導讀:隨著云計算服務支出比以往任何時候都要多,全球主要的公共云提供商之間爭奪市場份額的斗爭日益激烈。他們采用的提高云計算客戶忠誠度的策略往往會加劇這些客戶面臨的云安全挑戰(zhàn)。
研究表明,在2020年第二季度,全球客戶在公共云服務的支出首次超過了非云IT系統(tǒng)的支出。隨著云計算服務支出比以往任何時候都要多,全球主要的公共云提供商之間爭奪市場份額的斗爭日益激烈。他們采用的提高云計算客戶忠誠度的策略往往會加劇這些客戶面臨的云安全挑戰(zhàn)。
此外,許多客戶希望避免被某個云計算提供商鎖定。通過采用多云,可以更多地獲得將其業(yè)務遷移到云平臺的好處。如今,越來越少的客戶采用單個公共云提供商的云平臺。與其相反,93%的客戶采用多云,并且大多數采用公共云、私有云以及內部部署設施的混合部署環(huán)境。
云安全的主要挑戰(zhàn)是什么?
組織在云安全方面面臨挑戰(zhàn),意味著其安全團隊的任務需要為應用混合云或多云采用新的策略和措施。
多云和混合云策略都可能為云安全帶來挑戰(zhàn)。云計算部署使IT運營變得更加復雜,即使減少了管理物理設施的需求。多云也為組織的安全團隊帶來了負擔,他們通常難以在多云環(huán)境中保持洞察力。組織避免云計算提供商鎖定的做法可能導致多個云計算提供商的平臺和軟件即服務(SaaS)應用讀取大量信息。它們可以存儲在集成度較差的不同的數據孤島中,這使得創(chuàng)建高效的監(jiān)視和事件響應工作流變得非常困難。
其他云安全挑戰(zhàn)來自更復雜的數據導致缺乏控制的方式。當組織使用來自多個云計算提供商的架構和服務交付模型時,要確保全面滿足數據保護標準所需的精細控制就變得更加困難。
在公共云的應用中,快速的變化已經成為了一種常態(tài),這只會增加問題的嚴重性。公共云提供商不斷地改變他們的產品,通常是為了讓客戶更難將工作負載轉移到競爭對手的云平臺上。因此,及時了解潛在問題變得越來越困難。
如果負責監(jiān)視威脅、檢測安全事件和風險以及協(xié)調工作流的組織團隊無法滿足安全需求,那么在任何云計算環(huán)境中都無法真正確保安全。如果這些措施使組織的工作變得十分混亂,以至于導致錯誤或泄露云計算資源的數據,那么就不是有效節(jié)省成本的措施。
確保云環(huán)境安全的最佳安全實踐
(1)注意配置錯誤
防止配置錯誤,這是大多數云計算數據泄露中仍然存在的問題。
在2019年報告的數據泄露事件中,五分之一以上的事件是由于配置錯誤造成的,并且在所有情況下,都是由于人為錯誤造成的。
但是,“不要犯錯誤”說起來容易做起來難。涉及的大多數團隊并沒有意識到他們有責任解決應該歸咎的具體問題。在其他情況下,他們缺乏審核配置的工具。
組織必須為IT運營人員提供支持和培訓,并確保安全團隊對云計算平臺有足夠的了解。使用云原生工具來監(jiān)視常見的錯誤配置(包括存儲桶風險)也可能會有所幫助。
(2)默認加密
在默認情況下,對靜態(tài)數據進行加密。
盡管加密本身并不能防止數據泄露,但它確實提供了另一層保證,即在發(fā)生漏洞時,數據不會被泄露。這只是一個額外的保護措施,但它在多云供應商的安全防護中起著關鍵作用。自動化工具有助于深入了解每個云存儲桶是否啟用了加密措施。
(3)維護身份和訪問管理控制
組織仔細維護身份和訪問管理(IAM)解決方案,以解決一些最常見的云安全問題。
在基于云計算的混合環(huán)境中,憑據泄露是一個重大威脅。眾所周知,這類攻擊難以快速檢測。在內部部署設施托管的身份和訪問管理(IAM)解決方案在混合云和多云環(huán)境中往往無法很好地工作。針對混合云環(huán)境(例如使用輕量級目錄訪問協(xié)議(LDAP)的混合環(huán)境)專用的身份和訪問管理(IAM)解決方案有著良好的發(fā)展前景。基于硬件令牌的服務也是如此,例如谷歌公司的Titan安全密鑰或YubiKey。
(4)監(jiān)控環(huán)境
有效的監(jiān)控對于面對混合部署和云安全挑戰(zhàn)至關重要。
組織的安全運營流程和工作流程需要與云計算技術的發(fā)展保持同步。在解決云安全問題時為員工提供支持并幫助他們提高技能至關重要。
組織采用自動化解決方案來幫助分析師收集和監(jiān)視由云平臺創(chuàng)建的不斷增長的日志數據,而不會因誤報而陷于困境,這是關鍵。SOAR平臺(基于開源技術和標準的平臺)可以跨多個云計算提供商的工具和云計算提供商的平臺使用。它們簡化了事件分類和響應。人工智能和機器學習輔助工具還可以幫助過濾數據以減少警報。
(5)權衡成本和收益
在設計多云提供商的計劃時,需要仔細權衡。
每件事都有利弊,多云也是如此。從一系列公共云提供商中選擇云計算服務和云平臺的主要好處包括潛在的成本節(jié)省,以及開發(fā)團隊有機會選擇更適合優(yōu)化應用程序性能的平臺。
另一方面,這意味著組織可以創(chuàng)建一個技能差距很大的工作流程。當需要在平臺之間移動數據或管理整個生態(tài)系統(tǒng)的安全性時,最有可能出現(xiàn)這種情況。
選擇適合云安全戰(zhàn)略的路線圖
那么,組織如何選擇更適合應對云安全挑戰(zhàn)的方法?考慮采用一種強調框架和標準的方法。然后根據服務是否適合這個生態(tài)系統(tǒng)來選擇服務。這可能會增加服務的前期成本,但可能會在以后減少管理成本。
采用既廣泛又統(tǒng)一的混合云和多云提供商的云安全策略,組織可以構建一種安全的、易于構建、管理和維護的云計算環(huán)境。