企业增强多云安全性的8种策略
2019-09-17KevinCasey
Kevin Casey
企业在采用多个云平台服务时,如何实现强大的安全性?行业专家提出了有关规划、可迁移性、工具以及其他关键的多云安全考虑事项的建议。
多云应该从一开始就清楚地表明,企业的安全计划需要更新这种现代IT范式。企业保护的不再是单个环境或网络,而是多个威胁面。
采用多云不是让企业感到恐慌的原因。相反,它是将新的工具和策略整合到企业的安全策略中,并且是加强一些现有流程的推动力。
瞻博网络公司安全威胁实验室负责人Mounir Hahad说:“随着物联网、公共云、混合云的兴起,典型的网络边界已经被拉长和延伸,并且安全性开始衰退。随着越来越多的企业准备实施多云战略,确保跨不同环境的安全至关重要。”
随着多云环境成为常态,通常作为混合云架构(也包括本地基础设施)的一部分,确保这些环境的安全性确实需要优先考虑。Hahad和其他安全专家分享了一些建议,以确保企业业务在多云环境的安全。以下是增强安全性的8种策略:
将多云安全性作为
前期考虑因素
随着越来越多的企业采用多云战略,安全性需要成为这深思熟虑的计划的早期部分。Hahad指出,从单一云平台迁移到多个云平台有一些重要的考虑因素,其中包括安全性。Hahad说:“例如,确保跨多个环境的安全性,要求在每个云平台上运行的工作负载和应用程序中实施一致的策略应用和实施。在实施多云战略之前考虑安全性时,可以避免或尽早解决潜在的不一致性和互操作性问题。”
但很多企业并没有这么做。例如,在StackRox的容器状态和Kubernetes安全报告的最新版本中,34%的受访者表示他们没有采用容器安全策略,或者只是处于开发策略的开始阶段,即使云计算采用率突然增加(容器安全和多云安全并非完全同义,但它们越来越相互关联)。
有报告表示,一个可能的解释是,容器采用超过了制定安全策略的投资。
将安全性映射到当前和未来的用例
运行多个云平台的原因与保护分布式环境的方法之间的脱节,会增加弱链接的可能性。
Stackrox公司联合创始人兼产品副总裁Wei Lien Dang说:“企业有效保护多云环境的出发点,应该从了解为什么使用多云以及每种云平台上运行的工作负载类型开始。这使安全从业人员能够确定每个云平台的哪些控制是有保证的,以及这些要求可能有什么不同,特别是在共享责任模型的场景中。”
此外,多云环境的本质意味着变化是一个既定的事实,这种灵活性可能是企业的诉求之一。所以要把它纳入企业的长期安全计划中。
Hahad说:“企业现在可能正在为特定工作负载启动多云环境,但未来的使用案例会是什么样的?工作量和应用程序需求会发生变化吗?企业如果预见到这些变化并做好准备,那么安全态势就越强。”
为每个工作负载
确定正确的云计算服务
正如Red Hat公司首席安全架构师Mike Bursell指出的那样,对于部署到云平台的任何工作负载,某些数据和过程都是敏感的。那么,企业应该如何决定将工作负载放在哪里?以及应该如何保护它们呢?Bursell说:“如何为工作负载找到合适的归宿,这是一个IT主管十分关注的问题。”
Bursell建议企业从考虑工作负载中涉及的特定数据和流程开始:例如,是否需要保护机密性、完整性、可用性、正确性或其他因素?
Bursell说:“安全有一系列要求,从锁定房间里的气隙系统,到部署武装警卫,到采用商品化的公共云。例如只有经过授权的安全检查人员才可以管理服务器等。”
有效且高效地使用本机安全控制
企业需要深入研究其提供商提供的嵌入式安全控制和工具。
Dang表示,评估云计算提供商默认启用的安全功能或本机提供的安全功能,一些示例包括数据加密,通过VPC进行虚拟隔离,可以为这些环境提供基础安全性。
另一个很好的例子是与安全声明标记语言(SAML)联合的身份,这种策略使IT团队能够摆脱跨分布式环境管理多个身份的风险业务。
NetEnrich公司云计算架构师Michael Burch说:“大多数公共云提供商都支持SAML进行身份联合,允许在提供商之间单独表示用户账户。在非联合环境中人工复制身份很复杂,并且需要维护多个身份,从而带来重大风险。”
SAS公司首席信息安全官Brian Wilson在評估云平台时指出了身份联合的重要性。他说:“如果企业没有采用身份联合,那么安全厂商就不会与其开展合作。”
增加第三方工具
以保持一致性
安全专业人士表示,跨环境的一致性是至关重要的,特别是随着企业系统的发展和变化。这可能需要第三方工具。
Dang说:“在可用的控制措施不同的情况下,组织应该寻求第三方安全解决方案,以实现跨多云环境的实施、策略和流程的一致性。企业需要寻找这些解决方案以提供自动化和可编程性,使多云安全具有可扩展性,并将操作复杂性降至最低。”
考虑环境之间的可迁移性
这是将用例结合安全策略的一个很好的示例。如果可迁移性和灵活性是运行多个云平台的关键原因之一,那么需要将其融入企业的安全策略中。这也是一致性至关重要的另一个例子。
Aqua Security公司联合创始人兼首席技术官Amir Jerbi说:“多云安全的另一个关键方面是,多云意味着组织希望能够在多个云平台之间移动工作负载,并且在发生这种情况时,不需要重新配置整个安全工具集。企业需要考虑的一个因素是,特定于云计算提供商的设置应尽可能通用,以便在云平台之间轻松转换。例如,采用基于角色的访问控制(RBAC)策略。”
Jerbi还指出,从可迁移性和安全性角度来看,这是容器在多云设置中的另一个实用工具。
他说:“另一种方法是将安全控制尽可能地放在工作负载上。例如,运行容器的组织可以围绕容器映像扫描、可信映像策略和完全不可知云的运行时保护措施实施安全控制。”
将业务流程视为安全工具
Dang指出,当团队开始在生产中部署容器时,业务流程可能不会落后。虽然容器和Kubernetes安全性本身就是一个热门话题,但Kubernetes和其他业务流程工具可以作为一种工具,在各种环境中实现一致性。
Dang说:“企业还应该考虑像Kubernete这样的平台如何通过提供应用程序可以运行的单一、可扩展的体系结构来进一步提高多云安全性,从而更容易对基础设施的关键部分实施单一的安全控制。”
Red Hat公司安全策略师KirstenNewcomer建议对容量安全采用分层方法。这其中包括容器堆栈层(如容器主机和注册表)和容器生命周期问题(如API管理)。
在安全审核中不要走捷径
对于某些团队或个人来说,可能对他们的云计算提供商过于信任,但企业将工作负载移到公共云并不意味着其无需担负这些工作负载安全性的所有责任。
信誉良好的提供商在其平台的安全性方面投入了大量资金,但这并不意味着企业不应该对其进行检查。
例如,Netenrich公司的Burch是将定期审计作为安全最佳实践的支持者,他说:“在这一过程中,云计算环境不应该是例外,如果企业还没有执行审计,那么应该审计所有的云计算环境。”