云計算面臨的可見性挑戰(zhàn)及如何在多云中獲得可見性
發(fā)布時間:2021-09-01 17:35
事實表明,人們無法保護看不到的東西�。正在將業(yè)務(wù)遷移到公有云或已經(jīng)在云平臺運行的企業(yè)面臨可見性的挑戰(zhàn)�����。在云安全策略方面����,可見性就是一切�。在理想的運營環(huán)境中����,跨多云的端到端可見性為企業(yè)提供了有效管理風(fēng)險所需的場景知識。
根據(jù)云計算安全聯(lián)盟最近對200名IT和安全專業(yè)人員進行的調(diào)查,三分之二的人對云計算可見性缺乏信心����。云計算安全聯(lián)盟在其“云計算的主要威脅”中列出了云計算使用可見性。此外����,與可見性相關(guān)的風(fēng)險導(dǎo)致缺乏治理、意識和安全性��,從而導(dǎo)致云中的數(shù)據(jù)泄露�。
云計算可見性的挑戰(zhàn)
企業(yè)目前是否希望了解哪些人員可以訪問其云平臺中的數(shù)據(jù)?而這并不是孤例。很多企業(yè)在云平臺的數(shù)據(jù)都缺乏可見性����,從而導(dǎo)致更多的風(fēng)險。以下是企業(yè)面臨的一些主要挑戰(zhàn):
挑戰(zhàn)1:確保人類與非人類身份的安全
云安全團隊在身份驗證(例如訪問者的身份和位置�����、是人類還是非人類等考慮因素)及其有效權(quán)限方面面臨可見性挑戰(zhàn)�����。例如�����,云計算架構(gòu)在任何時候都有數(shù)百個資源在運行,而大量的人類或非人類的身份都可以訪問����。如何確保所有這些身份的安全訪問,對于云安全團隊來說是一項獨特的挑戰(zhàn)�����。
身份可以承擔(dān)具有特定權(quán)限的角色�����。首先����,很多人過度使用權(quán)限。其次�����,由于云計算的短暫性�,其權(quán)限的濫用可以完全隱藏在具有間歇性的審計時間框架的監(jiān)控服務(wù)中。最后��,更復(fù)雜的是特權(quán)身份可以根據(jù)需要切換角色���,產(chǎn)生未經(jīng)檢查的升級特權(quán)的臨時權(quán)限鏈��。
其解決方案是采用持續(xù)有效的權(quán)限監(jiān)控�。安全團隊依賴于以“一個用戶(人類)�,一個身份”的概念構(gòu)建身份管理規(guī)則。這種類型的管理可以防止特定于云平臺的新型特權(quán)濫用�����。身份的潛在訪問路徑不是線性的�,而是相互關(guān)聯(lián)的角色、特權(quán)升級能力��、權(quán)限�����、信任關(guān)系和用戶組網(wǎng)絡(luò)的一部分���。提供對每個身份的詳細(xì)可見性的圖形功能是確保最低權(quán)限執(zhí)行的唯一方法����。
挑戰(zhàn)2:確保數(shù)據(jù)安全
企業(yè)的團隊必須跟蹤在多云環(huán)境中訪問的大量數(shù)據(jù)。因此���,在任何給定時刻���,每個身份都會訪問大量數(shù)據(jù)。所有這些沒有多云端到端可見性的數(shù)據(jù)訪問都會導(dǎo)致風(fēng)險���。
傳統(tǒng)的數(shù)據(jù)保護工具缺乏對數(shù)據(jù)的場景理解����,例如敏感性或雙因素身份驗證��。例如�����,企業(yè)可能會將敏感的數(shù)據(jù)保存在配置錯誤的AWS S3存儲桶中�,而該存儲桶未標(biāo)記。如果沒有對企業(yè)的數(shù)據(jù)的場景可見性����,就不會知道是否受到保護。
即使知道敏感數(shù)據(jù)在哪里���,云安全團隊也面臨著了解其去向的挑戰(zhàn)��。因為數(shù)據(jù)可以在多云環(huán)境中駐留和移動��。然而�����,云安全團隊會發(fā)現(xiàn)在沒有標(biāo)準(zhǔn)化的單一數(shù)據(jù)移動視圖的情況下持續(xù)監(jiān)控數(shù)據(jù)具有挑戰(zhàn)性����。
挑戰(zhàn)3:克服復(fù)雜性
最重要的是����,云計算在本質(zhì)上是復(fù)雜的。而負(fù)載計算工作可能在幾分鐘甚至幾秒鐘內(nèi)加速和減速���。因此����,云計算的短暫性使得以完全可見的方式持續(xù)監(jiān)控資源變得更加困難���。
也就是說�,當(dāng)開發(fā)人員在沒有預(yù)先考慮引入復(fù)雜性的情況下迅速加快生產(chǎn)進度時,云計算的復(fù)雜性就會增加��。利益相關(guān)者通常希望加快開發(fā)速度���,以添加具有無數(shù)端點的身份和資源��。他們的理解是云計算提供了無限的可擴展性���,但他們誤認(rèn)為云計算是始終保持資產(chǎn)安全的最終解決方案,事實并非如此�。
不幸的是,云計算的復(fù)雜性繼續(xù)增長���。當(dāng)身份是邊界時��,安全團隊需要一種簡化的方式來查看身份如何訪問資源���。
挑戰(zhàn)4:各個云計算供應(yīng)商的不同安全模型
每個云計算提供商的云安全模型處理方式不同,并沒有實現(xiàn)標(biāo)準(zhǔn)化�。他們的云安全模型不涉及第三方數(shù)據(jù)存儲。云計算供應(yīng)商通常需要使用低級工具����,其中一個錯誤配置就會導(dǎo)致災(zāi)難性的結(jié)果�。云計算提供商安全工具一旦離開云平臺就不會跟蹤數(shù)據(jù)���,從而導(dǎo)致可見性差距��。
如何在多云中獲得可見性
企業(yè)在公有云中獲得可見性的能力取決于從云平臺中獲取所需數(shù)據(jù)的訪問權(quán)限���。IT專業(yè)人員可以使用涵蓋云計算資源的云安全平臺解決方案來做到這一點����。
(1)Sonrai安全可以提供幫助
Sonrai Dig可以提供跨多云的完整可見性,當(dāng)企業(yè)處理成百上千個帳戶時�,采用Sonrai Dig可以了解跨越多個云平臺的身份和數(shù)據(jù),提供跨多云的規(guī)范化視圖以及對云計算身份和數(shù)據(jù)訪問的控制����。
(2)身份安全
Sonrai Dig發(fā)現(xiàn)、規(guī)范化并在圖表上顯示AWS賬戶���、Azure訂閱和GCP項目的所有結(jié)果�。其圖表公開了所有身份��,并提供了對每個角色、特權(quán)�����、權(quán)限����、信任關(guān)系和組的詳細(xì)可見性。這讓團隊了解他們的有效權(quán)限����。Sonrai提供對身份鏈的可見性。人們可以看到身份�、他們所屬的組、策略和信任關(guān)系����,可以了解他們的權(quán)限如何增加訪問權(quán)限。有了這種理解��,團隊就有了一個可行的路線圖來實現(xiàn)最小特權(quán)��。
(3)數(shù)據(jù)安全
借助Sonrai Dig�,企業(yè)的團隊可以發(fā)現(xiàn)并持續(xù)監(jiān)控數(shù)據(jù)存儲,以圖形方式映射哪些數(shù)據(jù)存在���、存在于何處(包括敏感的數(shù)據(jù))���、可以訪問它的內(nèi)容�����、發(fā)生了什么以及它去了哪里�����。團隊可以鎖定結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)��,并通過跨多云的深入分析功能對其進行持續(xù)監(jiān)控��。
企業(yè)的團隊可以識別敏感數(shù)據(jù),并將其分類����。通過對數(shù)據(jù)進行分類,他們可以確定哪些數(shù)據(jù)已經(jīng)鎖定���,哪些數(shù)據(jù)需要鎖定�,并采取措施降低風(fēng)險�����。
(4)智能云安全態(tài)勢管理(CSPM)
Sonrai Dig的智能云安全態(tài)勢管理(CSPM) 可以為企業(yè)提供完整的可見性,其中包括其環(huán)境的場景知識���。將會發(fā)現(xiàn)所有資源并確保企業(yè)安全地配置他們采用的多云��。因此���,該平臺提供何時發(fā)生漂移的檢測,如果與既定的安全基線有偏差��,Sonrai Dig會提醒企業(yè)立即進行審查和修復(fù)�。
智能云安全態(tài)勢管理(CSPM) 平臺擁有開箱即用的框架。而內(nèi)部治理控制(NISTCSF�����、ISO27001)����、既定的監(jiān)管框架(HIPAA、PCI-DSS����、SOC2)和法律(歐盟GDPR)可以顯著地減少實施這些框架所需的繁重工作�����。
(5)治理自動化
Sonrai Dig提供智能工作流程和自動修復(fù)功能�����,與左移安全方法保持一致���。企業(yè)能夠以多云的速度和復(fù)雜性解決風(fēng)險,在問題變得更加嚴(yán)重之前發(fā)現(xiàn)并解決��。
企業(yè)通過治理自動化可以在正確的時間將正確的問題發(fā)送給負(fù)責(zé)的團隊�����,這樣可以減少警報疲勞����。在原有的方法中�,企業(yè)團隊需要對持續(xù)積壓的問題進行分類和修復(fù)。
Sonrai還集成了企業(yè)的持續(xù)集成(CI)/持續(xù)交付(CD)管道�,以真正了解多云中的風(fēng)險。當(dāng)然�����,如果存在無法看到的風(fēng)險,Sonrai Dig就會發(fā)現(xiàn)����。Sonrai可以通過提醒負(fù)責(zé)的團隊或自動修復(fù)來解決問題。此外�,企業(yè)還可以利用Sonrai的內(nèi)置預(yù)防機器人進行管理。
