事实表明,人们无法保护看不到的东西。正在将业务迁移到公有云或已经在云平台运行的企业面临可见性的挑战。在云安全策略方面,可见性就是一切。在理想的运营环境中,跨多云的端到端可见性为企业提供了有效管理风险所需的场景知识。
根据云计算安全联盟最近对200名IT和安全专业人员进行的调查,三分之二的人对云计算可见性缺乏信心。云计算安全联盟在其“云计算的主要威胁”中列出了云计算使用可见性。此外,与可见性相关的风险导致缺乏治理、意识和安全性,从而导致云中的数据泄露。
云计算可见性的挑战
企业目前是否希望了解哪些人员可以访问其云平台中的数据?而这并不是孤例。很多企业在云平台的数据都缺乏可见性,从而导致更多的风险。以下是企业面临的一些主要挑战:
挑战1:确保人类与非人类身份的安全
云安全团队在身份验证(例如访问者的身份和位置、是人类还是非人类等考虑因素)及其有效权限方面面临可见性挑战。例如,云计算架构在任何时候都有数百个资源在运行,而大量的人类或非人类的身份都可以访问。如何确保所有这些身份的安全访问,对于云安全团队来说是一项独特的挑战。
身份可以承担具有特定权限的角色。首先,很多人过度使用权限。其次,由于云计算的短暂性,其权限的滥用可以完全隐藏在具有间歇性的审计时间框架的监控服务中。最后,更复杂的是特权身份可以根据需要切换角色,产生未经检查的升级特权的临时权限链。
其解决方案是采用持续有效的权限监控。安全团队依赖于以“一个用户(人类),一个身份”的概念构建身份管理规则。这种类型的管理可以防止特定于云平台的新型特权滥用。身份的潜在访问路径不是线性的,而是相互关联的角色、特权升级能力、权限、信任关系和用户组网络的一部分。提供对每个身份的详细可见性的图形功能是确保最低权限执行的唯一方法。
挑战2:确保数据安全
企业的团队必须跟踪在多云环境中访问的大量数据。因此,在任何给定时刻,每个身份都会访问大量数据。所有这些没有多云端到端可见性的数据访问都会导致风险。
传统的数据保护工具缺乏对数据的场景理解,例如敏感性或双因素身份验证。例如,企业可能会将敏感的数据保存在配置错误的AWS S3存储桶中,而该存储桶未标记。如果没有对企业的数据的场景可见性,就不会知道是否受到保护。
即使知道敏感数据在哪里,云安全团队也面临着了解其去向的挑战。因为数据可以在多云环境中驻留和移动。然而,云安全团队会发现在没有标准化的单一数据移动视图的情况下持续监控数据具有挑战性。
挑战3:克服复杂性
最重要的是,云计算在本质上是复杂的。而负载计算工作可能在几分钟甚至几秒钟内加速和减速。因此,云计算的短暂性使得以完全可见的方式持续监控资源变得更加困难。
也就是说,当开发人员在没有预先考虑引入复杂性的情况下迅速加快生产进度时,云计算的复杂性就会增加。利益相关者通常希望加快开发速度,以添加具有无数端点的身份和资源。他们的理解是云计算提供了无限的可扩展性,但他们误认为云计算是始终保持资产安全的最终解决方案,事实并非如此。
不幸的是,云计算的复杂性继续增长。当身份是边界时,安全团队需要一种简化的方式来查看身份如何访问资源。
挑战4:各个云计算供应商的不同安全模型
每个云计算提供商的云安全模型处理方式不同,并没有实现标准化。他们的云安全模型不涉及第三方数据存储。云计算供应商通常需要使用低级工具,其中一个错误配置就会导致灾难性的结果。云计算提供商安全工具一旦离开云平台就不会跟踪数据,从而导致可见性差距。
如何在多云中获得可见性
企业在公有云中获得可见性的能力取决于从云平台中获取所需数据的访问权限。IT专业人员可以使用涵盖云计算资源的云安全平台解决方案来做到这一点。
(1)Sonrai安全可以提供帮助
Sonrai Dig可以提供跨多云的完整可见性,当企业处理成百上千个帐户时,采用Sonrai Dig可以了解跨越多个云平台的身份和数据,提供跨多云的规范化视图以及对云计算身份和数据访问的控制。
(2)身份安全
Sonrai Dig发现、规范化并在图表上显示AWS账户、Azure订阅和GCP项目的所有结果。其图表公开了所有身份,并提供了对每个角色、特权、权限、信任关系和组的详细可见性。这让团队了解他们的有效权限。Sonrai提供对身份链的可见性。人们可以看到身份、他们所属的组、策略和信任关系,可以了解他们的权限如何增加访问权限。有了这种理解,团队就有了一个可行的路线图来实现最小特权。
(3)数据安全
借助Sonrai Dig,企业的团队可以发现并持续监控数据存储,以图形方式映射哪些数据存在、存在于何处(包括敏感的数据)、可以访问它的内容、发生了什么以及它去了哪里。团队可以锁定结构化数据和非结构化数据,并通过跨多云的深入分析功能对其进行持续监控。
企业的团队可以识别敏感数据,并将其分类。通过对数据进行分类,他们可以确定哪些数据已经锁定,哪些数据需要锁定,并采取措施降低风险。
(4)智能云安全态势管理(CSPM)
Sonrai Dig的智能云安全态势管理(CSPM) 可以为企业提供完整的可见性,其中包括其环境的场景知识。将会发现所有资源并确保企业安全地配置他们采用的多云。因此,该平台提供何时发生漂移的检测,如果与既定的安全基线有偏差,Sonrai Dig会提醒企业立即进行审查和修复。
智能云安全态势管理(CSPM) 平台拥有开箱即用的框架。而内部治理控制(NISTCSF、ISO27001)、既定的监管框架(HIPAA、PCI-DSS、SOC2)和法律(欧盟GDPR)可以显著地减少实施这些框架所需的繁重工作。
(5)治理自动化
Sonrai Dig提供智能工作流程和自动修复功能,与左移安全方法保持一致。企业能够以多云的速度和复杂性解决风险,在问题变得更加严重之前发现并解决。
企业通过治理自动化可以在正确的时间将正确的问题发送给负责的团队,这样可以减少警报疲劳。在原有的方法中,企业团队需要对持续积压的问题进行分类和修复。
Sonrai还集成了企业的持续集成(CI)/持续交付(CD)管道,以真正了解多云中的风险。当然,如果存在无法看到的风险,Sonrai Dig就会发现。Sonrai可以通过提醒负责的团队或自动修复来解决问题。此外,企业还可以利用Sonrai的内置预防机器人进行管理。