企业IT管理人员需要了解如何有效并正确地管理云平台的安全性。
云计算技术改变了企业的运营方式,提供按需访问、巨大的可扩展性、更好的业务连续性以及许多其他好处,还包括企业不再依赖拥有和运营成本昂贵的数据中心。
尽管越来越多的企业正在将业务迁移到云平台,但他们仍在考虑传统数据中心的安全性。但他们还没有接受这样一个事实:需要采用截然不同的方法以截然不同的方式处理云安全。随着云计算变得对业务变得更加关键,并且他们开始考虑他们的云安全态势管理(CSPM),这对企业的IT团队来说将是一个挑战。
对于内部部署的数据中心,将日志添加到像传统日志管理和事件关联(SEIM)这样的单一管理工具,并保护网络边界将是一种标准方法。对于许多早期采用云计算服务的企业来说,这是他们在新环境中采用的方法:在云平台中建立一个“由IT控制”的网络,并开始将云日志转储到传统日志管理和事件关联(SEIM)中。
但是有太多的活动和云计算访问点,因此它无法成为一个可用的解决方案。日志是时间点记录,而不是云计算所需的持续监控。因此,虽然日志是必要的,但它们并不能提供完整的画面,并且可能并不总是有用。安全边界也随着云计算从企业网络到身份和访问(IAM)的变化而变化,这需要采用一种完全不同的方法。仅仅依靠日志也不够全面或敏捷,无法满足各种服务、部署频率以及用户都接触到多云环境的需求。
换句话说,模型变了,所以方法也必须改变。保护云平台的工作负载意味着深入了解每个配置、每个资产和每个更改,以及持续识别风险的能力。但企业的IT团队往往难以做出转变。以下是一些不熟悉云安全态势管理(CSPM)的团队所遇到的常见挑战,以及将这些挑战转化为机遇的方法。
挑战1:思维方式的转变
企业IT团队在云安全方面面临的最大挑战将是停止像过去处理数据中心安全那样处理它。这些思维方式的转变之一是理解安全不再仅仅由孤岛中的安全团队决定。在云中,基础设施是以代码和自动化为中心部署的,这意味着安全必须融入到整个开发生命周期中。其挑战在于让每个人了解他们在整个产品生命周期中的角色和职责。
企业领导层需要制定一项计划,将组织从以自上而下的控制和严格的政策为特征的内部部署思维方式转变为以用户授权为导向,并通过平衡敏捷性和控制权的智能政策护栏。这可以通过战略规划、头脑风暴、协作和支持来实现,不仅可以跨团队,还可以通过企业高层来实现。这种思维方式的转变还要求团队成员更全面地了解安全性需要如何融入整个部署过程。
挑战2:没有提前确定安全的优先级
不幸的是,许多企业的IT团队没有考虑安全性,有时甚至没有考虑整体治理,直到为时已晚。无论他们有没有预算,或者没有扩大规模,或者只是不是最重要的事项,在云安全方面拖延可能会使企业面临违规、不合规和其他高风险问题。另一方面,企业最初可能采取了过于严厉的方法,并实施了如此严格的控制,以致于他们无法在未来完全实现云计算和DevOps的承诺。
企业应该尽早考虑云安全性,这不仅包括采用正确的工具,还包括正确的流程和人员。从开始云迁移时就需要考虑安全性,因为安全需要从一开始就融入其工作流程。企业的目标不仅仅是建立一个流程,还要确保它足够敏捷,能够随着不断变化的云计算环境的需求而逐步扩展。
挑战3:缺乏教育
企业启动真正的云安全态势管理(CSPM)程序来监控云计算环境是云安全的一种关键方法。但企业通常只依赖技术,认为只拥有云安全态势管理(CSPM)或依赖云计算供应商的能力就足够了——这让企业的IT团队对他们需要发挥的积极作用知之甚少。希望保持云计算安全性的企业需要优先考虑持续的教育和技能提升,不仅围绕应用于云计算的传统安全,还围绕行业最佳实践和云计算基础知识。确定愿意深入研究的团队成员,并将他们与企业的行业专家合作,或利用主要云计算提供商的免费教育工具来保持团队的知识库广泛且不断发展。
挑战4:认为已被持续集成(CI)/持续交付(CD)覆盖
企业通常会相信他们的云安全性得到了保障,因为他们已经在持续集成(CI)/持续交付(CD)管道中构建了控制,认为如果他们能够发现管道中的问题,将能够确保完美的部署。实际上,情况并非如此,因为更改经常发生在管道之外,云计算提供商进行配置更新,无需通过正确的程序即可更新模板,或许多其他未记录的更改,使其无法跟踪所有内容。
为了缓解这种情况,除了管道控制之外,还要制定一个持续监控云计算的计划,这样企业不仅可以了解正在开发和已部署的内容,而且还可以看到管道外正在发生的变化,这样企业也可以为这种迁移创建响应计划。
挑战5:不知道安全基线
最后,许多企业并不知道他们在云平台中或跨多云环境中拥有哪些资产,如果这些资产配置正确、是否合规或是否受到保护。这意味着,如果企业无法了解云中的内容及其随时间的变化情况,就无法利用云计算带来的众多优势。
首先为企业定义一组关于云中的内容的标准,美国互联网安全中心(CIS)和国家标准和技术协会 (NIST)是可以指导企业的安全状况的行业标准框架。然后,使用云安全态势管理(CSPM)工具获得对整个云计算环境的可见性,以此衡量企业的资产基线以确保捕捉当前和未来的偏差,并可以快速修复任何问题。
面临挑战将成为未来的机遇
与启动任何新计划或采用任何更改一样,云安全将需要不同的思维方式、一些新技能以及对实施彻底有效的云安全态势管理(CSPM)方法的承诺。这将是一个挑战,但企业在云计算之旅早期采用云安全,不仅可以确保企业的业务安全,还将提供更多的洞察力和好处。
