将工作负载迁移到云可以提高数据和操作的速度和可伸缩性,并增强用户体验,从而使企业受益. 现在,公司董事会的讨论围绕着数据保护和数据隐私受损展开. 而采用云通过提供更强大的功能来简化生活, 它还增加了威胁向量,使端到端安全性更难部署,从而使生活变得复杂.
如今,许多组织对将关键数据存储在公共云中持谨慎态度. 保护云实例取决于定义良好的, 基于工作负载是否托管在软件即服务(SaaS)上的企业(租户)和服务提供商之间的共享责任模型, 平台即服务(PaaS), 基础设施即服务(IaaS)或本地数据中心. 而“共享责任”中的“share”则表示双方(提供者和客户)在模型中都有义务要履行, 客户仍然有责任确保适当的谨慎. 这是因为客户拥有他们的数据.
云中的错误配置
错误配置即使不是最大的安全风险,也是云环境最大的安全风险之一. 如果没有正确的控制,它们很容易被创建并且很难被检测到. 云资源的快速发展也为失误和偷工减料创造了充足的机会. 许多人都听说过将特权凭证和密钥存储在面向公众的数据库中的恐怖故事, 开放存储服务. 这是一个对速度和便利的渴望产生强烈影响的例子.
建立公共云环境所需的工作允许技能集的快速崩溃. 真正擅长在公共云中配置工作负载, 你必须善于交际, 基础设施和安全. It’s often software developers and application teams who adopt cloud before other teams; if they aren’t experienced or properly supervised as they design the cloud network and infrastructure with the appropriate permissions and access controls, 这很可能会导致人们对安全问题的担忧,以及高得惊人的消费成本.
许多正在经历这类场景并意识到危险的组织已经开始关注云安全状态管理工具. 这些工具为安全操作团队提供了两种主要类型漏洞的关键可见性:1)需要修补的漏洞, 就像一个过时的软件版本, 或者2)配置错误, 例如无意中暴露在面向公众的子网中的VM.
云安全中的可见性问题
想想看:帝一娱乐平台现在正处于这样一个时刻:一个组织的数据经常在云到云之间发送,而不需要通过客户的本地网络返回. 当涉及到云安全时,这就造成了可见性方面的实际问题. 云环境是流动的, scalable and beyond the boundaries of our corporate networks; cloud security is a matter of enhancing visibility and building new boundaries where there are none.
在云安全转型的对话中,帝一娱乐平台经常听到“零信任”这个流行词, 但真正的第一步是建立界限, 在帝一娱乐平台的云环境内部和之间. 这是通过正确的工具和服务来实现的,这些工具和服务可以监控和控制这些细分之间和内部的南北和东西流量.
云快速转型,云安全也必须如此
使云环境的流动性和可扩展性复杂化, 其中使用的服务是不断变化的. 新服务经常可用, 获得这些新服务是一场持续的追逐游戏. API安全性的工具和最佳实践, 无服务器和功能安全, 容器安全性和基础设施即代码安全性, 等. 必须是组织关注的关键领域,因为它们在工作负载和服务中变得越来越普遍.
元结构层
随着企业越来越依赖云, 必须组织安全控制并将其映射到不同的层. 云的关键决定性属性之一是所谓的“元结构层”.“而应用程序安全是在应用结构层进行管理的, 数据安全在基础设施层进行管理, 基础设施安全在基础设施层进行管理, 它是云安全中的元结构层,提供基础设施层和所有其他层之间的接口. 这一层通常被称为云环境的“管理平面”.
下面的图2说明了这些层及其相应的安全控制级别. 云安全与传统计算安全的关键区别在于元结构级别. 元结构中的服务是支持网络的, 可远程访问,通常为云提供商和客户提供安全测试.
云服务提供商(CSP), 谁经常证明在保护他们的系统方面有足够的安全操作, 还要在确定必须透露多少细节以防止可能破坏服务和影响租户环境可用性的错误配置方面发挥关键作用.
元结构可以被视为云服务提供商/客户的分界线(a.k.a. “水线”). 水线以上, 云消费者必须实现云应用程序才能安全地利用云平台和底层服务. 水线以下的一切都是CSP的责任. 不管, 因为这一层包含了管理和控制功能, 它需要强大的加固技术来增强安全状态.
图1:剖析云层
保护元结构
因为许多最新的风险都围绕着错误的配置和身份验证, 企业必须确保在“水线”以上的每一层都有清晰的可视性和控制力.“许多采用云计算的新兴数字原生和数字移民公司仍然将安全作为事后的考虑. 上市速度是他们的首要关注点,而安全性往往被忽视.
以避免错误配置和保护元结构级别涉及的协议和机制, 公司必须避免应用程序不是云就绪的或为云环境设计的. 在很多情况下, 先进的初始云采用的“提升和转移”方法迫使许多企业回到绘图板上重新构建利用先进云服务的应用程序. 这项工作将把安全应用程序开发生命周期中的许多安全控制向上移动到图2所示的层堆栈中.
仍然, 企业正在努力弥补技术栈中较高的安全漏洞,因为它们对数据和应用程序控制更加微妙和特定. 将安全控制绑定到应用程序开发生命周期(例如CI/CD管道)可以帮助缩小这些差距.
向云的过渡需要实现适当的安全架构和嵌入式安全,以抵御网络攻击,并在设计阶段和整个过程中尽早提供适当的保护措施.
帝一娱乐平台帮助企业检测错误配置并确定优先级,增强云安全可见性. 帝一娱乐平台提供专家咨询服务,帮助客户设计安全措施, 构建阶段的控制和过程,以及开发云策略,以解决迁移到和运行云环境时最常见的错误配置和漏洞. 帝一娱乐平台,讨论帝一娱乐平台如何为您提供支持.
作者简介
