企業如何構建策略應對多雲安全的三大挑戰
安全專家表示,隨著多雲環境的發展,已經推出了許多安全實踐,並且組織在制定自己的安全策略時都應採取一些關鍵步驟。資料洩露或入侵者警報將使組織安全團隊高度緊張,因為他們致力於阻止損害並確定原因。
即使IT團隊在其自己的基礎設施上執行所有操作,其應對大量的任務也面臨更多的挑戰。隨著組織將更多的工作負載遷移到雲平臺,然後採用多個雲端計算提供商的服務,這將變得越來越複雜。
雲端計算服務提供商RightScale公司釋出的“2018年雲端計算狀態報告”表明,997名科技專業人士中有77%的人認為雲安全是一項挑戰,29%的人表示這是一項重大挑戰。
安全專家表示,他們對此並不感到驚訝,特別是考慮到RightScale公司的調查受訪者中81%的人採用的是多雲戰略。
“多雲環境增加了實施和管理安全控制的複雜性,”管理諮詢機構Protiviti公司的技術諮詢業務總經理兼全球負責人Ron Lefferts說。
他和其他安全領導人表示,組織在將更多工作負載遷移到雲時,可以將安全放在首位。
多雲面臨的安全挑戰
但人們也應該認識到多雲環境帶來了額外的挑戰,需要作為整體安全戰略的一部分加以解決。
“在這個多雲的世界裡,一切都與協調有關,在合同、技術和人員方面都是如此。”國際安全諮詢委員會(ISACA)董事會主席Christos K. Dimitriadis說,“現在,如果發生事故,企業需要確保所有實體都得到協調,共同努力確定違規行為進行分析,並制定改進計劃,以使控制更加有效。”
以下是安全專家稱為多雲環境複雜安全策略的三個因素。
(1)複雜性增加。在多個雲端計算提供商之間協調安全策略、流程和響應以及擴充套件的連線點網路增加了複雜性。
非營利性貿易組織雲安全聯盟(CSA)的ERP安全工作組的研究員兼聯合主席Juan Perez-Etchegoyen說,“組織可以在全球多個地方擴充套件其資料中心。然後必須遵守其所在國家或地區的法規,如今擁有龐大且數量不斷增加的法規,這些法規正在推動組織需要實施的控制和機制,並且所有這些都增加了人們保護資料的複雜性。”
(2)缺乏可見性。IT組織通常不瞭解員工使用的所有云計算服務,員工可以輕鬆地繞過企業IT部門自行購買軟體即服務產品或其他基於雲端計算的服務。
“因此,人們正試圖保護資料、服務、業務,而不清楚地瞭解資料的位置。”Dimitriadis說。
(3)新的威脅。安全風險管理公司的創始人兼執行長Jeff Spivey說,企業安全領導者也應該認識到,多雲環境的出現可能會產生新的威脅。
“人們正在創造一些尚不瞭解所有漏洞的東西,但可能會發現這些漏洞。”他說。
構建多雲策略
安全專家表示,隨著多雲環境的發展,出現了許多安全最佳實踐,並且組織在制定自己的安全策略時都應採取一些關鍵步驟。
首先是識別資料所在的所有云平臺,並確保組織擁有一個強大的資料治理計劃,“組織需要全面瞭解資料,以及與資訊相關的IT服務和資產。”Dimitriadissays說。
Dimitriadis除了擔任ISACA董事會主席之外,還是遊戲解決方案供應商和運營商INTRALOT 集團的資訊保安、資訊合規和智慧財產權保護負責人,他們承認這些安全建議不僅適用於多雲環境。
然而,他表示,當資料遷移到雲平臺,並在不同的雲平臺上傳播時,採取這些基礎措施變得更加重要。
統計資料表明了為什麼擁有強大的安全基礎如此重要的原因:畢馬威公司和Oracle公司釋出的2018年雲端計算威脅報告對450名網路安全和IT專業人員進行了調查。報告表明90%的企業將其基於雲端計算的資料的一半歸類為敏感資料。
該報告還發現,82%的受訪者擔心組織的員工不遵守雲端計算安全策略,38%的受訪者擔心檢測和響應雲端計算安全事件。
國際安全諮詢委員會(ISACA)領導者,賽門鐵克公司首席技術官兼企業策略傳播者Ramsés Gallego表示,為了應對這種情況,企業應該對資訊進行分類,以建立安全的平流層,這一措施認識到並非所有資料都需要相同級別的信任和驗證才能訪問或鎖定。
安全專家還建議企業實施其他傳統安全措施,作為保護多雲環境的必要基礎層。除了資料分類策略外,Gallego還建議使用加密和身份和訪問管理(IAM)解決方案,例如雙因素身份驗證。
畢馬威公司新興技術風險服務實踐的合夥人Sailesh Gadia說,企業隨後需要標準化其政策和架構,以確保一致的應用和自動化,以儘可能幫助限制偏離這些安全標準。
“企業投入的努力水平應取決於資料的風險和敏感性。因此,如果企業使用雲平臺進行非機密資料儲存/處理,那麼就不需要採用更高級別的安全方法。”Gadia說。
他還指出,標準化和自動化可以提高效率,這不僅可以降低總成本,還可以讓安全領導者將更多資源用於更高價值的任務。
專家表示,這些基本要素應該是更廣泛、更有凝聚力的戰略的一部分,並指出企業在採用管理安全工作的框架時表現良好。其共同框架包括國家標準與技術研究所的NIST;ISACA資訊相關技術控制目標(COBIT);ISO 27000系列;雲安全聯盟的雲控制矩陣(CCM)。
設定雲端計算供應商的期望
Dimitriadis說,所選擇的框架不僅應該指導企業,還應該指導雲端計算供應商。
“我們需要做的是將這些納入與雲端計算提供商的協議中。然後,企業能夠圍繞其試圖保護的資料和服務構建控制措施。”他解釋道。
安全專家表示,與雲端計算提供商的談判以及隨後的服務協議應解決提供的資料隔離型別、資料儲存以及供應商方可以訪問的資料,以及供應商如果出現問題應如何應對,其中包括他們將如何與為企業提供服務的其他雲端計算供應商合作和協調。
Jeff Spivey表示,組織必須清楚地瞭解從每個雲端計算提供商那裡獲得的服務,以及他們是否具備管理和管理服務的能力。
Spivey補充道,“組織要具體說明期望是什麼以及如何衡量它們,因此必須清楚地瞭解從每個提供商處獲得的服務,以及他們是否具備管理和服務的能力。”
但Gallego表示,不要提供給雲端計算提供商過多的安全許可權。
雲端計算供應商通常通過強調他們代表企業客戶所做的工作來提供他們的服務。雖然這項工作確實包括安全服務,但Gallego指出,“這還不夠,因為雲端計算供應商從事雲端計算業務,而不是從事安全業務。”
因此,他表示,企業安全領導者必須將他們的安全計劃制定到一個精細的層面——“誰有權訪問何時以及如何訪問”,然後將其提供給每個雲端計算提供商以協助執行這些計劃。
他補充說:“雲端計算提供商需要贏得使用者的信任。”
採用新興技術
根據安全專家的說法,政策、治理甚至傳統的安全措施(如雙因素身份驗證)雖然都是必不可少的,但還不足以應對跨多個雲平臺分散工作負載所帶來的複雜性。
企業必須採用旨在使企業安全團隊更好地管理和實施其多雲安全策略的新興技術。
Gallego和其他人指出了雲端計算訪問安全代理(CASB)等解決方案,企業在其自身與雲端計算服務提供商之間提供本地軟體,以整合和實施安全措施,如身份驗證、憑據對映、裝置配置、加密和惡意軟體檢測。
他們還列出了人工智慧技術,這些技術可以從中學習,然後分析網路流量,以更加準確地檢測需要工作人員關注的異常,從而限制資源必須調查的良性事件的數量,並將這些資源重定向到最有可能出現問題的事件。
他們引用了繼續使用自動化作為優化多雲環境中安全性的關鍵技術。Spivey指出:“那些取得成功的組織就是那些能夠自動完成大部分工作並專注於治理和管理的組織。”
此外,Spivey和其他人表示,雖然用於保護資料跨越多個雲平臺的確切技術(如CASB)可能是多雲環境所獨有的,但他們強調總體安全原則遵循的是解決人員、過程和技術問題的長期方法制定最佳策略。
“人們正在談論不同的技術和不同的場景,並更多地關注資料,但這與組織必須實現的概念相同。”Onapsis公司首席技術官的Perez-Etchegoyen說,“對於多雲環境,技術方法雖然有所不同,但總體戰略將是相同的。”