對云安全發(fā)展持續(xù)數(shù)年的觀察可以發(fā)現(xiàn),很多企業(yè)傾向于遵循一定的動作模式來采納公共云計算,其經(jīng)歷的大致階段一般如下:
1. 保守階段
這期間,CISO抗拒云計算,宣稱工作負(fù)載在公共云上得不到足夠的安全防護(hù)。這種行為在后來者或非常保守的公司中還時有發(fā)生,但云計算絕對在大多數(shù)大企業(yè)中起航了。換句話說,CISO不能逃避面對云計算,相反,他們必須弄清楚如何保護(hù)基于云的工作負(fù)載,不管他們喜歡與否。
2. 傳統(tǒng)安全階段
當(dāng)企業(yè)開始試水公共云計算,安全團(tuán)隊偏向使用原有的內(nèi)部安全監(jiān)視和實施工具——防火墻、代理、反病毒軟件、網(wǎng)絡(luò)分析等等,來嘗試保護(hù)云工作負(fù)載。企業(yè)戰(zhàn)略集團(tuán)(ESG)2016年的研究表明,92%的企業(yè)一定程度上使用已有安全工具保護(hù)云安全。
這其中的問題很明顯:傳統(tǒng)安全技術(shù)是為物理設(shè)備、內(nèi)部日志、以系統(tǒng)為中心的軟件和出/入站網(wǎng)絡(luò)流量設(shè)計的,并非公共云計算這種臨時架構(gòu)的專用技術(shù)。這一錯位往往導(dǎo)致徹底的失敗——32%的企業(yè)因無法有效保護(hù)云安全而棄用傳統(tǒng)安全技術(shù)。
3. 云監(jiān)測階段
一旦企業(yè)越過用現(xiàn)有控制措施進(jìn)行云安全試驗的階段,他們便傾向于擁抱那句管理老話:“你無法管理你不能測量的東西。”這一階段中,安全團(tuán)隊部署監(jiān)測工具,以獲得對云應(yīng)用、數(shù)據(jù)、工作負(fù)載,以及所有云資產(chǎn)間連接的完整視圖。這很有啟發(fā)性,因為極少有公司對云上發(fā)生事件有著清晰準(zhǔn)確完整的理解。
4. 云親和階段
有了全部云資產(chǎn)的完整視圖,智慧的安全團(tuán)隊就能確保進(jìn)一步的安全操作適配云計算“擁有者”——軟件開發(fā)人員、開發(fā)運維員工、數(shù)據(jù)中心運營。目標(biāo)是?將安全技術(shù)整合進(jìn)開發(fā)模型、配置和Chef及Puppet之類編配工具中,讓安全可以跟上云計算的動態(tài)本質(zhì)與速度。
注意,該階段略有點偏離純云安全監(jiān)測和策略實施,但主流企業(yè)宣稱,這是建立協(xié)作和安全最佳實踐的有價值偏離。
5. 云安全控制階段
自此,安全團(tuán)隊與云開發(fā)者和運營人員合作,向配置和運營中添加安全控制。安全傾向于從工作負(fù)載分隔開始,然后深入到更高級的控制(基于主機(jī)的安全、威脅檢測、誘騙等等)。
值得指出的是,有些創(chuàng)新云安全工具正在橋接控制階段和監(jiān)測階段。它們監(jiān)測云,梳理所有資產(chǎn),然后基于應(yīng)用類型、數(shù)據(jù)敏感性或邏輯聯(lián)系,建議適用的策略。這一橋梁可真正幫助加速云安全策略管理。
6. 中心策略階段
尖端企業(yè)中才可領(lǐng)略到這一階段,但這預(yù)示著未來的導(dǎo)向。一旦企業(yè)習(xí)慣了軟件定義云安全技術(shù)的靈活性和動態(tài)本質(zhì),他們就會繼續(xù)深入到:
聚合云安全工具比如說,他們可能會選擇一款工具(不是2個專業(yè)工具)進(jìn)行微分隔和基于主機(jī)的控制。這可減少復(fù)雜性,提供中心策略和控制。
用軟件定義的工具替換掉傳統(tǒng)工具比如,拋棄數(shù)據(jù)中心中的傳統(tǒng)防火墻,而用軟件定義的微分隔工具替代之。此種策略可在集中所有分隔策略的同時,帶來數(shù)百萬美元的開支節(jié)省。已有一些企業(yè)網(wǎng)絡(luò)分隔項目開始這么做了,他們的目標(biāo)就是使用軟件定義的微分隔,來代替防火墻規(guī)則、基于交換機(jī)的訪問控制列表(ACL)等等。野心勃勃?是的,但成功的項目可簡化安全運營,剩下許多開支。
總結(jié)
企業(yè)規(guī)避死胡同,直接跳到云監(jiān)測階段,不失為明智的做法。這可以省去數(shù)月的挫折,幫助安全團(tuán)隊更快地趕上云用戶。對技術(shù)提供者而言,其目標(biāo)應(yīng)該是與強(qiáng)大的企業(yè)級中心管理功能整合的云安全技術(shù)組合。