信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡(luò)研究院”。

對于許多企業(yè)來說，將應(yīng)用程序遷移到公共云是一個有吸引力的提議，可以帶來很多好處。

它可以加快上市時(shí)間，企業(yè)可以在幾秒鐘內(nèi)啟動新實(shí)例或停用它們，從而使開發(fā)人員能夠通過快速部署來加速開發(fā)。這支持更大的靈活性，并提供顯著的成本節(jié)省和更好的協(xié)作。

它還非常適合市場不斷發(fā)展的公司，因?yàn)樗С衷鰪?qiáng)的可擴(kuò)展性，同時(shí)為企業(yè)提供高級安全性和數(shù)據(jù)丟失防護(hù)。

根據(jù)Fortinet的2022年云安全報(bào)告，39%的受訪者將一半以上的工作負(fù)載放在云端，而58%的受訪者計(jì)劃在未來12至18個月內(nèi)這樣做。

然而，隨著企業(yè)IT基礎(chǔ)設(shè)施不斷遷移到云以及客戶創(chuàng)建以應(yīng)用程序編程接口(API)為中心的應(yīng)用程序并集成到第三方服務(wù)中，攻擊面不斷擴(kuò)大，為威脅行為者竊取或破壞敏感數(shù)據(jù)和資產(chǎn)創(chuàng)造了更多機(jī)會。

云攻擊面的快速擴(kuò)張已經(jīng)導(dǎo)致許多勒索軟件泄露，許多安全團(tuán)隊(duì)，尤其是使用遺留系統(tǒng)的安全團(tuán)隊(duì)，正在努力應(yīng)對新出現(xiàn)的高級威脅。

因此，云安全正迅速成為企業(yè)領(lǐng)導(dǎo)者的首要任務(wù)。事實(shí)上，根據(jù)Fortinet的最新報(bào)告，95%的組織對公共云環(huán)境中的安全狀況有中等到極度的擔(dān)憂。

目前阻礙云采用的一些最重要的不可預(yù)見因素包括缺乏可見性、高成本、失去控制和一般安全風(fēng)險(xiǎn)。

云安全技能短缺、遺留的SecOps和組織結(jié)構(gòu)挑戰(zhàn)也是云安全性和敏捷性的抑制因素，增加了云轉(zhuǎn)型的復(fù)雜性。

將應(yīng)用程序遷移到云的企業(yè)必須了解應(yīng)用程序開發(fā)周期以及如何為其附加安全性。

盡早將安全和安全護(hù)欄納入應(yīng)用程序開發(fā)生命周期對于降低風(fēng)險(xiǎn)至關(guān)重要，更好地了解威脅形勢、關(guān)鍵工作負(fù)載、應(yīng)用程序和平臺，并圍繞這些應(yīng)用程序提供更好的安全性、可用性和彈性。

在整個開發(fā)周期中將安全性構(gòu)建到基于云的應(yīng)用程序中稱為云應(yīng)用程序安全性。

它由一個由策略、流程和控制組成的系統(tǒng)組成，用于保護(hù)整個云環(huán)境中的數(shù)據(jù)信息，同時(shí)保持所有基于云的資產(chǎn)的全面可見性并限制僅授權(quán)用戶的訪問。

近年來，隨著數(shù)字環(huán)境的不斷發(fā)展以及企業(yè)將大量數(shù)據(jù)快速遷移到云基礎(chǔ)設(shè)施中，云應(yīng)用程序安全變得更加重要。

云應(yīng)用程序安全最佳實(shí)踐需要一種全面的方法來保護(hù)應(yīng)用程序及其運(yùn)行的基礎(chǔ)設(shè)施的安全。

在實(shí)現(xiàn)足夠的安全性方面，前五名云應(yīng)用程序最佳實(shí)踐是：

1.建立云應(yīng)用安全策略

例如，存儲敏感客戶數(shù)據(jù)的云應(yīng)用程序（例如醫(yī)療記錄或在線銀行應(yīng)用程序）具有更嚴(yán)格的監(jiān)管合規(guī)性。云安全策略必須在不同應(yīng)用程序之間保持一致，并強(qiáng)制執(zhí)行身份驗(yàn)證標(biāo)準(zhǔn)，例如多因素身份驗(yàn)證(MFA)和具有明確定義的角色和規(guī)則的強(qiáng)大訪問管理。

2.加密敏感數(shù)據(jù)

加密可降低云應(yīng)用程序泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)，從而提供額外的保護(hù)層。數(shù)據(jù)存儲在云中后對其進(jìn)行加密，確保即使數(shù)據(jù)丟失或被盜，未經(jīng)授權(quán)的第三方也無法讀取其內(nèi)容。

3.實(shí)施威脅監(jiān)控和日志記錄

一旦應(yīng)用程序遷移到云端，實(shí)施威脅情報(bào)以持續(xù)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)威脅非常重要。威脅監(jiān)控提供實(shí)時(shí)更新和警報(bào)，幫助開發(fā)團(tuán)隊(duì)在威脅影響最終用戶之前快速響應(yīng)威脅。它還使企業(yè)能夠更好地防止未來的安全漏洞。

4.自動化安全測試

自動化安全測試是一個過程，工具通過該過程掃描應(yīng)用程序是否存在弱點(diǎn)，以防止威脅行為者利用某些漏洞。在整個持續(xù)集成和持續(xù)交付(CI/CD)過程中自動掃描漏洞，為開發(fā)團(tuán)隊(duì)提供易受攻擊代碼的早期預(yù)警，并降低CI/CD管道每個階段的安全風(fēng)險(xiǎn)。

5.零信任

并非所有違規(guī)行為都來自第三方。內(nèi)部威脅給企業(yè)帶來重大風(fēng)險(xiǎn)，無論是惡意的還是其他的。云應(yīng)用程序安全的零信任方法限制訪問控制，使員工能夠訪問執(zhí)行特定任務(wù)所需的數(shù)據(jù)。通過對基于云的應(yīng)用程序進(jìn)行零信任訪問控制，企業(yè)可以提高整個企業(yè)應(yīng)用程序和網(wǎng)絡(luò)生態(tài)系統(tǒng)的可見性，并限制數(shù)據(jù)泄露的可能性。

傳統(tǒng)的安全控制已不足以緩解和保護(hù)應(yīng)用程序免受公共云環(huán)境中的新威脅。這使得應(yīng)用程序在開發(fā)階段更容易受到網(wǎng)絡(luò)攻擊。

利用公共云作為軟件開發(fā)過程一部分的組織現(xiàn)在必須設(shè)計(jì)并附加全面的安全解決方案，以防范云環(huán)境中的威脅。

還必須實(shí)施安全措施，以降低應(yīng)用程序級別日益復(fù)雜的攻擊的風(fēng)險(xiǎn)，這些攻擊可能會利用系統(tǒng)錯誤配置、未修補(bǔ)的軟件和不安全的API。

組織應(yīng)尋求實(shí)施具有通用零信任方法的融合安全平臺，以保護(hù)本地?cái)?shù)據(jù)中心和云環(huán)境，包括為云中誕生的應(yīng)用程序提供多層安全性。

這種融合將在單一管理平臺下為所有基于云的應(yīng)用程序和部署環(huán)境提供實(shí)時(shí)可見性、控制和安全性。

隨著越來越多的企業(yè)將應(yīng)用程序遷移到云，他們必須將重點(diǎn)從云基礎(chǔ)設(shè)施安全擴(kuò)展到云應(yīng)用程序安全，其中的重點(diǎn)是擁有完整的可見性并了解應(yīng)用程序性能以及云環(huán)境中針對這些應(yīng)用程序演變的威脅。