AppsFlyer每天会通过多个云托管服务来处理其80TB的数据。它通过密切关注身份治理和访问控制扩展了它的安全需求。
CISO们所面临的最大网络安全挑战之一是,当他们的组织将工作负载转移到云上时,该如何维护数据保护和隐私。特别是,他们该如何在纯云环境中管理安全控制?
由于新冠病毒疫情的大流行以及随之而来的向在家办公模式的转变,在组织向云服务迁移的背景下,这一点将变得更加重要。正如研究公司IDC在2020年10月的一份报告中指出的那样,这一流行病“已在很大程度上被证明了是云采用以及云扩展的加速器,并将继续推动向以云为中心的IT的更快转变。”
IDC预测,到2024年,全球在云服务、支撑云服务的硬件和软件组件,以及围绕云服务的专业和管理服务机会上的支出将超过1万亿美元,并保持16%的两位数复合年增长率。
在可预见的未来,各种形式的云将在整个IT行业发挥越来越大的作用,甚至是占据主导地位,IDC全球研究部的集团副总裁Richard Villars表示。到2021年底,大多数企业都将建立一种机制,以加快向以云为中心的数字基础设施和应用服务的转变,他说。
鉴于云服务的重要性在与日俱增,企业需要弄清楚该如何在这种不断变化的环境中有效地保持高水平的安全性。
移动营销分析和归因平台提供商AppsFlyer提供了一个很好的例子来说明该如何做到这一点。
在大型多云环境中扩展安全性
该公司的IT环境是100%云原生的,没有本地服务器。其平台使用包括了AWS、Google Cloud、Microsoft Azure和阿里云在内的提供商的多种云服务。其云环境覆盖了五个国家,拥有15000多台服务器,每天需要处理超过80TB的数据。AppsFlyer是美国以外最大的AWS部署公司之一,拥有数以万计的资源。
“由于AppsFlyer是一家基于云的公司,我们所面临的最大威胁和担忧就是如何扩展安全性,以管理和验证我们环境中的所有不同组件,包括身份、基础架构、网络和周围的一切,”Guy Flechter说,他在公司担任CISO,直到最近才离开为一家初创公司工作。
“这一点很重要,因为我们需要能够支持组织内的所有安全需求,包括工程团队和DevOps团队,等等,”Flechter说。“如果我们无法扩展我们的安全性,我们最终将被迫告诉我们组织内的一些团队,我们无法支持某些计划。”
身份治理和访问权限是优先事项
AppsFlyer的安全团队将身份治理和访问权限管理作为了2020年的优先事项。对于开发人员、DevOps和数据科学家来说,目标是确保实施最小权限访问,并且其策略能够适合每个用户的配置文件。
然而,在大型云环境中很难管理访问权限的使用。此外,AppsFlyer还希望能够审核授予基础架构的所有访问权限,以限制对重要资源的高风险访问,强化环境,并删除未使用的用户、角色和权限。
最大的挑战之一是提供可见性,因为云中有太多的移动部件,很容易就启动更多的资源和基础设施,Flechter说。“例如,开发人员可以添加新的实例和存储桶,以及分配不同的访问权限和权利,”他说。
为了应对各种挑战,AppsFlyer部署了一个来自Ermetic的权限管理系统。“在我们选择Ermetic之前,我们根据安全需求对云基础架构授权管理产品进行非常全面的评估,”Flechter说。“该产品需要支持多个云提供商。我们希望该解决方案能够支持运营,而不仅仅是提供可见性。它需要帮助我们弥补安全漏洞。最后,我们还希望能够从工具内部修复问题,并与其他自动化工具进行集成。”
“我认为安全工具只有在能够同时支持运营流程的情况下才是有效的,”Flechter说。“如果它只提供了良好的可视性,那么它就只是一个不错的仪表板。还需要平台提供所需的操作能力,以支持根据其提供的可见性来执行活动。”
AppsFlyer开始时是逐步将该平台推广到其不同的云环境中的,一次一个。连接到每个云平台都很容易,因为它们都支持API集成来获得读取权限,Flechter说。每次连接只需要不到15分钟。
“一旦我们开始从Ermetic中获取了数据,我们马上就发现了我们环境中的安全漏洞,并开始修复这些漏洞,”Flechter说。该平台不需要任何微调就能开始发现风险,他说。
该系统可以根据资产的敏感性和风险,对需要首先解决的问题进行优先排序。一个例子是访问一个对外界开放的AWS S3 bucket。bucket是AWS的Simple Storage Service产品中所提供的公共云存储资源“它将被标记为更高优先级的过度许可,即使该许可本身不是特权或行政许可的,”Flechter说。
AppsFlyer安全团队会使用该平台审核所有第三方对其环境的访问,并删除所有不再使用的SaaS应用程序,包括一些安全和优化工具。该团队还审查了有权访问敏感数据的应用程序,并删除了不必要的权限。
构建完整的云安全产品组合
授权管理系统只是AppsFlyer安全计划的一个组成部分。该公司还在使用来自Broadcom的Symantec Secure Access Cloud来对AWS中的资源进行身份验证和授权。“它使我们能够保持安全和细粒度的访问管理,使用软件定义的边界来执行零信任原则,”Flechter说。
AppsFlyer还使用了Rezilion提供的云工作负载保护工具,使公司能够缩小攻击面,防范恶意活动;而Salt Security API保护平台则可以保护连接到AppsFlyer云资源的API,并阻止试图操纵公司云服务API的攻击;还有Amazon的威胁检测工具GuardDuty。GuardDuty可以持续监视恶意活动和未经授权的行为,以保护AWS中所存储的帐户、工作负载和数据。
随着安全技术组合的到位,AppsFlyer现在可以在不同的帐户和不同的云提供商之间全面了解其云环境,这在以前是没有的。“我们也有能力自动修复安全漏洞,并继续扩展到其他领域,如事件响应,”Flechter说。
修复云安全的盲点
该公司也可以更经济高效地识别和修复云安全盲点,Flechter说。“我们可以满怀信心地知道,在每一个云环境中,我们的风险到底在哪里,需要解决哪些问题,而且我们已经拥有了哪些解决这些问题所需的自动化,”他说。“我们可以深入到一个特定的环境,但事实上,我们也可以在一个地方看到所有四个云环境的全局视图,这对我们来说是非常宝贵的。”
最大的好处之一是AppsFlyer现在对身份和权限有了更深入的了解。“我们可以立即查明未使用的权限,并将其删除,”Flechter说。“这使我们能够以自动化的方式持续地实施零信任访问。我们的安全态势管理比以前好多了。”