2021-03-06 分類: 網(wǎng)站建設(shè)
在過去的十年,
1.云計(jì)算減輕了一些重大責(zé)任
企業(yè)在采用云計(jì)算技術(shù)時(shí),可以擺脫獲取和維護(hù)物理IT基礎(chǔ)設(shè)施的負(fù)擔(dān),這意味著企業(yè)的安全部門不再對(duì)物理基礎(chǔ)設(shè)施的安全負(fù)責(zé)。云計(jì)算的共享安全模型規(guī)定,例如AWS和Azure等云計(jì)算服務(wù)提供商(CSP)需要負(fù)責(zé)物理基礎(chǔ)設(shè)施的安全性。用戶自己負(fù)責(zé)安全使用云計(jì)算資源。然而,關(guān)于共享責(zé)任模型存在很多誤解,這帶來了風(fēng)險(xiǎn)。
2.在云中,開發(fā)人員自己做出基礎(chǔ)設(shè)施決策
云計(jì)算資源可通過應(yīng)用程序編程接口(API)按需提供。由于云計(jì)算是一種自助服務(wù),開發(fā)人員可以快速采取行動(dòng),避開了傳統(tǒng)的安全網(wǎng)關(guān)。當(dāng)開發(fā)人員為其應(yīng)用程序啟動(dòng)云計(jì)算環(huán)境時(shí),他們正在配置其基礎(chǔ)設(shè)施的安全性。但開發(fā)人員可能會(huì)犯一些錯(cuò)誤,其中包括嚴(yán)重的云計(jì)算資源配置錯(cuò)誤和違反法規(guī)遵從性策略。
3.開發(fā)人員不斷改變基礎(chǔ)設(shè)施配置
企業(yè)可以在云中比在數(shù)據(jù)中心更快地進(jìn)行創(chuàng)新。持續(xù)集成和持續(xù)部署(CI/CD)意味著對(duì)云計(jì)算環(huán)境的持續(xù)更改。開發(fā)人員很容易更改基礎(chǔ)設(shè)施配置,以執(zhí)行諸如從實(shí)例獲取日志或解決問題等任務(wù)。因此,即使他們?cè)诘谝惶斓?a target="_blank">云計(jì)算基礎(chǔ)設(shè)施的安全性是正確的,也許第二天可能會(huì)引入錯(cuò)誤配置漏洞。
4.云計(jì)算是可編程的,可以實(shí)現(xiàn)自動(dòng)化
由于可以通過API創(chuàng)建、修改和銷毀云計(jì)算資源,開發(fā)人員已經(jīng)放棄了基于Web的云計(jì)算“控制臺(tái)”,并使用AWS CloudFormation和Hashicorp Terraform等基礎(chǔ)設(shè)施代碼工具對(duì)其云計(jì)算資源進(jìn)行編程??梢灶A(yù)定義,按需部署大規(guī)模云平臺(tái)環(huán)境,并以編程方式和自動(dòng)化方式進(jìn)行更新。這些基礎(chǔ)設(shè)施配置文件包括關(guān)鍵資源的安全相關(guān)配置。
5.云中還有更多的基礎(chǔ)設(shè)施需要保護(hù)
在某些方面,數(shù)據(jù)中心的安全性更容易管理。企業(yè)的網(wǎng)絡(luò)、防火墻和服務(wù)器都在機(jī)架上運(yùn)行,而云計(jì)算也以虛擬化形式存在。但云計(jì)算也提供了一系列新的基礎(chǔ)設(shè)施資源,如無服務(wù)器和容器。在過去的幾年中,僅AWS公司就推出了數(shù)百種新的服務(wù)。即使是熟悉的東西,如網(wǎng)絡(luò)和防火墻,在云中也以不熟悉的方式運(yùn)行。所有這些都需要新的和不同的安全姿勢(shì)。
6.云中還有更多基礎(chǔ)設(shè)施可以保護(hù)
組織需要更多的云計(jì)算基礎(chǔ)設(shè)施資源來跟蹤和保護(hù),并且由于云計(jì)算的彈性,更多會(huì)隨著時(shí)間而變化。在云中大規(guī)模運(yùn)營的團(tuán)隊(duì)可能正在管理跨多個(gè)區(qū)域和帳戶的數(shù)十個(gè)云平臺(tái)環(huán)境,每個(gè)團(tuán)隊(duì)可能涉及數(shù)萬個(gè)單獨(dú)配置并可通過API訪問的資源。這些資源相互作用,需要自己的身份和訪問控制(IAM)權(quán)限。微服務(wù)架構(gòu)使這個(gè)問題復(fù)雜化。
7.云計(jì)算安全性與配置錯(cuò)誤有關(guān)
云計(jì)算運(yùn)營完全與云計(jì)算資源配置有關(guān),其中包括網(wǎng)絡(luò)、安全組等安全敏感資源,以及數(shù)據(jù)庫和對(duì)象存儲(chǔ)的訪問策略。如果企業(yè)不必運(yùn)營和維護(hù)物理基礎(chǔ)設(shè)施,安全重點(diǎn)將轉(zhuǎn)移到云計(jì)算資源的配置上,以確保它們?cè)诘谝惶焓钦_的,并且它們?cè)诘诙旒耙院蟊3诌@種狀態(tài)。
8. 云安全也與身份管理有關(guān)
在云中,許多服務(wù)通過API調(diào)用相互連接,要求對(duì)安全性進(jìn)行身份管理,而不是基于IP的網(wǎng)絡(luò)規(guī)則、防火墻等。例如,使用附加到lambda接受其服務(wù)標(biāo)識(shí)的角色的策略來完成從lambda到S3存儲(chǔ)桶的連接。身份和訪問管理(IAM)以及類似的服務(wù)都是復(fù)雜的,其功能豐富。
9.對(duì)云計(jì)算的威脅的性質(zhì)是不同的
糟糕的參與者使用代碼和自動(dòng)化來查找云計(jì)算環(huán)境中的漏洞并加以利用,自動(dòng)化威脅將始終超過人工或半人工的安全防御。企業(yè)的云安全必須能夠抵御當(dāng)今的威脅,這意味著它們必須涵蓋所有關(guān)鍵資源和策略,并在沒有人工參與的情況下自動(dòng)從這些資源的任何錯(cuò)誤配置中恢復(fù)。這里的關(guān)鍵指標(biāo)是關(guān)鍵云計(jì)算配置錯(cuò)誤的平均修復(fù)時(shí)間(MTTR)。如果以小時(shí)、天、周來衡量,那么還有工作需要做。
10.數(shù)據(jù)中心安全性在云中不起作用
到目前為止,人們可能已經(jīng)得出結(jié)論,在數(shù)據(jù)中心中工作的許多安全工具在云中沒有多大用處。這并不意味著企業(yè)需要拋棄一直在使用的所有東西,但要知道哪些仍然適用,哪些已經(jīng)過時(shí)。例如,應(yīng)用程序安全性仍然很重要,但依靠跨度或點(diǎn)擊來檢查流量的網(wǎng)絡(luò)監(jiān)視工具不會(huì)因?yàn)?a target="_blank">云計(jì)算服務(wù)供應(yīng)商不提供直接網(wǎng)絡(luò)訪問。企業(yè)需要填補(bǔ)的主要安全漏洞與云計(jì)算資源配置有關(guān)。
11.云中的安全性可以更容易、更有效
由于云計(jì)算是可編程的并且可以實(shí)現(xiàn)自動(dòng)化,這意味著云中安全性可以比數(shù)據(jù)中心更容易、更有效。
監(jiān)控配置錯(cuò)誤和偏差的情況可以完全實(shí)現(xiàn)自動(dòng)化,企業(yè)可以為關(guān)鍵資源使用自我修復(fù)基礎(chǔ)設(shè)施來保護(hù)敏感數(shù)據(jù)。在配置或更新基礎(chǔ)設(shè)施之前,企業(yè)可以運(yùn)行自動(dòng)化測(cè)試來驗(yàn)證作為代碼的基礎(chǔ)設(shè)施是否符合其企業(yè)安全策略,就像企業(yè)保護(hù)應(yīng)用程序代碼一樣。這讓開發(fā)人員可以更早地了解是否存在需要修復(fù)的問題,并最終幫助他們更快地行動(dòng),并不斷創(chuàng)新。
12.在云中,合規(guī)性也可以更容易、更有效
這對(duì)合規(guī)性分析師也是好消息。傳統(tǒng)的云計(jì)算環(huán)境人工審計(jì)的成本可能非常高昂,容易出錯(cuò)且耗時(shí),而且在完成之前它們通常已經(jīng)過時(shí)。由于云計(jì)算是可編程的,并且可以實(shí)現(xiàn)自動(dòng)化,因此也可以進(jìn)行合規(guī)性掃描和調(diào)查報(bào)告?,F(xiàn)在可以在不投入大量時(shí)間和資源的情況下,自動(dòng)執(zhí)行合規(guī)性審計(jì)并定期生成報(bào)告。由于云計(jì)算環(huán)境變化如此頻繁,超過一天的審計(jì)間隔可能太長。
從哪里開始使用云安全性
(1)了解開發(fā)人員正在做什么
他們使用的是什么云計(jì)算環(huán)境,他們?nèi)绾瓮ㄟ^帳戶(即開發(fā)、測(cè)試、產(chǎn)品)分離問題?他們使用什么配置和持續(xù)集成和持續(xù)部署(CI/CD)工具?他們目前正在使用任何安全工具嗎?這些問題的答案將幫助企業(yè)制定云計(jì)算安全路線圖,并確定需要關(guān)注的理想領(lǐng)域。
(2)將合規(guī)性框架應(yīng)用于現(xiàn)有環(huán)境
識(shí)別違規(guī)行為,然后與企業(yè)的開發(fā)人員合作以使其符合規(guī)定。如果企業(yè)不遵守HIPAA、GDPR、NIST 800-53或PCI等合規(guī)制度,則采用互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)。像AWS和Azure這樣的云計(jì)算提供商已經(jīng)將其應(yīng)用到他們的云平臺(tái),以幫助消除他們?nèi)绾螒?yīng)用于企業(yè)正在做什么的猜測(cè)。
(3)確定關(guān)鍵資源并建立良好的配置基線
不要忽視關(guān)鍵細(xì)節(jié)。企業(yè)與開發(fā)人員合作,確定包含關(guān)鍵數(shù)據(jù)的云計(jì)算資源,并為他們建立安全的配置基線(以及網(wǎng)絡(luò)和安全組等相關(guān)資源)。開始檢測(cè)這些配置偏差,并考慮自動(dòng)修復(fù)解決方案,以防止錯(cuò)誤配置導(dǎo)致事故。
(4)幫助開發(fā)人員更安全地開展工作
通過與開發(fā)人員合作,在軟件開發(fā)生命周期早期(SLDC)中加入安全性,實(shí)現(xiàn)“左移”。DevSecOps方法(例如開發(fā)期間的自動(dòng)策略檢查)通過消除緩慢的人工安全性和合規(guī)性流程來幫助保持創(chuàng)新的快速發(fā)展。
有效且具有彈性的云安全態(tài)勢(shì)的關(guān)鍵是與企業(yè)的開發(fā)和運(yùn)營團(tuán)隊(duì)密切合作,以使每個(gè)成員都在同一頁面上并使用相同的語言溝通。而在云中,安全性不能作為獨(dú)立功能運(yùn)行。
新聞標(biāo)題:云計(jì)算支持IT安全的12種方式
標(biāo)題網(wǎng)址:http://jinyejixie.com/news31/104431.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管、做網(wǎng)站、商城網(wǎng)站、建站公司、全網(wǎng)營銷推廣、網(wǎng)頁設(shè)計(jì)公司
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容