安全专家表示,随着多云环境的发展,已经推出了许多安全实践,并且组织在制定自己的安全策略时都应采取一些关键步骤。数据泄露或入侵者警报将使组织安全团队高度紧张,因为他们致力于阻止损害并确定原因。
即使IT团队在其自己的基础设施上运行所有操作,其应对大量的任务也面临更多的挑战。随着组织将更多的工作负载迁移到云平台,然后采用多个云计算提供商的服务,这将变得越来越复杂。
云计算服务提供商RightScale公司发布的“2018年云计算状态报告”表明,997名科技专业人士中有77%的人认为云安全是一项挑战,29%的人表示这是一项重大挑战。
安全专家表示,他们对此并不感到惊讶,特别是考虑到RightScale公司的调查受访者中81%的人采用的是多云战略。
“多云环境增加了实施和管理安全控制的复杂性,”管理咨询机构Protiviti公司的技术咨询业务总经理兼全球负责人Ron Lefferts说。
他和其他安全领导人表示,组织在将更多工作负载迁移到云时,可以将安全放在首位。
多云面临的安全挑战
但人们也应该认识到多云环境带来了额外的挑战,需要作为整体安全战略的一部分加以解决。
“在这个多云的世界里,一切都与协调有关,在合同、技术和人员方面都是如此。”国际安全咨询委员会(ISACA)董事会主席Christos K. Dimitriadis说,“现在,如果发生事故,企业需要确保所有实体都得到协调,共同努力确定违规行为进行分析,并制定改进计划,以使控制更加有效。”
以下是安全专家称为多云环境复杂安全策略的三个因素。
(1)复杂性增加。在多个云计算提供商之间协调安全策略、流程和响应以及扩展的连接点网络增加了复杂性。
非营利性贸易组织云安全联盟(CSA)的ERP安全工作组的研究员兼联合主席Juan Perez-Etchegoyen说,“组织可以在全球多个地方扩展其数据中心。然后必须遵守其所在国家或地区的法规,如今拥有庞大且数量不断增加的法规,这些法规正在推动组织需要实施的控制和机制,并且所有这些都增加了人们保护数据的复杂性。”
(2)缺乏可见性。IT组织通常不了解员工使用的所有云计算服务,员工可以轻松地绕过企业IT部门自行购买软件即服务产品或其他基于云计算的服务。
“因此,人们正试图保护数据、服务、业务,而不清楚地了解数据的位置。”Dimitriadis说。
(3)新的威胁。安全风险管理公司的创始人兼首席执行官Jeff Spivey说,企业安全领导者也应该认识到,多云环境的出现可能会产生新的威胁。
“人们正在创造一些尚不了解所有漏洞的东西,但可能会发现这些漏洞。”他说。
构建多云策略
安全专家表示,随着多云环境的发展,出现了许多安全最佳实践,并且组织在制定自己的安全策略时都应采取一些关键步骤。
首先是识别数据所在的所有云平台,并确保组织拥有一个强大的数据治理计划,“组织需要全面了解数据,以及与信息相关的IT服务和资产。”Dimitriadissays说。
Dimitriadis除了担任ISACA董事会主席之外,还是游戏解决方案供应商和运营商INTRALOT 集团的信息安全、信息合规和知识产权保护负责人,他们承认这些安全建议不仅适用于多云环境。
然而,他表示,当数据迁移到云平台,并在不同的云平台上传播时,采取这些基础措施变得更加重要。
统计数据表明了为什么拥有强大的安全基础如此重要的原因:毕马威公司和Oracle公司发布的2018年云计算威胁报告对450名网络安全和IT专业人员进行了调查。报告表明90%的企业将其基于云计算的数据的一半归类为敏感数据。
该报告还发现,82%的受访者担心组织的员工不遵守云计算安全策略,38%的受访者担心检测和响应云计算安全事件。
国际安全咨询委员会(ISACA)领导者,赛门铁克公司首席技术官兼企业策略传播者Ramsés Gallego表示,为了应对这种情况,企业应该对信息进行分类,以创建安全的平流层,这一措施认识到并非所有数据都需要相同级别的信任和验证才能访问或锁定。
安全专家还建议企业实施其他传统安全措施,作为保护多云环境的必要基础层。除了数据分类策略外,Gallego还建议使用加密和身份和访问管理(IAM)解决方案,例如双因素身份验证。
毕马威公司新兴技术风险服务实践的合伙人Sailesh Gadia说,企业随后需要标准化其政策和架构,以确保一致的应用和自动化,以尽可能帮助限制偏离这些安全标准。
“企业投入的努力水平应取决于数据的风险和敏感性。因此,如果企业使用云平台进行非机密数据存储/处理,那么就不需要采用更高级别的安全方法。”Gadia说。
他还指出,标准化和自动化可以提高效率,这不仅可以降低总成本,还可以让安全领导者将更多资源用于更高价值的任务。
专家表示,这些基本要素应该是更广泛、更有凝聚力的战略的一部分,并指出企业在采用管理安全工作的框架时表现良好。其共同框架包括国家标准与技术研究所的NIST;ISACA信息相关技术控制目标(COBIT);ISO 27000系列;云安全联盟的云控制矩阵(CCM)。
设定云计算供应商的期望
Dimitriadis说,所选择的框架不仅应该指导企业,还应该指导云计算供应商。
“我们需要做的是将这些纳入与云计算提供商的协议中。然后,企业能够围绕其试图保护的数据和服务构建控制措施。”他解释道。
安全专家表示,与云计算提供商的谈判以及随后的服务协议应解决提供的数据隔离类型、数据存储以及供应商方可以访问的数据,以及供应商如果出现问题应如何应对,其中包括他们将如何与为企业提供服务的其他云计算供应商合作和协调。
Jeff Spivey表示,组织必须清楚地了解从每个云计算提供商那里获得的服务,以及他们是否具备管理和管理服务的能力。
Spivey补充道,“组织要具体说明期望是什么以及如何衡量它们,因此必须清楚地了解从每个提供商处获得的服务,以及他们是否具备管理和服务的能力。”
但Gallego表示,不要提供给云计算提供商过多的安全权限。
云计算供应商通常通过强调他们代表企业客户所做的工作来提供他们的服务。虽然这项工作确实包括安全服务,但Gallego指出,“这还不够,因为云计算供应商从事云计算业务,而不是从事安全业务。”
因此,他表示,企业安全领导者必须将他们的安全计划制定到一个精细的层面——“谁有权访问何时以及如何访问”,然后将其提供给每个云计算提供商以协助执行这些计划。
他补充说:“云计算提供商需要赢得用户的信任。”
采用新兴技术
根据安全专家的说法,政策、治理甚至传统的安全措施(如双因素身份验证)虽然都是必不可少的,但还不足以应对跨多个云平台分散工作负载所带来的复杂性。
企业必须采用旨在使企业安全团队更好地管理和实施其多云安全策略的新兴技术。
Gallego和其他人指出了云计算访问安全代理(CASB)等解决方案,企业在其自身与云计算服务提供商之间提供本地软件,以整合和实施安全措施,如身份验证、凭据映射、设备配置、加密和恶意软件检测。
他们还列出了人工智能技术,这些技术可以从中学习,然后分析网络流量,以更加准确地检测需要工作人员关注的异常,从而限制资源必须调查的良性事件的数量,并将这些资源重定向到最有可能出现问题的事件。
他们引用了继续使用自动化作为优化多云环境中安全性的关键技术。Spivey指出:“那些取得成功的组织就是那些能够自动完成大部分工作并专注于治理和管理的组织。”
此外,Spivey和其他人表示,虽然用于保护数据跨越多个云平台的确切技术(如CASB)可能是多云环境所独有的,但他们强调总体安全原则遵循的是解决人员、过程和技术问题的长期方法制定最佳策略。
“人们正在谈论不同的技术和不同的场景,并更多地关注数据,但这与组织必须实现的概念相同。”Onapsis公司首席技术官的Perez-Etchegoyen说,“对于多云环境,技术方法虽然有所不同,但总体战略将是相同的。”