现代应用程序已将企业和企业转变为数字创新工厂。随着计算环境变得越来越复杂,不可避免地会出现需要解决的新安全问题,尤其是在跨多云环境建立和维护信任时。
Tripwire 最近对制造、能源、IT 等行业的网络安全专业人士进行了有关其云基础设施安全性的调查。在 300 多名受访者中,73%的人表示他们目前正在使用多云策略,而令人不安的 98% 的人表示他们因此面临额外的安全挑战。
无论您的组织属于哪个部门,在多云环境中运营都会带来一系列网络安全问题。幸运的是,对于多云安全问题,有多种解决方案可以在整个交付生命周期中集成安全性,以帮助建立和维护信任,而不会影响敏捷性。
多云环境挑战
多云安全策略比单一云、混合云和本地网络安全需求更复杂。不同的数据库和应用程序分布在单个网络内的许多云中,每个云都有自己的架构。在多云环境中很难实现统一的安全模型,但在多云网络安全中存在严重的风险需要解决:
- 可见性:多云安全问题始于对计算技术堆栈的每一层缺乏可见性。网络安全风险评估应该是多云架构中经常发生的事情。
- 错误配置:当企业将工作负载迁移到云时,安全和隐私设置中的配置错误通常会让公司没有意识到他们的漏洞。
- 用户访问管理:授权和访问控制是一种主要的攻击媒介,在多云策略下变得更加复杂。
- 补丁管理:及时了解多云架构中的最新更新和补丁计划是一项严峻的后勤挑战。
- 合规性:合规性法规因国界和行业而异。除了众多云之外,还必须解决许多安全法规以符合HIPAA、HITECH和PCI DSS。
- 数据治理:每天都在处理大量数据。治理在任何环境中都难以管理,但会被分布式云风险放大。
所有这些风险都具有深远的安全影响,可能会使受到威胁的中小型企业倾覆。面对如此多的风险,拥有多云环境的组织需要专注于统一的安全模型,该模型在产品生命周期的每个阶段都集成了预防措施。虽然传统的网络安全协议是一个很好的起点,但现代多云系统需要强大的解决方案来抵御当今的网络攻击。
什么是零常设特权?
零常设特权 (ZSP) 是网络安全分析师创造的一个术语,指的是特权访问管理工具和零信任访问模型的升级版本。传统的访问管理解决方案适用于本地环境。但是迁移到云端并采用多云安全策略需要更灵活的用户访问管理方法。
零常设特权包含适合多云战略的更广泛特权。有了持久的共享帐户、超级用户、尚未取消的第三方权限,以及需要密码才能访问所有系统和应用程序,多云环境需要现代用户访问模型是有道理的。
零常设特权通过消除为某些用户和角色提供永远在线权限的常设特权,减少了多云环境中的攻击面。相反,像即时访问配置这样的 ZSP 原则仅提供对必要时所需数据的访问。具有前瞻性的组织已经开始采用 ZSP 模型作为其多云网络安全战略的一部分,将其直接构建到产品生命周期中。
如何在您的产品生命周期中构建安全性
创建可靠的产品、服务和应用程序对于任何特定组织的成功都至关重要。多云战略成为企业和小型企业的最佳选择的原因有很多,而集成现代安全协议可以缓解多云环境固有的网络安全漏洞。
例如,由于越来越多的公司依赖第三方供应商来处理他们的数据,SaaS 领域的攻击数量有所增加。Log4Shell漏洞影响了许多组织,导致 CIST 提供正式的指导来缓解该问题。此外,稳步增长的物联网带来了许多安全风险。通常这些产品几乎没有内置安全性,因此组织必须依赖软件安全集成或网络中内置的安全性。
以下是在产品生命周期中构建安全性的五种方法:
1. 执行零常设特权
一个执行良好的 ZSP 模型在生产过程中启动。在持续集成和持续部署 (CI/CD) 管道期间开始定义跨多个云的不同平台的互连需求。将 ZSP 构建到产品生命周期中似乎很乏味,但会减少返工和其他生产力障碍。当帐户特权过高时,团队无法有效地完成工作。而随着云中用户的不断增加,建立ZSP将成为必然。
在数字化转型之后,对访问配置的需求大幅增长,尤其是对于使用混合和远程工作模式的公司。但是为了减少他们的攻击面,公司应该取消常设特权。
2. 采用虚拟化安全
随着更多数据由虚拟机和多云网络存储和处理,虚拟化安全可以帮助确保您的网络安全。当您的所有数据都在云中时,部署基于硬件的网络安全解决方案没有意义。动态虚拟安全解决方案可满足现代云基础架构的需求。
虚拟化安全是一种软件安全解决方案,可以部署在您网络的任何位置。这种基于云的解决方案非常适合混合和多云环境,因为数据和工作负载通常会在复杂的生态系统中迁移。由于解决方案在云中运行,因此对硬件的需求为零。
3. 依赖网络安全框架
要填补现有网络安全架构的空白,请依靠IT 领域领导者提供的 现有网络安全框架。例如,美国国家标准与技术研究院 (NIST) 推广支持创新的网络安全框架。HIPAA 规范了医疗保健组织处理敏感个人信息的方式。国际标准化组织 (ISO) 开发了一种可应用于众多行业的网络安全方法。
切换到云安全思维方式对于团队来说可能是很多事情,尤其是在多云环境中。如果您不确定从哪里开始,或者您是否有足够的保护,请查看这些值得信赖的网络安全框架,以确保您满足客户和监管需求。
4. 消除错误配置
当涉及到网络安全漏洞时,云配置错误是一个主要因素。一个组织可能有 25 个云帐户和 15 个不同的管理员,此外还有多个运行实例和设置服务的用户。将识别和消除错误配置作为缩小组织攻击面的优先事项。
为了成功消除配置,公司可以通过托管云安全解决方案提高其可见性,这些解决方案可以帮助您评估对透明度的需求并发现错误配置。当发现配置错误时,尽快缓解问题至关重要。在许多情况下,错误配置需要由具有配置多云环境经验的知识渊博的专业人员重新部署。如果您没有内部资源来发现和消除错误配置,那么有许多服务提供商可以帮助您的公司在每一步都降低风险并防止重新配置期间的数据丢失。
5. 精益于 DevSecOps
在大多数情况下,DevOps负责构建解决方案,而 SecOps 负责创建适合产品的安全措施。由于 DevOps 在构建时没有考虑安全性,因此 SecOps 仅限于可以强制执行的解决方案。而且由于 SecOps 通常被视为次要于 DevOps,因此团队以后经常会被安全问题弄得措手不及。在多云环境中,事情已经够复杂了。通过分离开发和安全团队,公司在缩短上市时间和适应性方面处于不利地位。
为了避免返工、简化产品生命周期并在您的流程中构建安全性,请使用 DevSecOps。DevOps 和 SecOps 之间的合作对于为现代世界设计具有改进的安全功能的更好产品至关重要。一般来说,随着公司迁移到云和多云环境并在物联网中部署预测分析和无线传感器等技术,业务攻击面呈指数级增长。
不要在安全上妥协
实施这五个最佳实践的公司将简化他们的生产和开发,从而比以往更容易更快地创建和交付解决方案。最好的部分是,要快速开发出色的产品,您不必在安全性上妥协。
组织需要一种与公司一起发展的安全模型。使用本地和混合解决方案在多云环境中建立信任并不会减少信任。多个云所增加的复杂性带来了需要解决的新漏洞。
通过将安全协议构建到产品生命周期中,多云用户可以将更多时间用于扩展业务,而不必担心新的攻击媒介。使用托管私有云解决方案优化您的 IT 基础架构,这些解决方案可在不影响功耗的情况下提供性能和可靠性。