總結三大雲安全實施建議

轉載自 雲計算D1net 原創 查士加由於雲安全與傳統的線下基礎設施安全大不相同,企業在雲上仍然面臨諸多安全挑戰,其中既有是否信任公有云以及如何信任公有云這類全球性挑戰,也有中國市場獨有的挑戰。針對中國企業面臨的三大雲安全挑戰,Gartner給出了三大建議。Gartner預測:到2023年,主流的雲服務提供商出現重大安全事件的概率將非常低,99%以上的雲安全問題都是由客戶的過錯引起的。而到2024年,利用雲基礎設施的可編程性來改進雲上工作負載的安全,將展現出比傳統數據中心更好的合規性,並減少至少60%的安全事件。近日,Gartner高級分析總監高峰在以“中國雲安全的最佳實踐”爲主題的線上研討會上提到:“企業在雲上是安全的,而且比傳統的線下基礎設施平臺更加安全。”中國企業面臨三大雲安全挑戰實際上,企業在雲安全方面仍有諸多顧慮。由於雲安全與傳統的線下基礎設施安全大不相同,企業在雲上仍然面臨諸多挑戰,既有是否信任公有云以及如何信任公有云這類全球性挑戰,也有中國市場獨有的挑戰。Gartner認爲,中國企業目前面臨三大雲安全挑戰:一是對雲安全責任分攤模型的理解和相關技術能力的缺失。企業在雲安全中分擔的責任與傳統線下數據中心的安全有很大不同,因此理解與雲安全提供商的安全責任分工非常重要。此外,雲安全所需要的技能與傳統的邊界安全也有很大區別,企業在這方面的能力缺失,使雲安全的實施面臨更大的挑戰。二是在雲安全技術的選擇與運用方面存在一定困難。雲的部署模式需要一些安全工具支撐,然而中國的市場現狀是:目前的雲服務提供商和安全廠商無法滿足雲上安全的所有需求,不能提供所有的安全能力,因此許多企業在實施雲安全的過程中面臨技術選擇難題。三是缺乏對雲服務提供商進行持續的風險評估。不同的雲服務提供商存在不同風險,而這些風險並不是一成不變的,中國企業很少對雲服務提供商進行系統性的風險評估,這使企業的雲上資產面臨一定風險。企業應對雲安全挑戰的三大建議如何應對以上三大挑戰呢?高峰在會上給出了Gartner的三大建議。建議一:明確企業和雲服務提供商的安全責任範圍,並建立雲安全所需的能力。雲服務的資源共享理念,打破了傳統IT資產的物理邊界,使現有的安全架構無法有效保護雲上的資產。由於對公有云缺乏信任,中國很多企業過於關注數據的存儲位置,認爲數據在企業自身的物理邊界內更安全。而Gartner則認爲:這種對數據物理位置的過度關注是錯誤的,數據保護需要企業對數據實施安全控制,而非過度關注數據的位置,這會使企業犧牲雲計算的諸多好處。實際上,對於雲服務提供商而言,安全的重要性不言而喻,他們會持續進行大量安全投資,憑藉大量的安全技術人員和用戶基數,雲供應商更容易發現和解決安全問題,因此從規模化效應的角度來看,公有云其實比私有云和傳統數據中心更安全。企業之所以對數據的位置十分關注,除了監管合規的因素外,還有一部分原因是企業在實施雲安全時存在一定困難,伴隨物理邊界的消失,企業不知道如何與雲服務提供商共同保護雲上的數據資產。

高峰提到:基於責任共擔的理念,雲計算的部署模式不同,企業與雲供應商之間所承擔的安全責任也有所不同。如上圖所示,深藍色模塊代表企業的安全責任,綠色模塊代表雲服務商的責任,淡藍色模塊則是企業和雲服務商需要共同承擔的安全責任。從圖中可以看出,無論雲的部署類型如何,數據安全永遠是企業自身的責任,必須通過數據加密、訪問授權控制等一系列手段提升雲上的數據安全水平。大部分企業都存在安全人員和技術能力的缺失問題,通過與雲服務商分擔安全責任,企業能夠更專注於保護核心的數據資產。數據顯示,雲上成功的安全攻擊,大多數是由於用戶的錯誤引起的,例如配置錯誤,或缺少必要的補丁,而充分利用雲上內置的安全功能,以及高度自動化的工具,企業可以顯著減少此類配置錯誤,杜絕管理不善等問題,通過進一步減少攻擊面來改善整體的雲安全狀況。雲資源具有可共享、生命週期短、自動化以及可編程等特點,雲上的安全運維涉及大量的自動化工作,以及跨領域、跨平臺的安全保護工作,這與保護本地的基礎設施安全有很大不同。因此,企業必須建立雲安全相關的能力,設立雲安全架構師和雲安全工程師兩個至關重要的角色。Gartner建議設立雲安全架構師和雲安全工程師兩個角色雲安全架構師主要責任包括以下幾點:1)引領雲安全的文化變革。2)制定雲安全策略。3)開發和協調用於雲安全的安全技術和工具。4)招聘或培訓雲安全工程師。企業可以僱傭或從內部提拔“雲安全架構師”。值得一提的是,“雲安全架構師”並非唯一識別和制定“雲安全架構”的決策人,他需要與雲架構師及其他安全架構師緊密合作,共同做出決策,確保雲上安全。此外,雲安全工程師也是一個非常重要的角色,與某些特定安全領域的傳統安全工程師不同的是,雲安全工程師是擁有廣泛技能的技術專業人員,負責配置本地雲原生和第三方雲安全管控,配置跨多雲環境共同使用的核心安全服務。高峰強調:上雲對大多數企業而言都至關重要,設置雲安全架構師和雲安全工程師兩個角色非常必要。對於中小型企業而言,如果無法設立這兩個專職角色,可以通過職能外包或培訓現有安全團隊,來提升自身的雲安全能力。建議二:優先選擇雲服務商雲原生的安全工具,並以第三方和開源安全工具作爲補充實現安全控制。如今,雲服務提供商正在不斷推出新的雲安全工具,以提高其雲安全水平,其中不乏一些具備或接近企業級產品能力的安全工具,這些工具與其雲服務高度集成,採用雲服務提供商的安全工具,對企業而言成本更低,而訂閱式的付費模式非常方便、靈活,不僅能快速滿足企業的諸多安全訴求,也可以隨時取消或更換安全工具。值得注意的是,爲了滿足中國市場的監管合規要求,國外雲服務商在中國提供的雲服務與全球雲服務之間是物理隔離的,相互之間不互通,運維也由第三方團隊負責,這就導致了其產品、技術和服務可用性的一些差異,國內可以訂閱的安全工具與國外也可能有所不同。因此,企業在選擇這些工具之前,需要覈實其可用性以及產品路線圖。對於那些需要將國外的應用部署遷移到國內同一個雲服務提供商的企業而言,由於國內外雲服務可用性的不同,在無形中增加了應用遷移的複雜度,此時採用一些第三方的安全工具,實現更多個性化配置和服務,是不錯的選擇。國外很多雲服務商的SaaS產品,需要用戶通過跨境連接的方式訪問其全球的SaaS服務,然而數據跨境會面臨一定的合規風險,當雲服務商雲原生的安全工具以及第三方安全工具都無法滿足企業需求時,開源工具成爲企業實施雲安全的另一種選擇,但是需要注意的是,由於缺乏商業支持,開源工具在漏洞管理等方面可能存在一定風險,需要企業仔細評估。由於共享了雲安全責任和雲產品本身的複雜性,大部分企業上雲後都需要對其安全工具進行更新,例如被國內大多數企業廣泛應用的CWPP(雲工作負載保護平臺),在國外較爲成熟的CASB(雲訪問安全代理)、CSPM(雲安全態勢管理)、CNAPP(雲原生應用保護平臺),以及SSPM(SaaS安全態勢管理)和SMP(SaaS管理平臺)等新興的安全工具。

從上圖可以看出,CWPP和CASB一般關注數據平面的安全,CSPM、SSPM和SMP主要關注控制平面的安全,而CNAPP則同時適用於控制平面和數據平面的安全管控。隨後,高峰詳細介紹了幾個重要的雲安全工具。CASB:即雲訪問安全代理,CASB通過對多種類型的雲安全控制進行整合,爲SaaS、IaaS和PaaS提供一些可見性、合規性、數據安全和威脅保護的控制,例如授權、用戶行爲分析(UEBA)、自適應訪問控制、數據泄漏防護(DLP)以及設備分析等。據悉,CASB在國外已得到廣泛應用,而在國內市場,由於CASB供應商需要與雲服務提供商進行深度合作,因此市面上提供CASB的供應商較少。CASB通常有四類集成方式:一是API集成,其部署優勢是不存在代理模式的會話管理問題;二是正向代理方式,主要針對用戶上雲的訪問進行保護,包括企業訪問外網以及訪問雲上資源的流量;三是反向代理部署,針對外部用戶(如:非企業管理的客戶端)對企業雲上的應用訪問,進行保護;四是從安全網關或企業防火牆等安全設備提取日誌,注入到CASB進行分析,並生成雲應用的發行報告。CWPP:即雲工作負載保護平臺,又稱“雲主機保護平臺”,是以工作負載的保護爲主的安全產品,可以保護混合雲、多雲和數據中心的服務器工作負載。與EDR不同的是,CWPP專注於保護服務器負載主機,爲物理機、虛擬機、容器和無服務工作負載等所有主機提供保護,無論它們在數據中心還是雲上,都能提供一致性的可見控制。CWPP能夠結合多種功能保護工作負載,例如:系統完整性保護、應用程序控制、行爲監控、入侵防禦、以及惡意軟件的保護。需要強調的是,儘管中國的供應商提供了很多CWPP工具,但是其中不乏一些基於供應商原有的EDR進行修改的產品,這些修改版的CWPP工具對無服務工作負載、容器以及雲集成的支持能力可能非常有限,企業在選擇相關產品時需要格外注意。CSPM:即雲安全態勢管理,主要通過預防、檢測、響應和主動識別雲基礎設施風險,持續管理雲安全狀況,核心是通過ISO22701等通用框架要求,等保等相關法律法規要求,以及企業的安全策略,主動與被動結合,發現評估雲服務的安全配置風險,一旦發現問題,可以提供自動或者人工的補救措施。例如,CSPM可以根據企業配置的安全策略,對其進行持續的安全檢查,一旦發現配置偏移,即可阻止或通知安全人員。由於CSPM產品需與雲服務提供商深度合作,目前只有少數本地供應商能夠提供此類產品,而國外已經有很多CSPM產品開始支持中國的雲服務商。CNAPP :即雲原生應用保護平臺,CNAPP集成了安全與合規功能,助力保護雲原生應用程序的整個生命週期,包括應用的構建、雲基礎設施的配置以及應用運行時的安全保護。CNAPP整合了大量獨立功能,例如容器掃描、雲安全態勢管理以及雲主機運行時的安全保護等等。目前,一些中國供應商,尤其是初創的雲安全供應商,已經開始提供CNAPP產品,但是尚未覆蓋所有領域,這一類工具有待進一步發展。建議三:評估雲服務提供商的風險。

無論企業採用哪種雲部署方式,雲服務提供商的風險都不容忽視。Gartner總結了一些常用的評估方法,如上圖所示,這些評估方式從左到右給企業做出決定的評估價值會越來越高,從下到上評估所需要的投入會越來越少。企業可以根據自身的實際情況進行選擇,也可以採用多種評估方式對雲服務提供商的風險進行綜合評估。此外,Gartner根據雲服務商的數量給出了一個簡單的評估模型:第一梯隊是一些少量、成熟的大型雲服務提供商,以及少數成熟的財務安全雲服務提供商,他們主導市場的時間超過5年,均已通過等保三級等重要認證,以及市面上常見的第三方安全評估,這些巨頭更注重保護形象,會不斷增加安全投入以尋求客戶的信任。第二梯隊是一些不斷增長的中型雲服務提供商和大型知名軟件供應商,處於供應商成熟度與可靠性的中間層。第二梯隊中的供應商雖然提供雲服務,但是並沒有良好的長期運營記錄,在安全運營方面不如第一梯隊成熟,往往缺乏一些重要的第三方安全評估認證,尤其是初創公司存在一些財務風險。因此,企業評估雲服務商的大部分資源應放在第二梯隊的雲服務提供商上。第三梯隊是數量龐大、不斷增長的小型雲服務提供商,他們很少進行第三方評估,因此企業很難了解他們的實際運行狀況,企業必須假設這些雲服務提供商是不安全的,也不值得花費太多精力去評估其風險,這些雲服務商的運營狀況可能在短時間內就會發生變化。企業在使用這一梯隊的雲服務時,必須接受這些風險。在實際案例中,有些企業由於雲服務提供商的雲技術提供商破產,使其面臨雲服務支持、安全、軟件版本更新等一系列問題,而後續的應用和數據遷移也會給企業帶來很大風險。

由此可見,對雲服務提供商進行風險評估至關重要。在實際的雲評估中,一些針對雲服務提供商的重要安全認證,也是企業評估其安全風險的重要參考。上圖是企業需要重點關注的安全認證,相較於全球認證,中國企業爲了滿足法律與合規要求,更應該關注那些中國本土的認證,例如“等保三級”是合格“雲服務商”的基礎門檻。高峰指出:這些認證有些只有通過和失敗之分,並沒有指定安全級別,而有些認證通常會提供針對雲服務提供商的詳細書面報告,包括對其優、缺點的具體評論,企業可以向雲服務提供商索要這些評估結果,以便進行更詳細的風險評估。當然,找專業的諮詢公司和評估機構進行風險評估更爲可靠。(來源:企業網D1Net)