基礎設施即服務(IaaS)和平台即服務(PaaS)四大綜合安全策略
基礎設施即服務(IaaS)和平台即服務(PaaS)四大綜合安全策略
公用雲的轉變對安全功能現有的風險管理方法提出了挑戰。關於控制實施的決策由開發人員決定,但通常都會在安全功能的權限之外,控制和執行它們的方法發生了變化,責任共享模型改變了傳統的安全責任分解。
公用雲服務消費正在以驚人的速度成長。雖然公用雲在短期內提供了速度和靈活性,但長期比較優勢問題將促使大多數企業的資訊科技(IT)領導者更全面採用基礎設施即服務(IaaS),實現集中式基礎設施管理並不是他們企業的關鍵差異化因素。
安全性都會成為進一步雲端擴展的主要問題。資訊科技(IT)領導者通常對雲端計算中有一種偏見的認識,因為他們未了解到最初以來底層基礎技術已經相當成熟了。
領先的首席訊息安全官(CISO)正在擬定全面的雲端安全戰略,以優先考慮管理公用雲風險的人員配置和投資決策。策略會因為行業、區域和成熟度而有所差異。但是,成功的雲端安全策略都包括四個主要目標:
1. 定義你的企業面臨的雲端風險
辨認企業所面臨潛在的基於雲端的風險,以優先考慮資源並擬定適當的風險緩解試驗。主要面臨的問題有兩種,第一個是不熟悉的技術使風險判斷和評估變得更加困難、另一個是雲端中的監控管理風險仍然不清楚。
解決方案1:建構適用的雲端風險的整體框架
從安全聯盟等來源的框架開始,增加企業原本就有的風險,來自特定法規、行業標準或同行公司的事件。該框架應該根據資訊科技(IT)、法律和業務合作夥伴的意見中建構。構建此框架將會幫助首席訊息安全官(CISO)識別雲端風險的範圍,並判斷評估需要哪些政策、標準和協議。
風險 | 根本原因 | 嚴重性 | 預防措施 |
公開曝露的資料和實例 | 缺乏經驗的開發人員會在配置階段出錯 | 高 | 利用雲端原生功能或第三方工具自動糾正錯誤配置 |
機密劫持 | 錯誤配置的服務器允許威脅行為者使用少量的處理效能進行加密挖掘 | 中低 | 同上;監控非法資源消耗並終止過期的雲端帳戶 |
基於雲的拒絕服務攻擊 | 惡意行為者可以用服務請求連續攻擊面向互聯網的應用程式,威脅雲端服務的可用性。 | 低 | 使用速率限制、彈性負載平衡器和其他本機工具來防止具拒絕服務嘗試。 |
弱訪問憑證 | 開發人員在雲端服務中設定身分時使用強度較弱的密碼。 | 中高 | 使用雲端原生工具設置訪問憑證強度要求並自動執行多因素身分驗證和輪換訪問金鑰 |
金鑰管理不善 | 隨著金鑰數量的增加,安全團隊需要管理多個步驟金鑰管理流程。 | 中 | 將金鑰管理職責集中在一個角色中,並在可能的情況下使用自動化或第三方金鑰管理工具支援該角色。 |
不安全的API | 開發人員使用開源或其他不安全的API來連接多個應用程式,而沒有先評估風險。 | 中高 | 掃描源代碼中的API,並未開發人員提供建構安全的API工具;將API安全評估建置到對CSP的供應商評估中。 |
雲端解決方案提供商(CSP)的惡意內部人員 | 客戶對大型雲端服務提供商如何管理底層技術層的安全性幾乎沒有影響。 | 低 | 為啟用靜態和傳輸中的機密資料加密,以防止雲端解決方案提供商(CSP)員工訪問他並驗證您的雲端解決方案提供商(CSP)已採取是當的步驟來降低內部風險 |
解決方案2:與法律部門合作將法律術語翻譯成資訊科技(IT)術語
通常因為安全團隊步了解如何將法律術語轉換為技術術語,造成新技術法令遵循可能不清楚。透過首席訊息安全官(CISO)與他們的法律合作夥伴共同努力,慎重地評估現有法規有沒有影響企業的雲端生態系統。首席訊息安全官(CISO)應該多嘗試根據基本要求提煉法規,以便提供讓業務和資訊科技(IT)領導者信服的案例,說明新服務是否會引入新的法令遵循風險、可以使用那些選項來降低該風險以及這些法規將如何發展。
2. 重新設計公用雲的安全架構
重新設計安全架構以包含基於雲端的工作負載和底層基本架構。實施正確的技術和流程,以支援解決組織面臨風險的新控制集。安全架構傳統上圍繞集中式、內部部屬技術使用。這些組件並不是容易轉化為基於雲的基礎設施,其中可見性較低、底層既舒適欣的、威脅媒介已經改變。
解決方案1:為您的企業建立正確的控制框架
公用雲在控制框架將和之前的本地維護的安全功能相似但不相同,並且實施這些控制的方法經有所不同。要為了基礎架構即服務(IaaS)和平台即服務(PaaS)建立正確的控制框架
●將控制框架投射到行業標準
透過將公認的控制框架投射到行業一致的標準法規,為基礎架構即服務(IaaS)和平台即服務(PaaS)建立控制組合。這將為雲端服務提供必要控制的全貌,安全團隊可以使用這些控制來確定最高效率的控制,並建立最低可行安全的基礎。
●不斷更新您的控制框架
監控不斷變化的企業雲端使用案例,其中包含服務類型、資料類型和雲端用戶的成熟度。其他企業經歷的新雲端安全事件以及雲端解決方案提供商(CSP)或供應商提供的新安全功能
,以指導有關如何更新控制框架的決策。
●預測未來對互相操作性的需求
先確定您的企業是使用單個基礎架構即服務(IaaS)提供商進行標準化還是使用多個解決方案,因為多雲端路徑會增加安全團隊的複雜性。在多個雲端世界中,安全團隊面臨著選擇使用抽象工具來標準化跨多個提供商的控制還是利用可以逐點提供附加價值的特定雲端源生功能的嚴峻問題。
解決方案2:正式化雲端安全標準
安全性應正式定義控制標準,例如靜態加密和傳輸機密資料加密等。為雲端用戶提供滿足這些要求的靈活性。對於給定的部屬模組,許多標準在服務提供商之間是通用的。但滿足這些標準的技術手段會有所不同。安全團隊可以採取為開發人員提供有關標準實施的消耗性制導、集中公共服務的最佳安全實踐等步驟來讓開發人員更容易實施。
3. 建立雲端安全管理
雲端計算的分散式實例化和訪問表示著雲端用戶必須承擔更多的責任來保護他們的環境。與資訊科技(IT)和業務夥伴合作,建立新的風險管理項目,擬定使用監控來確保執行新的風險管理活動。雲端計算的速度和可訪問性消除了安全團隊可以確保安全功能實施的傳統階段。這將控制實施的責任轉移給有雲端安全方面經驗有限的開發人員。因此安全團隊必須能夠從一開始就為開發人員提供知識、激勵和能力來做安全的事情
解決方案1:透過自動化和安全工具輕鬆遵守
許多企業中快速發展的雲端生態系統幾乎都需要安全團隊部屬自動化以隨著業務雲端的使用擴展。自動雲端安全提供了雙重好處,立即確保達到安全標準、同時使開發人員更容易部屬雲端。如果要實施安全自動化,首先一定要確定自動化的安全漏洞已經修補,熟悉相關的雲端源生工具並考慮使用供應商工具,例如雲端工作負載保護平台。
解決方案2:監控標準遵守情況和安全活動績效
雖然公用基礎架構即服務(IaaS)的改變降低了首席訊息安全官(CISO)習慣的一些可見度,但雲端解決方案提供商(CSP)和供應商現在提供了比過去更好的監控用戶行為的選項。雲端訪問安全代理(CASB)以發展到支援基礎架構即服務(IaaS)環境和平台即服務(PaaS)中的安全監控。雲端工作負載保護平台等其他供應商解決方案可以為配置管理、資料安全和流量監督等領域提供可見性和保護。安全性應該透過更強大的雲端原生監控來補充任何第三方工具,提供更好的保證。
4. 培養雲端安全技能
匯集支援向公用雲過渡所需的雲端安全技能。確保關鍵能力並確定優先級,幫助員工跟上雲端服務中不斷變化的技術。
解決方案1:定義雲端安全技能
為了促進有效的雲端安全戰略勞動力規劃,首先定義保護企業中的雲端服務所需的技能集。例如基礎架構即服務(IaaS)編寫自動化腳本的新技能,以將安全規則應用到作為環境的基礎設施中,通常使用在雲端原生工具。平台即服務(PaaS)要求安全人員能夠提供API和其他嵌入式安全功能,將安全性融入連續交付管道。將技能開發與企業面臨的主要風險以及緩解風險所需的控制結合起來,來達到最大限度地提高開發工作的投資報酬率。
解決方案2:從安全之外借用公用雲專業知識
不要期望能夠安全能夠單獨管理雲端風險。必須能夠判別並利用其他資訊科技(IT)人員的專業知識,開發在雲端環境中建立和執行控制技術知識。透過正式和非正式團體獲得雲端安全專業知識,企業經常使用雲端卓越中心來解決技術雲端問題。而許多首席訊息安全官(CISO)反應,他們在非正式團隊中成功了定義明確的項目。這些團隊可以針對開發人員滿足安全標準,同時也能提升安全人員的知識,提供一套初步的技術指南。將群體作為資訊科技(IT)員工更進一步發展雲端技能並在日後跨職能的工作場所中變得更有價值的機會。
總結
遷移到公用雲最後是有可能改善企業的安全狀況,大型的基礎架構即服務(IaaS)提供商將安全是為競爭對手作為比較的話是有優勢的,也可以形成一個良性循環,頂尖提供商互相競爭可以提供更好的安全功能,通常會超過在本地發現的安全功能。
這些轉變會讓首席訊息安全官(CISO)以新的方式思考訊息安全,必須設計現代實踐來管理用於保護公用雲的人員、流程和技術。首席訊息安全官(CISO)還需要意識到公用雲將持續存在。使用基礎架構即服務(IaaS)和平台即服務(PaaS)的業務案例只會隨著這些服務的發展而變得更加強大。根據此處概述的原則擬定戰略,首席訊息安全官(CISO)可以實現安全的雲端使用,同時為企業制定長期目標以繼續從這些服務中獲利。
