信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

隨著云計算技術(shù)的廣泛應(yīng)用，業(yè)務(wù)系統(tǒng)上云給企業(yè)帶來了諸多便利。但在上云過程中，越來越多的企業(yè)不愿意“將雞蛋全都放在一個籃子里”，而是會根據(jù)不同業(yè)務(wù)系統(tǒng)的特性、對網(wǎng)絡(luò)帶寬質(zhì)量的要求、數(shù)據(jù)的敏感性以及政策合規(guī)等多方面原因，選擇多個云或者混合云模式來部署不同的業(yè)務(wù)系統(tǒng)。這使得多云技術(shù)架構(gòu)應(yīng)用得到了快速發(fā)展，同時也引入了新的安全問題，給企業(yè)多云環(huán)境應(yīng)用帶來新的風(fēng)險和挑戰(zhàn)。

多云環(huán)境的安全挑戰(zhàn)

云計算的應(yīng)用會存在安全漏洞，不法分子可能會利用這些漏洞來謀取利益。而應(yīng)用多云環(huán)境的組織，除了會面臨傳統(tǒng)的云安全威脅，也需要面對多云環(huán)境自身的應(yīng)用挑戰(zhàn)：

不同云之間的統(tǒng)一化管理

每家云提供商都用一套專有方式來識別云上資產(chǎn)，難以通過統(tǒng)一的規(guī)則來命名一些關(guān)鍵屬性。例如，為了識別實例，AWS使用了“實例ID”，Azure使用了“虛擬機ID”，而GCP則使用“虛擬機實例ID”。因此對于采用多云策略的組織來說，如何實現(xiàn)統(tǒng)一化的管理、報告和分析，具有很大的挑戰(zhàn)性。

多云使用增加安全隱患

不同云環(huán)境之間的應(yīng)用差異仍然較為嚴(yán)重，安全能力、安全策略、安全操作習(xí)慣等均有較大的不同，用戶難以通過統(tǒng)一的方式對龐大的資產(chǎn)進(jìn)行運維和管理，因此可能因為安全策略不統(tǒng)一導(dǎo)致安全管理工作的疏漏，并由此引發(fā)新的安全風(fēng)險。

統(tǒng)一安全運營難度大

大多數(shù)云服務(wù)商提供的內(nèi)置服務(wù)只適用于自身的云平臺上。當(dāng)業(yè)務(wù)需求驅(qū)使組織采用多云策略時，這種孤島現(xiàn)象可能導(dǎo)致嚴(yán)重問題，勢必需要一種滿足安全需求的有效控制措施。為了保持競爭優(yōu)勢，各大CSP（Cloud Service Provider，云服務(wù)提供商）都提供各自的安全工具供客戶使用，但是實現(xiàn)方式差異很大，沒有統(tǒng)一的標(biāo)準(zhǔn)，企業(yè)學(xué)習(xí)、使用的難度較大。同時，不同云之間使用了不同的運營術(shù)語，這無疑也增加了多云環(huán)境的安全運營難度。

傳統(tǒng)云安全風(fēng)險依然存在

傳統(tǒng)云環(huán)境中存在主機安全、應(yīng)用安全和數(shù)據(jù)安全等問題，在多云環(huán)境中依舊存在，而在網(wǎng)絡(luò)層，由于業(yè)務(wù)層面通過隧道或代理打通多云或云上云下環(huán)境，讓多云環(huán)境的安全防護(hù)邊界更加模糊。

多云安全的防護(hù)建議

企業(yè)組織需要進(jìn)一步保障多云架構(gòu)下業(yè)務(wù)運行安全，在原有云安全能力基礎(chǔ)上，全面升級為統(tǒng)一服務(wù)、統(tǒng)一運營、統(tǒng)一運維、統(tǒng)一調(diào)度、統(tǒng)一配置以及統(tǒng)一權(quán)限的多云安全一體化防護(hù)體系。

01

全面洞察不同云上的資產(chǎn)

“看不見的東西往往難以保護(hù)”，所以應(yīng)該洞察盡可能多的資產(chǎn)。企業(yè)組織應(yīng)該積極與CSP（云計算服務(wù)提供商）合作以獲得更全面的云資產(chǎn)可見性，也可以考慮購買或訂購第三方云原生解決方案，以實現(xiàn)持續(xù)收集數(shù)據(jù)，并通過統(tǒng)一的管理中心控制所有云應(yīng)用的配置管理。企業(yè)的安全團(tuán)隊和運營團(tuán)隊還應(yīng)該選擇可以同時管理內(nèi)部資產(chǎn)和云資產(chǎn)的工具。

02

實現(xiàn)自動化的安全管理流程

為了加強多云安全，企業(yè)應(yīng)該實施自動化安全流程，以處理日常任務(wù)，并實施能自行修復(fù)安全問題的編排程序。組織可以通過自動化、機器學(xué)習(xí)和人工智能來幫助安全團(tuán)隊開展運營工作，技術(shù)創(chuàng)新可以幫助安全團(tuán)隊提升工作效率，處理更多事務(wù)，比如規(guī)范數(shù)據(jù)、建立基準(zhǔn)、檢測異常、自動執(zhí)行重復(fù)任務(wù)、快速檢索信息以及自動執(zhí)行標(biāo)準(zhǔn)化安全策略和配置。

03

將云上的安全防護(hù)左移

組織需要將自動化安全流程集成到編程和應(yīng)用程序開發(fā)中，將安全能力融入到云應(yīng)用的開發(fā)中。通過安全能力左移，可以將安全測試和安全技術(shù)遷址到軟件開發(fā)的早期階段。在多云安全領(lǐng)域，安全“左移”需要把更多的自動化、安全和網(wǎng)絡(luò)功能直接融入到應(yīng)用程序開發(fā)中，以便安全人員根據(jù)應(yīng)用程序要求，匹配相應(yīng)的安全能力和措施。

04

與每個云服務(wù)商共同承擔(dān)責(zé)任

每家CSP對于其所需要承擔(dān)的安全責(zé)任都會有不同的想法。企業(yè)要充分了解這些具體的責(zé)任，并相應(yīng)地制定云安全策略：首先，云服務(wù)提供商應(yīng)該提供關(guān)于客戶如何考慮和降低風(fēng)險的有效建議并加以實施，同時還應(yīng)該對如何管理風(fēng)險實施自己的內(nèi)部控制；其次，云供應(yīng)商應(yīng)該列出各種風(fēng)險及各自的解決方案，提供完善的服務(wù)水平協(xié)議，隱私保護(hù)政策等能夠承擔(dān)責(zé)任的說明；最后，多云企業(yè)用戶應(yīng)該明確自身和多云廠商的責(zé)任和角色，能夠清楚的說明每個云服務(wù)提供商的責(zé)任有哪些。

05

了解每家CSP的服務(wù)特點

組織需要搞清楚每家CSP的基礎(chǔ)設(shè)施、安全工具（比如谷歌云安全指揮中心或Azure安全中心）、API接口規(guī)范及其他技術(shù)事項。企業(yè)只有了解到每家服務(wù)提供商的工作原理及特點后，才能實現(xiàn)統(tǒng)一的資源管理、訪問控制策略設(shè)計、統(tǒng)一操作模式，同時簡化安全運營和管理的難度。

06

加固多云基礎(chǔ)設(shè)施

企業(yè)應(yīng)該通過鎖定端口、訪問途徑、應(yīng)用程序接口等方式加固云基礎(chǔ)設(shè)施，并將基礎(chǔ)設(shè)施即代碼（IaC）解決方案集成到云管理流程中。組織不應(yīng)該讓任何不需要的端口保持敞開，也不應(yīng)該讓任何休眠賬戶保持活躍，更不能讓第三方軟件處于失控的狀態(tài)，IaC將幫助企業(yè)安全團(tuán)隊管理這些問題。在多云架構(gòu)應(yīng)用中，任何云應(yīng)用程序和實例都應(yīng)該按運營策略嚴(yán)格鎖定起來，運行最少的服務(wù)并不斷審視配置狀態(tài)及管理要求，以確保任何基于云的基礎(chǔ)設(shè)施盡可能具有彈性。

07

統(tǒng)一身份和訪問管理

構(gòu)建多云環(huán)境下的統(tǒng)一身份權(quán)限管控平臺，是企業(yè)開展多云架構(gòu)應(yīng)用必須要解決的問題。組織需要能夠通過單一系統(tǒng)控制用戶訪問云和內(nèi)部平臺上的所有資產(chǎn)，實現(xiàn)這個目標(biāo)不僅要實現(xiàn)單點登錄，還要考慮統(tǒng)一身份管控、統(tǒng)一權(quán)限管控和云上用戶行為審計，這對企業(yè)來說具有一定的挑戰(zhàn)性。企業(yè)可以將基于角色或?qū)傩缘臋?quán)限控制整合到多云管理控制臺中，或采用零信任的思路構(gòu)建身份管理能力。

08

記錄一切能夠?qū)徲嫷臄?shù)據(jù)

組織可能需要查閱大量日志來修復(fù)安全問題及其他問題，這需要消耗大量的存儲容量，但是卻非常有必要，以便威脅搜索和調(diào)查。目前，市面上已經(jīng)有了大量價格更便宜的云存儲服務(wù)，企業(yè)可以用更低的預(yù)算投入，實現(xiàn)對所有日志信息的記錄。