云安全和零信任架構(gòu)的重要性日益增長

Shambhulingayya Aralelemath
隨著基于代碼的云資源部署的廣泛采用,企業(yè)尋求應(yīng)用左移來保護(hù)DevOps管道。在云計(jì)算之旅的所有生命周期階段考慮安全性的轉(zhuǎn)型轉(zhuǎn)變加強(qiáng)了多云環(huán)境的安全態(tài)勢(shì)。

1.png

本文來自千家網(wǎng),作者:Shambhulingayya Aralelemath,Infosys網(wǎng)絡(luò)安全副總裁兼全球交付主管。

云服務(wù)的采用正在上升,企業(yè)出于多種原因正在快速采用多云戰(zhàn)略,例如更好的成本管理、多樣化的運(yùn)營靈活性、更高的彈性、支持并購的敏捷性等等。根據(jù)最近一項(xiàng)關(guān)于云安全的研究,超過79%采用云的企業(yè)擁有不止一家云提供商。然而,隨著每個(gè)云提供商的發(fā)展,多云部署的復(fù)雜性增加,導(dǎo)致網(wǎng)絡(luò)攻擊的威脅和風(fēng)險(xiǎn)也相應(yīng)增加。

需要一種整體方法來一致地應(yīng)用零信任架構(gòu)來保護(hù)多個(gè)異構(gòu)云環(huán)境。這樣的架構(gòu):

確定誰有權(quán)訪問什么以及出于什么目的,并通過職責(zé)分離適當(dāng)限制特權(quán)訪問。

管理身份和設(shè)備的安全狀況,并保護(hù)對(duì)跨云計(jì)算環(huán)境和SaaS應(yīng)用的企業(yè)應(yīng)用和數(shù)據(jù)的訪問。

基于請(qǐng)求的風(fēng)險(xiǎn)環(huán)境和行為分析,動(dòng)態(tài)實(shí)施安全策略。

“安全設(shè)計(jì)”是應(yīng)用零信任架構(gòu)和保護(hù)資源(包括基礎(chǔ)設(shè)施、工作負(fù)載、身份和多云環(huán)境中的數(shù)據(jù))的關(guān)鍵方法。鑒于零信任在保護(hù)云安全方面的重要性,讓我們討論一下在采用零信任之前需要考慮的一些關(guān)鍵方面:

實(shí)現(xiàn)最少權(quán)限框架:黑客可以利用過多的權(quán)限訪問云資源,并增加攻擊半徑。權(quán)限設(shè)置中的錯(cuò)誤配置可能導(dǎo)致對(duì)敏感數(shù)據(jù)的未經(jīng)授權(quán)訪問、對(duì)關(guān)鍵資源的未經(jīng)授權(quán)訪問導(dǎo)致服務(wù)中斷以及類似事件。最小權(quán)限原則確保云中的所有身份(人類或非人類)僅具有執(zhí)行任務(wù)所需的最小權(quán)限,從而減少了攻擊面。

管理數(shù)據(jù)安全的盲點(diǎn):企業(yè)必須通過上下文感知的數(shù)據(jù)安全解決方案保護(hù)存儲(chǔ)在云中的敏感數(shù)據(jù)對(duì)象,并通過數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)解決方案管理其安全狀態(tài)。這些解決方案有助于自動(dòng)發(fā)現(xiàn)和分類存儲(chǔ)在云中的數(shù)據(jù),并防止由于盲點(diǎn)而導(dǎo)致的數(shù)據(jù)可見性錯(cuò)誤配置。

增強(qiáng)的威脅檢測(cè):在異構(gòu)云環(huán)境中,缺乏跨基礎(chǔ)設(shè)施和應(yīng)用程序堆棧的可見性增加了挑戰(zhàn)。人工智能驅(qū)動(dòng)的技術(shù)可以在基線云安全框架中檢測(cè)威脅和異常。

Shift-Left的安全性:隨著基于代碼的云資源部署的廣泛采用,企業(yè)尋求應(yīng)用左移來保護(hù)DevOps管道。在云計(jì)算之旅的所有生命周期階段考慮安全性的轉(zhuǎn)型轉(zhuǎn)變加強(qiáng)了多云環(huán)境的安全態(tài)勢(shì)。

基于人工智能和機(jī)器學(xué)習(xí)的自適應(yīng)云安全:人工智能和機(jī)器學(xué)習(xí)被認(rèn)為是云中網(wǎng)絡(luò)安全戰(zhàn)略網(wǎng)格的基本要素。云服務(wù)的快速擴(kuò)展需要快速與基于AI和ml的云安全控制用例保持一致,包括管理云配置、檢測(cè)異常和防止未經(jīng)授權(quán)的操作。

無服務(wù)器安全性:隨著無服務(wù)器計(jì)算的流行,攻擊者和云資源之間的屏障已經(jīng)減弱。無服務(wù)器應(yīng)用程序是細(xì)粒度的、基于微服務(wù)的,具有多個(gè)入口點(diǎn)。因此,在無服務(wù)器功能中構(gòu)建安全控制,以保護(hù)對(duì)應(yīng)用程序的細(xì)粒度和權(quán)限訪問。

云錯(cuò)誤配置:云資源的錯(cuò)誤配置是一種廣泛流行的云攻擊向量,它為未經(jīng)授權(quán)訪問云數(shù)據(jù)和資源打開了大門。根據(jù)美國國家安全局(National Security Agency)的數(shù)據(jù),云配置錯(cuò)誤是云安全的首要漏洞,近80%的云數(shù)據(jù)泄露都與此有關(guān)。云服務(wù)推出速度的加快也增加了安全策略的復(fù)雜性。錯(cuò)誤配置可能會(huì)在云架構(gòu)中引入深度防御和零信任原則可以解決的故障。

供應(yīng)鏈安全:云中的錯(cuò)誤配置風(fēng)險(xiǎn)可能使企業(yè)容易成為供應(yīng)鏈攻擊的目標(biāo)。因此,需要采取適當(dāng)?shù)拇胧?,通過分層安全來減少攻擊面,并在供應(yīng)鏈上妥協(xié)時(shí)限制損害。

因此,隨著多云服務(wù)采用的增加,需要一種基于零信任的方法來保護(hù)云服務(wù),以減少攻擊面并優(yōu)化安全配置的總體成本。此類云安全實(shí)踐應(yīng)與企業(yè)的架構(gòu)框架保持一致,并建立創(chuàng)新實(shí)踐,以確保云轉(zhuǎn)型之旅的未來需求。

作者:Shambhulingayya Aralelemath,Infosys網(wǎng)絡(luò)安全副總裁兼全球交付主管

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論

本月熱門