云計算面臨的可見(jiàn)性挑戰及如何在多云中獲得可

根據云計算安全聯(lián)盟最近對200名IT和安全專(zhuān)業(yè)人員進(jìn)行的調查，三分之二的人對云計算可見(jiàn)性缺乏信心。云計算安全聯(lián)盟在其“云計算的主要威脅”中列出了云計算使用可見(jiàn)性。

事實(shí)表明，人們無(wú)法保護看不到的東西。正在將業(yè)務(wù)遷移到公有云或已經(jīng)在云平臺運行的企業(yè)面臨可見(jiàn)性的挑戰。在云安全策略方面，可見(jiàn)性就是一切。在理想的運營(yíng)環(huán)境中，跨的端到端可見(jiàn)性為企業(yè)提供了有效管理風(fēng)險所需的場(chǎng)景知識。

根據安全聯(lián)盟最近對200名IT和安全專(zhuān)業(yè)人員進(jìn)行的調查，三分之二的人對云計算可見(jiàn)性缺乏信心。云計算安全聯(lián)盟在其“云計算的主要威脅”中列出了云計算使用可見(jiàn)性。此外，與可見(jiàn)性相關(guān)的風(fēng)險導致缺乏治理、意識和安全性，從而導致云中的數據泄露。

云計算可見(jiàn)性的挑戰

企業(yè)目前是否希望了解哪些人員可以訪(fǎng)問(wèn)其云平臺中的數據?而這并不是孤例。很多企業(yè)在云平臺的數據都缺乏可見(jiàn)性，從而導致更多的風(fēng)險。以下是企業(yè)面臨的一些主要挑戰：

挑戰1：確保人類(lèi)與非人類(lèi)身份的安全

云安全團隊在身份驗證(例如訪(fǎng)問(wèn)者的身份和位置、是人類(lèi)還是非人類(lèi)等考慮因素)及其有效權限方面面臨可見(jiàn)性挑戰。例如，云計算架構在任何時(shí)候都有數百個(gè)資源在運行，而大量的人類(lèi)或非人類(lèi)的身份都可以訪(fǎng)問(wèn)。如何確保所有這些身份的安全訪(fǎng)問(wèn)，對于云安全團隊來(lái)說(shuō)是一項獨特的挑戰。

身份可以承擔具有特定權限的角色。首先，很多人過(guò)度使用權限。其次，由于云計算的短暫性，其權限的濫用可以完全隱藏在具有間歇性的審計時(shí)間框架的監控服務(wù)中。最后，更復雜的是特權身份可以根據需要切換角色，產(chǎn)生未經(jīng)檢查的升級特權的臨時(shí)權限鏈。

其解決方案是采用持續有效的權限監控。安全團隊依賴(lài)于以“一個(gè)用戶(hù)(人類(lèi))，一個(gè)身份”的概念構建身份管理規則。這種類(lèi)型的管理可以防止特定于云平臺的新型特權濫用。身份的潛在訪(fǎng)問(wèn)路徑不是線(xiàn)性的，而是相互關(guān)聯(lián)的角色、特權升級能力、權限、信任關(guān)系和用戶(hù)組網(wǎng)絡(luò )的一部分。提供對每個(gè)身份的詳細可見(jiàn)性的圖形功能是確保最低權限執行的唯一方法。

挑戰2：確保數據安全

企業(yè)的團隊必須跟蹤在多云環(huán)境中訪(fǎng)問(wèn)的大量數據。因此，在任何給定時(shí)刻，每個(gè)身份都會(huì )訪(fǎng)問(wèn)大量數據。所有這些沒(méi)有多云端到端可見(jiàn)性的數據訪(fǎng)問(wèn)都會(huì )導致風(fēng)險。

傳統的數據保護工具缺乏對數據的場(chǎng)景理解，例如敏感性或雙因素身份驗證。例如，企業(yè)可能會(huì )將敏感的數據保存在配置錯誤的AWS S3存儲桶中，而該存儲桶未標記。如果沒(méi)有對企業(yè)的數據的場(chǎng)景可見(jiàn)性，就不會(huì )知道是否受到保護。

即使知道敏感數據在哪里，云安全團隊也面臨著(zhù)了解其去向的挑戰。因為數據可以在多云環(huán)境中駐留和移動(dòng)。然而，云安全團隊會(huì )發(fā)現在沒(méi)有標準化的單一數據移動(dòng)視圖的情況下持續監控數據具有挑戰性。

挑戰3：克服復雜性

最重要的是，云計算在本質(zhì)上是復雜的。而負載計算工作可能在幾分鐘甚至幾秒鐘內加速和減速。因此，云計算的短暫性使得以完全可見(jiàn)的方式持續監控資源變得更加困難。

也就是說(shuō)，當開(kāi)發(fā)人員在沒(méi)有預先考慮引入復雜性的情況下迅速加快生產(chǎn)進(jìn)度時(shí)，云計算的復雜性就會(huì )增加。利益相關(guān)者通常希望加快開(kāi)發(fā)速度，以添加具有無(wú)數端點(diǎn)的身份和資源。他們的理解是云計算提供了無(wú)限的可擴展性，但他們誤認為云計算是始終保持資產(chǎn)安全的最終解決方案，事實(shí)并非如此。

不幸的是，云計算的復雜性繼續增長(cháng)。當身份是邊界時(shí)，安全團隊需要一種簡(jiǎn)化的方式來(lái)查看身份如何訪(fǎng)問(wèn)資源。

挑戰4：各個(gè)云計算供應商的不同安全模型

每個(gè)云計算提供商的云安全模型處理方式不同，并沒(méi)有實(shí)現標準化。他們的云安全模型不涉及第三方數據存儲。云計算供應商通常需要使用低級工具，其中一個(gè)錯誤配置就會(huì )導致災難性的結果。云計算提供商安全工具一旦離開(kāi)云平臺就不會(huì )跟蹤數據，從而導致可見(jiàn)性差距。

如何在多云中獲得可見(jiàn)性

企業(yè)在公有云中獲得可見(jiàn)性的能力取決于從云平臺中獲取所需數據的訪(fǎng)問(wèn)權限。IT專(zhuān)業(yè)人員可以使用涵蓋云計算資源的云安全平臺解決方案來(lái)做到這一點(diǎn)。

(1)Sonrai安全可以提供幫助

Sonrai Dig可以提供跨多云的完整可見(jiàn)性，當企業(yè)處理成百上千個(gè)帳戶(hù)時(shí)，采用Sonrai Dig可以了解跨越多個(gè)云平臺的身份和數據，提供跨多云的規范化視圖以及對云計算身份和數據訪(fǎng)問(wèn)的控制。

(2)身份安全

Sonrai Dig發(fā)現、規范化并在圖表上顯示AWS賬戶(hù)、Azure訂閱和GCP項目的所有結果。其圖表公開(kāi)了所有身份，并提供了對每個(gè)角色、特權、權限、信任關(guān)系和組的詳細可見(jiàn)性。這讓團隊了解他們的有效權限。Sonrai提供對身份鏈的可見(jiàn)性。人們可以看到身份、他們所屬的組、策略和信任關(guān)系，可以了解他們的權限如何增加訪(fǎng)問(wèn)權限。有了這種理解，團隊就有了一個(gè)可行的路線(xiàn)圖來(lái)實(shí)現最小特權。

(3)數據安全

借助Sonrai Dig，企業(yè)的團隊可以發(fā)現并持續監控數據存儲，以圖形方式映射哪些數據存在、存在于何處(包括敏感的數據)、可以訪(fǎng)問(wèn)它的內容、發(fā)生了什么以及它去了哪里。團隊可以鎖定結構化數據和非結構化數據，并通過(guò)跨多云的深入分析功能對其進(jìn)行持續監控。

企業(yè)的團隊可以識別敏感數據，并將其分類(lèi)。通過(guò)對數據進(jìn)行分類(lèi)，他們可以確定哪些數據已經(jīng)鎖定，哪些數據需要鎖定，并采取措施降低風(fēng)險。

(4)智能云安全態(tài)勢管理(CSPM)

Sonrai Dig的智能云安全態(tài)勢管理(CSPM) 可以為企業(yè)提供完整的可見(jiàn)性，其中包括其環(huán)境的場(chǎng)景知識。將會(huì )發(fā)現所有資源并確保企業(yè)安全地配置他們采用的多云。因此，該平臺提供何時(shí)發(fā)生漂移的檢測，如果與既定的安全基線(xiàn)有偏差，Sonrai Dig會(huì )提醒企業(yè)立即進(jìn)行審查和修復。

智能云安全態(tài)勢管理(CSPM) 平臺擁有開(kāi)箱即用的框架。而內部治理控制(NISTCSF、ISO27001)、既定的監管框架(HIPAA、PCI-DSS、SOC2)和法律(歐盟GDPR)可以顯著(zhù)地減少實(shí)施這些框架所需的繁重工作。

(5)治理自動(dòng)化

Sonrai Dig提供智能工作流程和自動(dòng)修復功能，與左移安全方法保持一致。企業(yè)能夠以多云的速度和復雜性解決風(fēng)險，在問(wèn)題變得更加嚴重之前發(fā)現并解決。

企業(yè)通過(guò)治理自動(dòng)化可以在正確的時(shí)間將正確的問(wèn)題發(fā)送給負責的團隊，這樣可以減少警報疲勞。在原有的方法中，企業(yè)團隊需要對持續積壓的問(wèn)題進(jìn)行分類(lèi)和修復。

Sonrai還集成了企業(yè)的持續集成(CI)/持續交付(CD)管道，以真正了解多云中的風(fēng)險。當然，如果存在無(wú)法看到的風(fēng)險，Sonrai Dig就會(huì )發(fā)現。Sonrai可以通過(guò)提醒負責的團隊或自動(dòng)修復來(lái)解決問(wèn)題。此外，企業(yè)還可以利用Sonrai的內置預防機器人進(jìn)行管理。