多云策略带来了新的安全问题。因此,企业需要在其安全措施的每个阶段解决这些问题。
随着越来越多的企业将其云计算战略扩展到私有云、公共云、内部部署数据中心和边缘站点的混合,从而将多云作为其数字化转型计划的一部分,新的安全挑战出现了,必须在安全计划的每个阶段考虑。
在云中运营提供了多种好处,任何组织,无论是公共部门、私有企业还是政府机构,目前都使用某种类型的云平台来完成至少部分业务功能。
根据2023年应用程序战略状态(SOA)报告中的数据,85%的企业使用多个架构运行应用程序,并在分布式环境中部署它们。在云中运营带来了一些安全挑战,并且在多云环境中复杂性进一步增加,因为需要将运行在不同环境中的应用程序与可能不同的安全策略、治理和合规性需求集连接起来。
高级云安全
除了使用多云带来的安全性和复杂性挑战之外,单片应用程序也逐渐被抛弃,转而支持提供更大灵活性和易于配置和取消配置的微服务。这增加了已经存在的挑战,扩大了网络攻击面,降低了对应用程序运行状况和性能的端到端可见性,并且增加了运营复杂性。
建筑设计差异带来的挑战
每个环境中存在的差异使得跨环境应用一致的安全策略变得更加困难。在私有云、公共云或边缘计算环境中,对工作负载安全性、应用程序安全性和API安全性的需求不一定是协调一致的。
对许多企业来说,协调跨不同云平台的安全策略仍然是一个挑战,对监视和可见性的影响更大。
使用分布式云技术,有时被称为超级云,正在日益普及。
正如调研机构研究人员所描述的那样,“超级云是一种云架构,它支持将应用程序迁移为跨不同可用区域或云计算提供商的服务。超级云提供了分配、迁移和终止资源(如虚拟机和存储)的接口,并提供了将这些资源绑定在一起的同质网络。超级云可以跨越所有主要的公共云提供商,如亚马逊EC2、微软Azure、谷歌计算引擎、Rackspace等,以及私有云。”
云安全模型
公共云提供商使用共享安全模型,其中云计算提供商负责“云平台”的安全,消费者负责“云平台”中数据的安全。
该模型意味着云计算提供商负责平台的安全性,包括硬件和所有管理程序组件。客户负责他们自己的安全策略和治理模型,并为他们的应用程序、数据和API保护设置正确的控制。这还包括DDOS保护、Web应用防火墙(WAF)、客户操作系统和客户数据存储管理的配置管理。
在这个模型中,数据、应用程序、API和工作负载安全性的挑战落在了客户的肩上。缩小私有云、公共云、混合云和多云之间的知识差距所需的学习曲线可能很快成为潜在弱点的原因。Gartner公司最近的一项研究估计,到2025年,99%的云安全故障将是客户的错。这可以归因于在不同运营环境中执行安全策略的困难,以及无法将云治理、风险管理和监视集成到现有的信息安全生命周期方法中。
从单片到微服务过渡带来的挑战应用服务和数据
传统上,网络防火墙、入侵检测系统(IDS)和Web应用程序防火墙已被用于为企业基础设施提供安全性,并取得了不同程度的成功;然而,将这种防御机制适应微服务体系结构是企业面临的最大挑战之一,在微服务架构中,新的应用程序可以动态地进行供应或解除供应。随着微服务架构增加的复杂性,为新的工作负载和应用程序应用一致的企业安全策略变得更加困难。
大多数任务需要自动化,需要实现云原生工具(如Kubernetes集群)来自动部署和编排新应用程序,并为新服务实施安全策略。
正确运行Kubernetes等云原生工具需要训练有素的云和安全专业人员,这本身就是企业面临的另一个重要挑战。
云计算和信息安全专业人员技能差距带来的挑战
大多数企业在其技术投资策略中默认采用多云,到2023年,云计算技术投资将比2017年增长49%。Gartner公司还估计,到2023年,IT支出将增加到4.6万亿美元,但IT投资的增长面临着一个重大挑战,即缺乏训练有素的专业人员来管理、运营和保护日益复杂的基础设施。
默认情况下,多云正在成为企业的一种明显的IT策略。然而,大多数专业人员并不具备管理这些跨越公共云、私有云、内部部署数据中心和边缘计算工作负载的现代解决方案所需的云计算专业知识。正如以上所述,多云环境创建了一个复杂的网络安全环境,大多数企业都没有准备好处理。
技术技能短缺的两个最主要的技术是网络安全和云计算。然而,尽管增加了对技术的投资,特别是在云计算技术方面的投资,但很多企业并没有投资提高员工的技能,以缩小技术技能差距。
缩小技能差距的一个解决方案是,企业通过提供学习平台和沙盒环境,对现有员工进行培训和教育,让他们可以使用云计算和网络安全技术进行练习,以便更好地为生产环境和现实生活中的云和安全挑战做好准备。
安全即服务(SECaaS)的救援
迁移到公共云提供了不必担心物理基础设施的安全性(云计算的安全性)的优势,但是基础设施安全性仍然是多云模型中采用私有云企业的责任。此外,无论是在公共云中还是在私有云中,应用程序仍然容易受到常见威胁的攻击。勒索软件攻击、针对应用程序和API端点的DDOS攻击、以前未知漏洞的零日攻击、凭证填充或重放攻击仍然是一个挑战,并且攻击的数量正在增加。据网络安全风险投资公司称,每39秒就有一次数据泄露,每14秒就有一次勒索软件攻击。
为了在与网络犯罪分子的竞争中保持领先地位,企业正在转向安全即服务(SECaaS)提供商,以帮助保持其数字资产的安全,其原因是,根据2023年5月应用程序战略状态(SOAS)报告的数据,这是因为需要速度和缺乏内部技能。
结论
由于多云在大多数组织的IT战略中占据中心位置,这种新方法带来的复杂性带来了更多的安全挑战。云基础设施由Kubernetes等云原生工具自动化,用于部署和编排工作负载和应用程序。然而,以安全的方式实现这一策略需要熟练的专业人员,但是熟练专业人员的可用性并没有以缩小云和安全领域中存在的技能差距所需的速度增长。
企业需要投入更多资金来提高现有员工的技能,以帮助缓解技能差距的挑战。其他企业正在转向安全即服务(SECaaS)提供商,以跟上在恶意行为者利用漏洞之前修补漏洞所需的速度。