雲計(jì)算(suàn)面臨的可見性挑戰及如何在多雲中獲得可見性

事(shì)實表明(míng)，人們無法保護看(kàn)不到(dào)的東西。正在将業務遷移到(dào)公有雲或已經在雲平台運行的企業面臨可見性的挑戰。在雲安全策略方面，可見性就是一切。在理(lǐ)想的運營環境中，跨多雲的端到(dào)端可見性爲企業提供了(le)有效管理(lǐ)風(fēng)險所需的場景知(zhī)識。 根據雲計(jì)算(suàn)安全聯盟最近對(duì)200名IT和(hé)安全專業人員進行的調查，三分之二的人對(duì)雲計(jì)算(suàn)可見性缺乏信心。雲計(jì)算(suàn)安全聯盟在其“雲計(jì)算(suàn)的主要威脅”中列出了(le)雲計(jì)算(suàn)使用(yòng)可見性。此外(wài)，與可見性相關的風(fēng)險導緻缺乏治理(lǐ)、意識和(hé)安全性，從(cóng)而導緻雲中的數據洩露。 雲計(jì)算(suàn)可見性的挑戰 企業目前是否希望了(le)解哪些(xiē)人員可以訪問其雲平台中的數據?而這(zhè)并不是孤例。很(hěn)多企業在雲平台的數據都缺乏可見性，從(cóng)而導緻更多的風(fēng)險。以下(xià)是企業面臨的一些(xiē)主要挑戰： (1)挑戰1：确保人類與非人類身份的安全 雲安全團隊在身份驗證(例如訪問者的身份和(hé)位置、是人類還是非人類等考慮因素)及其有效權限方面面臨可見性挑戰。例如，雲計(jì)算(suàn)架構在任何時(shí)候都有數百個資源在運行，而大(dà)量的人類或非人類的身份都可以訪問。如何确保所有這(zhè)些(xiē)身份的安全訪問，對(duì)于雲安全團隊來(lái)說是一項獨特的挑戰。 身份可以承擔具有特定權限的角色。首先，很(hěn)多人過度使用(yòng)權限。其次，由于雲計(jì)算(suàn)的短暫性，其權限的濫用(yòng)可以完全隐藏在具有間歇性的審計(jì)時(shí)間框架的監控服務中。最後，更複雜(zá)的是特權身份可以根據需要切換角色，産生未經檢查的升級特權的臨時(shí)權限鏈。 其解決方案是采用(yòng)持續有效的權限監控。安全團隊依賴于以“一個用(yòng)戶(人類)，一個身份”的概念構建身份管理(lǐ)規則。這(zhè)種類型的管理(lǐ)可以防止特定于雲平台的新型特權濫用(yòng)。身份的潛在訪問路徑不是線性的，而是相互關聯的角色、特權升級能(néng)力、權限、信任關系和(hé)用(yòng)戶組網絡的一部分。提供對(duì)每個身份的詳細可見性的圖形功能(néng)是确保最低(dī)權限執行的唯一方法。 (2)挑戰2：确保數據安全 企業的團隊必須跟蹤在多雲環境中訪問的大(dà)量數據。因此，在任何給定時(shí)刻，每個身份都會(huì)訪問大(dà)量數據。所有這(zhè)些(xiē)沒有多雲端到(dào)端可見性的數據訪問都會(huì)導緻風(fēng)險。 傳統的數據保護工(gōng)具缺乏對(duì)數據的場景理(lǐ)解，例如敏感性或雙因素身份驗證。例如，企業可能(néng)會(huì)将敏感的數據保存在配置錯誤的AWS S3存儲桶中，而該存儲桶未标記。如果沒有對(duì)企業的數據的場景可見性，就不會(huì)知(zhī)道(dào)是否受到(dào)保護。 即使知(zhī)道(dào)敏感數據在哪裏，雲安全團隊也(yě)面臨着了(le)解其去向的挑戰。因爲數據可以在多雲環境中駐留和(hé)移動。然而，雲安全團隊會(huì)發現(xiàn)在沒有标準化的單一數據移動視(shì)圖的情況下(xià)持續監控數據具有挑戰性。 (3)挑戰3：克服複雜(zá)性 最重要的是，雲計(jì)算(suàn)在本質上(shàng)是複雜(zá)的。而負載計(jì)算(suàn)工(gōng)作(zuò)可能(néng)在幾分鐘(zhōng)甚至幾秒鐘(zhōng)内加速和(hé)減速。因此，雲計(jì)算(suàn)的短暫性使得以完全可見的方式持續監控資源變得更加困難。 也(yě)就是說，當開(kāi)發人員在沒有預先考慮引入複雜(zá)性的情況下(xià)迅速加快(kuài)生産進度時(shí)，雲計(jì)算(suàn)的複雜(zá)性就會(huì)增加。利益相關者通常希望加快(kuài)開(kāi)發速度，以添加具有無數端點的身份和(hé)資源。他(tā)們的理(lǐ)解是雲計(jì)算(suàn)提供了(le)無限的可擴展性，但(dàn)他(tā)們誤認爲雲計(jì)算(suàn)是始終保持資産安全的最終解決方案，事(shì)實并非如此。 不幸的是，雲計(jì)算(suàn)的複雜(zá)性繼續增長。當身份是邊界時(shí)，安全團隊需要一種簡化的方式來(lái)查看(kàn)身份如何訪問資源。 (4)挑戰4：各個雲計(jì)算(suàn)供應商的不同安全模型 每個雲計(jì)算(suàn)提供商的雲安全模型處理(lǐ)方式不同，并沒有實現(xiàn)标準化。他(tā)們的雲安全模型不涉及第三方數據存儲。雲計(jì)算(suàn)供應商通常需要使用(yòng)低(dī)級工(gōng)具，其中一個錯誤配置就會(huì)導緻災難性的結果。雲計(jì)算(suàn)提供商安全工(gōng)具一旦離開(kāi)雲平台就不會(huì)跟蹤數據，從(cóng)而導緻可見性差距。 如何在多雲中獲得可見性 企業在公有雲中獲得可見性的能(néng)力取決于從(cóng)雲平台中獲取所需數據的訪問權限。IT專業人員可以使用(yòng)涵蓋雲計(jì)算(suàn)資源的雲安全平台解決方案來(lái)做到(dào)這(zhè)一點。 (1)Sonrai安全可以提供幫助 Sonrai Dig可以提供跨多雲的完整可見性，當企業處理(lǐ)成百上(shàng)千個帳戶時(shí)，采用(yòng)Sonrai Dig可以了(le)解跨越多個雲平台的身份和(hé)數據，提供跨多雲的規範化視(shì)圖以及對(duì)雲計(jì)算(suàn)身份和(hé)數據訪問的控制。 (2)身份安全 Sonrai Dig發現(xiàn)、規範化并在圖表上(shàng)顯示AWS賬戶、Azure訂閱和(hé)GCP項目的所有結果。其圖表公開(kāi)了(le)所有身份，并提供了(le)對(duì)每個角色、特權、權限、信任關系和(hé)組的詳細可見性。這(zhè)讓團隊了(le)解他(tā)們的有效權限。Sonrai提供對(duì)身份鏈的可見性。人們可以看(kàn)到(dào)身份、他(tā)們所屬的組、策略和(hé)信任關系，可以了(le)解他(tā)們的權限如何增加訪問權限。有了(le)這(zhè)種理(lǐ)解，團隊就有了(le)一個可行的路線圖來(lái)實現(xiàn)最小(xiǎo)特權。 (3)數據安全 借助Sonrai Dig，企業的團隊可以發現(xiàn)并持續監控數據存儲，以圖形方式映射哪些(xiē)數據存在、存在于何處(包括敏感的數據)、可以訪問它的内容、發生了(le)什(shén)麽以及它去了(le)哪裏。團隊可以鎖定結構化數據和(hé)非結構化數據，并通過跨多雲的深入分析功能(néng)對(duì)其進行持續監控。 企業的團隊可以識别敏感數據，并将其分類。通過對(duì)數據進行分類，他(tā)們可以确定哪些(xiē)數據已經鎖定，哪些(xiē)數據需要鎖定，并采取措施降低(dī)風(fēng)險。 (4)智能(néng)雲安全态勢管理(lǐ)(CSPM) Sonrai Dig的智能(néng)雲安全态勢管理(lǐ)(CSPM) 可以爲企業提供完整的可見性，其中包括其環境的場景知(zhī)識。将會(huì)發現(xiàn)所有資源并确保企業安全地配置他(tā)們采用(yòng)的多雲。因此，該平台提供何時(shí)發生漂移的檢測，如果與既定的安全基線有偏差，Sonrai Dig會(huì)提醒企業立即進行審查和(hé)修複。 智能(néng)雲安全态勢管理(lǐ)(CSPM) 平台擁有開(kāi)箱即用(yòng)的框架。而内部治理(lǐ)控制(NISTCSF、ISO27001)、既定的監管框架(HIPAA、PCI-DSS、SOC2)和(hé)法律(歐盟GDPR)可以顯著地減少實施這(zhè)些(xiē)框架所需的繁重工(gōng)作(zuò)。 (5)治理(lǐ)自(zì)動化 Sonrai Dig提供智能(néng)工(gōng)作(zuò)流程和(hé)自(zì)動修複功能(néng)，與左移安全方法保持一緻。企業能(néng)夠以多雲的速度和(hé)複雜(zá)性解決風(fēng)險，在問題變得更加嚴重之前發現(xiàn)并解決。 企業通過治理(lǐ)自(zì)動化可以在正确的時(shí)間将正确的問題發送給負責的團隊，這(zhè)樣可以減少警報(bào)疲勞。在原有的方法中，企業團隊需要對(duì)持續積壓的問題進行分類和(hé)修複。 Sonrai還集成了(le)企業的持續集成(CI)/持續交付(CD)管道(dào)，以真正了(le)解多雲中的風(fēng)險。當然，如果存在無法看(kàn)到(dào)的風(fēng)險，Sonrai Dig就會(huì)發現(xiàn)。Sonrai可以通過提醒負責的團隊或自(zì)動修複來(lái)解決問題。此外(wài)，企業還可以利用(yòng)Sonrai的内置預防機器人進行管理(lǐ)。