论文部分内容阅读
调查显示,目前几乎所有的企业都在使用多家云提供商和大量基于云的解决方案。也就是说企业IT已经接受了多云模型。
分析公司IDC预计,到2022年,全球90%以上的企业将拥有多个公有云。据IT管理解决方案提供商Flexera发布的《2020年云现状报告》显示,93%的企业部署了多云战略,这一百分比高于两年前的81%。目前受访者平均使用的公有云和私有云均为2.2个。
但是传统企业中公有云和私有云以及SaaS应用程序越来越多的组合也带来了许多安全问题。在Flexera的调查中,约83%的企业将安全性列为挑战,高于对云支出的管理(82%)和治理(79%)。
咨询公司Protiviti的新兴技术和全球云实践主管Randy Armknecht说:“多云给安全团队带来的挑战正在持续增长。服务的发布数量、新的交互方式、服务与系统的互连,所有的这些都在不断发展,同时也为企业安全模型增加了新的复杂性。”
多云环境的安全性被高度关注并不意外。因为首席信息安全官们已经意识到他们需要保护的范围已经从企业内部的基础设施变成了分布在不同厂商中的计算资源网。要命的是,这些厂商提供的服务级别和安全承诺各不相同。这种环境为恶意软件攻击、数据泄露、违规和弹性问题带来了更多的漏洞。毕马威(KPMG)技术风险实践业务的合伙人Sai Gadia说,多云架构的复杂性正在成为一种攻击向量。“如果传统的人员、流程或技术中存在漏洞,那么不法分子就会寻求机会利用这些漏洞。”
技术供应商Blissfully在《2020年SaaS趋势报告》中指出,目前传统的企业IT基础设施和解决方案堆栈不仅包括了公有云和私有云部署,还包括了大量不同的SaaS产品(平均数量为288种)。
不同构成要素有着不同的安全要求,内置的安全功能的级别和类型也各不相同。各家云提供商使用工具也不尽相同,即便是同一类工具,他们的术语往往也不一样。此外,这些云提供商在安全方面的责任也是不同的。所有这些都迫使首席信息安全官不得不将它们整合为一个整体,以记录云服务的安全功能是否够用,是否需要更多的安全性,以及在何处需要什么样的额外安全措施。
451 Research负责信息安全渠道的高级研究分析师Garrett Bekker说:“我们通常认为云服务可以让我们的生活变得更简单,并且它们可以通过多种方式实现,可以为我们提供很多好处。但是从安全的角度来看,由于它们要做的事情太多,因此也增加了很多复杂性。”
在甲骨文和毕马威(KPMG)的《2020年云威胁报告》中,受访者认为复杂性是一项重大挑战。其中,70%的受访者认为保护其公有云足迹需要太多的专用工具,78%的受访者则指出,在云端驻留和本地应用程序之间需要在不同的安全策略和流程。
这些问题又带来了另一个我们熟悉的安全问题:缺乏可见性。
Security Curve的创始合伙人兼ISACA(国际信息系统审计协会)多云环境安全影响管理团队的首席开发者Ed Moyle指出:“用户难以从各家提供商那里获得所有的不同信息,以确定统一的管理视角。”
Very Good Security的首席信息安全官Kathy Wang称,可见性挑战来自多个层面。例如,企业安全团队无法深入了解企业的所有云部署(尤其是那些由业务部门直接购买的SaaS产品)。即使这样做了,他们也仍然难以监控所有的云部署并从中发现问题。另外,对事件管理工具的数据进行编译和解读也是一件非常困难的事情。
制定多云安全策略首先要确定企业使用的所有云,确保企业拥有强大的数据治理程序以指导与云相关的安全决策,以及在正确的位置部署正确的工具,从而确保控制级别适当。
在《多云环境安全性影响管理》报告中,ISACA指出,“要想让多家提供商都能发挥作用,企业必须调整他们的工具、流程、监控功能、运营思路,以及与安全规划相关的诸多要素。”
Gadia认为目前首席信息安全官正在朝着这个方向发展。他指出,甲骨文和毕马威的调查报告显示,企业的云安全架构师的数量要多于安全架构师。尽管如此,许多安全团队还需要进一步增加具备能够创建安全云架构所需全部技能的人员数量。
以下是增强多云安全性的三大关键步骤。
关注意应用程序和数据。多云环境中应用程序安全的重要性不可低估。Micro Focus公司的安全风险与治理主管RamsésGallego说:“如今,依靠强大而可靠的方法来强化和保护应用程序的安全比以往任何时候都更重要。这意味着不仅要确保代码没有漏洞,同时还要确保应用程序正在使用的库被及时更新且没有漏洞。”
Gallego补充说:“数据管理、数据最小化以及最重要的数据匿名化和加密是企业要构建多云架构的支柱。和土木工程一样,基础必须牢固,并且按照一些法规中要求的那样,必须要有适当的数据屏蔽和数据隐藏策略。”
使用正确的工具。考虑到嵌入在不同云产品中的安全功能的变化,将工具与技术进行适当组合可以满足不同企业的云解决方案组合。首席信息安全官需要明确哪些解决方案在哪里工作,并选择可以跨越云环境的解决方案,从而为安全场景创建单一的管理平台。
专家建议引入云访问安全代理(CASB),以及可在企业和云服务提供商之间强化身份验证、凭证映射、设备配置文件、加密和恶意软件检测等安全措施的软件。
此外,专家还建议使用云安全状态管理(CSPM)。这是一种更新的技术,其可根據安全要求评估企业云环境,从而保证云配置能够持续满足相关的要求与规定。
非营利性组织云安全联盟(CSA)下设的ERP安全工作组的研究员Juan Perez-Etchegoyen说:“ CASB虽然很重要,但是它们的重点是SaaS。相比之下,CSPM则更为全面地专注于所有云服务模型(IaaS、PaaS、SaaS)。”
增强安全性。安全领导者还建议首席信息安全官采取零信任态度,并大力部署可支持零信任安全模型的技术。该模型会假设连接是不可信的,除非它们可以证明自己是可信的。
Gadia说:“在零信任安全模型中,云资产的安全性不依赖于扩展网络中的受信用户和设备。零信任只取决于需要的最低特权/访问权限。在允许用户访问云环境中的资源之前,所有用户和设备都需要经过验证。”
Moyle表示,虽然这种思维方式将所有未经验证的东西都视为不可信任,但是它们可帮助安全团队保护企业免受未经批准的云部署、影子IT以及安全性不达标的云提供商的侵扰。Moyle解释说:“这并不是说提供商无法提供很好的安全性,这只是预先假定环境是危险的,并为此进行了有针对性的设计而已。”
最后,专家建议,那些希望提高多云环境安全性的首席信息安全官先确保已有能够支持相关安全标准的流程,同时完成长期一直主导安全性的传统的人员-流程-技术方法的改造和更新。
这些工作需要企业内部所有相关部门之间进行协作,从而在业务需求、安全目标和合规性义务之间实现平衡。
451 Research的信息安全团队首席研究分析师Fernando Montenegro说:“关于如何对云进行风险管理、组织内部如何进行云开发,以及如何通过技术做出风险决策等问题需要进行更高层级的战略对话。”他指出,许多首席信息安全官及其团队在项目周期的早期就开始与开发人员和相关部门展开了合作,以确保安全性在一开始就被充分考虑。
本文作者Mary K. Pratt为自由撰稿人。
原文网址
https://www.csoonline.com/article/3584735/building-stronger-multicloud-security-3-key-elements.html
分析公司IDC预计,到2022年,全球90%以上的企业将拥有多个公有云。据IT管理解决方案提供商Flexera发布的《2020年云现状报告》显示,93%的企业部署了多云战略,这一百分比高于两年前的81%。目前受访者平均使用的公有云和私有云均为2.2个。
但是传统企业中公有云和私有云以及SaaS应用程序越来越多的组合也带来了许多安全问题。在Flexera的调查中,约83%的企业将安全性列为挑战,高于对云支出的管理(82%)和治理(79%)。
咨询公司Protiviti的新兴技术和全球云实践主管Randy Armknecht说:“多云给安全团队带来的挑战正在持续增长。服务的发布数量、新的交互方式、服务与系统的互连,所有的这些都在不断发展,同时也为企业安全模型增加了新的复杂性。”
多云环境的安全性被高度关注并不意外。因为首席信息安全官们已经意识到他们需要保护的范围已经从企业内部的基础设施变成了分布在不同厂商中的计算资源网。要命的是,这些厂商提供的服务级别和安全承诺各不相同。这种环境为恶意软件攻击、数据泄露、违规和弹性问题带来了更多的漏洞。毕马威(KPMG)技术风险实践业务的合伙人Sai Gadia说,多云架构的复杂性正在成为一种攻击向量。“如果传统的人员、流程或技术中存在漏洞,那么不法分子就会寻求机会利用这些漏洞。”
复杂性越来越高
技术供应商Blissfully在《2020年SaaS趋势报告》中指出,目前传统的企业IT基础设施和解决方案堆栈不仅包括了公有云和私有云部署,还包括了大量不同的SaaS产品(平均数量为288种)。
不同构成要素有着不同的安全要求,内置的安全功能的级别和类型也各不相同。各家云提供商使用工具也不尽相同,即便是同一类工具,他们的术语往往也不一样。此外,这些云提供商在安全方面的责任也是不同的。所有这些都迫使首席信息安全官不得不将它们整合为一个整体,以记录云服务的安全功能是否够用,是否需要更多的安全性,以及在何处需要什么样的额外安全措施。
451 Research负责信息安全渠道的高级研究分析师Garrett Bekker说:“我们通常认为云服务可以让我们的生活变得更简单,并且它们可以通过多种方式实现,可以为我们提供很多好处。但是从安全的角度来看,由于它们要做的事情太多,因此也增加了很多复杂性。”
在甲骨文和毕马威(KPMG)的《2020年云威胁报告》中,受访者认为复杂性是一项重大挑战。其中,70%的受访者认为保护其公有云足迹需要太多的专用工具,78%的受访者则指出,在云端驻留和本地应用程序之间需要在不同的安全策略和流程。
这些问题又带来了另一个我们熟悉的安全问题:缺乏可见性。
Security Curve的创始合伙人兼ISACA(国际信息系统审计协会)多云环境安全影响管理团队的首席开发者Ed Moyle指出:“用户难以从各家提供商那里获得所有的不同信息,以确定统一的管理视角。”
Very Good Security的首席信息安全官Kathy Wang称,可见性挑战来自多个层面。例如,企业安全团队无法深入了解企业的所有云部署(尤其是那些由业务部门直接购买的SaaS产品)。即使这样做了,他们也仍然难以监控所有的云部署并从中发现问题。另外,对事件管理工具的数据进行编译和解读也是一件非常困难的事情。
制定策略
制定多云安全策略首先要确定企业使用的所有云,确保企业拥有强大的数据治理程序以指导与云相关的安全决策,以及在正确的位置部署正确的工具,从而确保控制级别适当。
在《多云环境安全性影响管理》报告中,ISACA指出,“要想让多家提供商都能发挥作用,企业必须调整他们的工具、流程、监控功能、运营思路,以及与安全规划相关的诸多要素。”
Gadia认为目前首席信息安全官正在朝着这个方向发展。他指出,甲骨文和毕马威的调查报告显示,企业的云安全架构师的数量要多于安全架构师。尽管如此,许多安全团队还需要进一步增加具备能够创建安全云架构所需全部技能的人员数量。
以下是增强多云安全性的三大关键步骤。
关注意应用程序和数据。多云环境中应用程序安全的重要性不可低估。Micro Focus公司的安全风险与治理主管RamsésGallego说:“如今,依靠强大而可靠的方法来强化和保护应用程序的安全比以往任何时候都更重要。这意味着不仅要确保代码没有漏洞,同时还要确保应用程序正在使用的库被及时更新且没有漏洞。”
Gallego补充说:“数据管理、数据最小化以及最重要的数据匿名化和加密是企业要构建多云架构的支柱。和土木工程一样,基础必须牢固,并且按照一些法规中要求的那样,必须要有适当的数据屏蔽和数据隐藏策略。”
使用正确的工具。考虑到嵌入在不同云产品中的安全功能的变化,将工具与技术进行适当组合可以满足不同企业的云解决方案组合。首席信息安全官需要明确哪些解决方案在哪里工作,并选择可以跨越云环境的解决方案,从而为安全场景创建单一的管理平台。
专家建议引入云访问安全代理(CASB),以及可在企业和云服务提供商之间强化身份验证、凭证映射、设备配置文件、加密和恶意软件检测等安全措施的软件。
此外,专家还建议使用云安全状态管理(CSPM)。这是一种更新的技术,其可根據安全要求评估企业云环境,从而保证云配置能够持续满足相关的要求与规定。
非营利性组织云安全联盟(CSA)下设的ERP安全工作组的研究员Juan Perez-Etchegoyen说:“ CASB虽然很重要,但是它们的重点是SaaS。相比之下,CSPM则更为全面地专注于所有云服务模型(IaaS、PaaS、SaaS)。”
增强安全性。安全领导者还建议首席信息安全官采取零信任态度,并大力部署可支持零信任安全模型的技术。该模型会假设连接是不可信的,除非它们可以证明自己是可信的。
Gadia说:“在零信任安全模型中,云资产的安全性不依赖于扩展网络中的受信用户和设备。零信任只取决于需要的最低特权/访问权限。在允许用户访问云环境中的资源之前,所有用户和设备都需要经过验证。”
Moyle表示,虽然这种思维方式将所有未经验证的东西都视为不可信任,但是它们可帮助安全团队保护企业免受未经批准的云部署、影子IT以及安全性不达标的云提供商的侵扰。Moyle解释说:“这并不是说提供商无法提供很好的安全性,这只是预先假定环境是危险的,并为此进行了有针对性的设计而已。”
最后,专家建议,那些希望提高多云环境安全性的首席信息安全官先确保已有能够支持相关安全标准的流程,同时完成长期一直主导安全性的传统的人员-流程-技术方法的改造和更新。
这些工作需要企业内部所有相关部门之间进行协作,从而在业务需求、安全目标和合规性义务之间实现平衡。
451 Research的信息安全团队首席研究分析师Fernando Montenegro说:“关于如何对云进行风险管理、组织内部如何进行云开发,以及如何通过技术做出风险决策等问题需要进行更高层级的战略对话。”他指出,许多首席信息安全官及其团队在项目周期的早期就开始与开发人员和相关部门展开了合作,以确保安全性在一开始就被充分考虑。
本文作者Mary K. Pratt为自由撰稿人。
原文网址
https://www.csoonline.com/article/3584735/building-stronger-multicloud-security-3-key-elements.html