dà)挑戰。其中，70%的受訪者認爲保護其公有雲足迹需要太多的專用(yòng)工(gōng)具，78%的受訪者則指出，在雲端駐留和(hé)本地應用(yòng)程序之間需要在不同的安全策略和(hé)流程。 這(zhè)些(xiē)問題又帶來(lái)了(le)另一個我們熟悉的安全問題：缺乏可見性。 Security Curve的創始合夥人兼ISACA(國際信息系統審計(jì)協會(huì))混合雲環境安全影響管理(lǐ)團隊的首席開(kāi)發者Ed Moyle指出：“用(yòng)戶難以從(cóng)各家提供商那裏獲得所有的不同信息，以确定統一的管理(lǐ)視(shì)角。” Very Good Security的首席信息安全官Kathy Wang稱，可見性挑戰來(lái)自(zì)多個層面。例如，企業安全團隊無法深入了(le)解企業的所有雲部署(尤其是那些(xiē)由業務部門(mén)直接購買的SaaS産品)。即使這(zhè)樣做了(le)，他(tā)們也(yě)仍然難以監控所有的雲部署并從(cóng)中發現(xiàn)問題。另外(wài)，對(duì)事(shì)件管理(lǐ)工(gōng)具的數據進行編譯和(hé)解讀也(yě)是一件非常困難的事(shì)情。 制定策略 制定混合雲安全策略首先要确定企業使用(yòng)的所有雲，确保企業擁有強大(dà)的數據治理(lǐ)程序以指導與雲相關的安全決策，以及在正确的位置部署正确的工(gōng)具，從(cóng)而确保控制級别适當。 在《混合雲環境安全性影響管理(lǐ)》報(bào)告中，ISACA指出，“要想讓多家提供商都能(néng)發揮作(zuò)用(yòng)，企業必須調整他(tā)們的工(gōng)具、流程、監控功能(néng)、運營思路，以及與安全規劃相關的諸多要素。” Gadia認爲目前首席信息安全官正在朝着這(zhè)個方向發展。他(tā)指出，甲骨文(wén)和(hé)畢馬威的調查報(bào)告顯示，企業的雲安全架構師的數量要多于安全架構師。盡管如此，許多安全團隊還需要進一步增加具備能(néng)夠創建安全雲架構所需全部技能(néng)的人員數量。 以下(xià)是增強混合雲安全性的三大(dà)關鍵步驟。 關注應用(yòng)程序和(hé)數據 混合雲環境中應用(yòng)程序安全的重要性不可低(dī)估。Micro Focus公司的安全風(fēng)險與治理(lǐ)主管RamsésGallego說：“如今，依靠強大(dà)而可靠的方法來(lái)強化和(hé)保護應用(yòng)程序的安全比以往任何時(shí)候都更重要。這(zhè)意味着不僅要确保代碼沒有漏洞，同時(shí)還要确保應用(yòng)程序正在使用(yòng)的庫被及時(shí)更新且沒有漏洞。” Gallego補充說：“數據管理(lǐ)、數據最小(xiǎo)化以及最重要的數據匿名化和(hé)加密是企業要構建混合雲架構的支柱。和(hé)土木(mù)工(gōng)程一樣，基礎必須牢固，并且按照一些(xiē)法規中要求的那樣，必須要有适當的數據屏蔽和(hé)數據隐藏策略。” 使用(yòng)正确的工(gōng)具 考慮到(dào)嵌入在不同雲産品中的安全功能(néng)的變化，将工(gōng)具與技術進行适當組合可以滿足不同企業的雲解決方案組合。首席信息安全官需要明(míng)确哪些(xiē)解決方案在哪裏工(gōng)作(zuò)，并選擇可以跨越雲環境的解決方案，從(cóng)而爲安全場景創建單一的管理(lǐ)平台。 專家建議(yì)引入雲訪問安全代理(lǐ)(CASB)，以及可在企業和(hé)雲服務提供商之間強化身份驗證、憑證映射、設備配置文(wén)件、加密和(hé)惡意軟件檢測等安全措施的軟件。 此外(wài)，專家還建議(yì)使用(yòng)雲安全狀态管理(lǐ)(CSPM)。這(zhè)是一種更新的技術，其可根據安全要求評估企業雲環境，從(cóng)而保證雲配置能(néng)夠持續滿足相關的要求與規定。 非營利性組織雲安全聯盟(CSA)下(xià)設的ERP安全工(gōng)作(zuò)組的研究員Juan Perez-Etchegoyen說：“ CASB雖然很(hěn)重要，但(dàn)是它們的重點是SaaS。相比之下(xià)，CSPM則更爲全面地專注于所有雲服務模型(IaaS、PaaS、SaaS)。” 增強安全性 安全領導者還建議(yì)首席信息安全官采取零信任态度，并大(dà)力部署可支持零信任安全模型的技術。該模型會(huì)假設連接是不可信的，除非它們可以證明(míng)自(zì)己是可信的。 Gadia說：“在零信任安全模型中，雲資産的安全性不依賴于擴展網絡中的受信用(yòng)戶和(hé)設備。零信任隻取決于需要的最低(dī)特權/訪問權限。在允許用(yòng)戶訪問雲環境中的資源之前，所有用(yòng)戶和(hé)設備都需要經過驗證。” Moyle表示，雖然這(zhè)種思維方式将所有未經驗證的東西都視(shì)爲不可信任，但(dàn)是它們可幫助安全團隊保護企業免受未經批準的雲部署、影子IT以及安全性不達标的雲提供商的侵擾。Moyle解釋說：“這(zhè)并不是說提供商無法提供很(hěn)好(hǎo)的安全性，這(zhè)隻是預先假定環境是危險的，并爲此進行了(le)有針對(duì)性的設計(jì)而已。” 最後，專家建議(yì)，那些(xiē)希望提高(gāo)混合雲環境安全性的首席信息安全官先确保已有能(néng)夠支持相關安全标準的流程，同時(shí)完成長期一直主導安全性的傳統的人員-流程-技術方法的改造和(hé)更新。 這(zhè)些(xiē)工(gōng)作(zuò)需要企業内部所有相關部門(mén)之間進行協作(zuò)，從(cóng)而在業務需求、安全目标和(hé)合規性義務之間實現(xiàn)平衡。 451 Research的信息安全團隊首席研究分析師Fernando Montenegro說：“關于如何對(duì)雲進行風(fēng)險管理(lǐ)、組織内部如何進行雲開(kāi)發，以及如何通過技術做出風(fēng)險決策等問題需要進行更高(gāo)層級的戰略對(duì)話(huà)。”他(tā)指出，許多首席信息安全官及其團隊在項目周期的早期就開(kāi)始與開(kāi)發人員和(hé)相關部門(mén)展開(kāi)了(le)合作(zuò)，以确保安全性在一開(kāi)始就被充分考慮。 作(zuò)者：計(jì)算(suàn)機世界? 來(lái)源：今日頭條