端徹底改變了企業(yè)的運(yùn)營方式�����,帶來了前所未有的可擴(kuò)展性�、靈活性和敏捷性���。然而,許多組織對(duì)其云環(huán)境的安全態(tài)勢(shì)缺乏信心��,也不確定其數(shù)據(jù)是否得到了充分的安全和保護(hù)�����。就在本月初���,頭條報(bào)道了一起涉及約2500萬至2600萬份簡(jiǎn)歷的大規(guī)模數(shù)據(jù)暴露���,原因是一家招聘軟件提供商將一個(gè)Azure Blob存儲(chǔ)容器公開開放。這不是一次復(fù)雜的零日攻擊�。這是一個(gè)根本性的疏忽——一個(gè)用戶錯(cuò)誤,暴露了敏感的個(gè)人信息����,任何人都能發(fā)現(xiàn)。
這一事件嚴(yán)峻地提醒我們:盡管云服務(wù)提供商在保護(hù)自身基礎(chǔ)設(shè)施上投入數(shù)十億美元���,但您的云安全最終是共同責(zé)任。 然而���,這一關(guān)鍵概念常被頑固的誤解所籠罩�。是時(shí)候澄清誤解,揭穿圍繞云安全最常見的誤區(qū)了����。
誤區(qū)1:云服務(wù)提供商負(fù)責(zé)所有安全
許多組織在團(tuán)隊(duì)尚未充分理解將數(shù)據(jù)和應(yīng)用存儲(chǔ)在云端的影響之前,就開始了云計(jì)算之旅�����。因此�����,開發(fā)團(tuán)隊(duì)常常在安全團(tuán)隊(duì)不知情的情況下部署應(yīng)用程序�����,錯(cuò)誤地認(rèn)為云服務(wù)提供商負(fù)責(zé)所有安全����。
現(xiàn)實(shí)是:云安全遵循共同責(zé)任模式。供應(yīng)商負(fù)責(zé)云端安全��,客戶則必須在云端處理安全。這些職責(zé)可能有所不同��。例如�����,基礎(chǔ)設(shè)施即服務(wù)(IaaS)中��,客戶管理大部分控制���。然而��,在平臺(tái)即服務(wù)(PaaS)中�����,供應(yīng)商承擔(dān)了更多技術(shù)棧�,但客戶仍需管理身份��、配置和數(shù)據(jù)���。即使是軟件即服務(wù)(SaaS)����,供應(yīng)商覆蓋更多層面���,客戶仍然管理這些領(lǐng)域�。
恒訊科技建議:培訓(xùn)你的團(tuán)隊(duì)了解云共享責(zé)任模型以及IaaS���、PaaS和SaaS之間的區(qū)別����。確保每個(gè)人都理解采用云環(huán)境的安全影響至關(guān)重要����。
誤區(qū)2:云層可見性簡(jiǎn)單易懂
云平臺(tái)簡(jiǎn)化了賬戶、資源和應(yīng)用的配置和取消配置�����,并提供了基礎(chǔ)的內(nèi)置可視化工具��,設(shè)置簡(jiǎn)便�。然而,這種簡(jiǎn)單性可能導(dǎo)致人們誤以為在云資產(chǎn)中獲得可視化很容易��。
現(xiàn)實(shí)是:云環(huán)境高度動(dòng)態(tài)��,資源不斷被配置、取消配置和更改�。更復(fù)雜的是,大多數(shù)組織混合使用公有云和本地基礎(chǔ)設(shè)施����。事實(shí)是,要在這些不同環(huán)境中獲得曝光極其復(fù)雜�。
恒訊科技建議:實(shí)施并充分利用強(qiáng)大的云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)解決方案,通過持續(xù)監(jiān)控云部署提升可見性��。選擇一款為您的組織提供單屏控制的工具����,實(shí)現(xiàn)多云環(huán)境的全面可視化。
誤區(qū)3:云原生安全工具就足夠了
許多組織�,尤其是新進(jìn)入云環(huán)境的組織,認(rèn)為僅僅采用其云服務(wù)提供商(CSP)提供的安全工具�,如網(wǎng)絡(luò)安全組或CSP提供的基礎(chǔ)防火墻,就能充分保護(hù)其云基礎(chǔ)設(shè)施���。
現(xiàn)實(shí)情況:雖然云原生安全工具可以提供堅(jiān)實(shí)的基礎(chǔ)層���,但僅依賴它們會(huì)留下顯著的漏洞和漏洞。例如��,AWS的安全組缺乏深度的數(shù)據(jù)包檢測(cè)能力,無法防范基于網(wǎng)絡(luò)的漏洞����。
恒訊科技推薦:不要僅依賴云原生安全����。投資第三方工具,如先進(jìn)的下一代防火墻(NGFW)用于檢測(cè)南北和東西向流量�����,以及保護(hù)你的網(wǎng)絡(luò)應(yīng)用和API免受惡意攻擊(如XSS和SQL注入)的網(wǎng)絡(luò)應(yīng)用防火墻(WAF)����。同時(shí),考慮部署網(wǎng)絡(luò)檢測(cè)與響應(yīng)解決方案���,以檢測(cè)異常網(wǎng)絡(luò)行為�����,提升多云和混合云網(wǎng)絡(luò)的可視性�����。
誤區(qū)4:云比本地環(huán)境更不安全
當(dāng)所有設(shè)備都部署在本地時(shí)����,組織安全團(tuán)隊(duì)認(rèn)為他們對(duì)數(shù)據(jù)和基礎(chǔ)設(shè)施擁有完全控制權(quán)。這些團(tuán)隊(duì)相信���,因?yàn)樗麄兡芸吹椒?wù)器����、控制物理訪問并掌控所有安全措施�����,所以他們掌控一切���。
現(xiàn)實(shí)情況:許多組織缺乏維持與主要云服務(wù)提供商相當(dāng)?shù)恼嬲龔?qiáng)大安全態(tài)勢(shì)所需的資源�����、專業(yè)知識(shí)和持續(xù)警覺���。這些服務(wù)商對(duì)安全有既得利益,因?yàn)樗麄兊恼麄€(gè)業(yè)務(wù)都依賴于安全���。他們還可以在大多數(shù)公司難以匹敵的水平上投入大量尖端技術(shù)和專門的安全團(tuán)隊(duì)��。
恒訊科技推薦: 在云端實(shí)現(xiàn)比本地部署更安全的狀態(tài)潛力巨大����。但要做到這一點(diǎn),你必須教育安全團(tuán)隊(duì)了解云安全和網(wǎng)絡(luò)概念�,并采用現(xiàn)代化的變革性安全思維,擁抱自動(dòng)化�、API優(yōu)先戰(zhàn)略以及持續(xù)嚴(yán)謹(jǐn)?shù)谋O(jiān)控��。
誤區(qū)5:云服務(wù)提供商提供的安全工具是一致的
云安全的基本概念(如IAM����、加密、網(wǎng)絡(luò)安全)在各供應(yīng)商間是相似的�。然而,這常常導(dǎo)致人們誤以為實(shí)現(xiàn)這些概念的工具是完全相同的���。進(jìn)一步模糊的是����,CSP通常使用相似的術(shù)語來描述他們的服務(wù)�����,這可能讓人覺得他們的服務(wù)可以互換。
現(xiàn)實(shí)情況:雖然每個(gè)主要CSP都提供自己的原生安全工具�,但其能力各不相同。第三方解決方案當(dāng)然可以加強(qiáng)保護(hù)�����,但只有當(dāng)它們?cè)傻矫總€(gè)云平臺(tái)�����,并利用平臺(tái)特定的環(huán)境高效運(yùn)行時(shí)�,才能發(fā)揮全部?jī)r(jià)值。
恒訊科技推薦: 通過采用第三方CNAPP和NGFW解決方案等工具��,構(gòu)建強(qiáng)大且有效的云安全戰(zhàn)略���,這些解決方案設(shè)計(jì)為在每個(gè)平臺(tái)環(huán)境中原生運(yùn)行��,同時(shí)提供端到端的可視化能力��,并能夠在多云�����、混合云和本地環(huán)境中應(yīng)用一致的安全態(tài)勢(shì)�����。
恒訊科技采取不同方法
恒訊科技不斷調(diào)整其云安全策略�。這需要從傳統(tǒng)的邊界思維轉(zhuǎn)變?yōu)閾肀г骗h(huán)境獨(dú)特特性的思維方式,包括多云和混合云部署的挑戰(zhàn)����。
深入理解并傳達(dá)共同責(zé)任模式: 教育組織中的每一位成員,從高管到開發(fā)人員��,了解他們?cè)谠瓢踩餐?zé)任模式下的具體職責(zé)����。
建立細(xì)致訪問政策:重大云泄露往往源于過度寬容的角色����。建立并遵守最小特權(quán)原則,以限制身份被泄露時(shí)可能造成的損害�。投資云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)工具,持續(xù)監(jiān)控身份相關(guān)事件���。并建立自動(dòng)化工作流程以應(yīng)對(duì)檢測(cè)到的威脅���,如撤銷訪問權(quán)限和隔離被入侵賬戶�。
優(yōu)先考慮數(shù)據(jù)保護(hù):為靜態(tài)和移動(dòng)數(shù)據(jù)實(shí)施強(qiáng)加密���。通過采用數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)工具�,利用機(jī)器學(xué)習(xí)和人工智能自動(dòng)發(fā)現(xiàn)和分類敏感信息����,增強(qiáng)保護(hù)。
尋求專家?guī)椭u(píng)估您的云安全和網(wǎng)絡(luò)架構(gòu):云服務(wù)提供商不斷添加和更新為客戶提供的網(wǎng)絡(luò)和安全服務(wù)及功能���。因此��,幾年前被視為最佳實(shí)踐設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)如今可能已經(jīng)過時(shí)�����。然而��,許多組織缺乏自行評(píng)估云安全態(tài)勢(shì)的專業(yè)知識(shí)�����。與能夠有效評(píng)估云安全態(tài)勢(shì)�����、識(shí)別漏洞并提出解決方案建議的咨詢公司合作��。
保護(hù)應(yīng)用和API:許多在云端部署網(wǎng)絡(luò)應(yīng)用的組織越來越多地利用API實(shí)現(xiàn)無縫自動(dòng)化和與云服務(wù)的集成���。最新的行業(yè)研究顯示��,API流量現(xiàn)在占據(jù)了所有網(wǎng)絡(luò)流量中相當(dāng)且快速增長(zhǎng)的份額���。因此,投資能夠保護(hù)您的應(yīng)用和API免受OWASP十大威脅和不斷演變的機(jī)器人攻擊等威脅的WAF解決方案至關(guān)重要���。
投資云可視化工具:配置錯(cuò)誤是云泄露的主要原因之一�。投資于能夠持續(xù)監(jiān)控云環(huán)境�����、實(shí)時(shí)識(shí)別配置錯(cuò)誤并幫助自動(dòng)化修復(fù)的工具�����。這關(guān)乎主動(dòng)的衛(wèi)生措施�����,確保你的云部署符合安全基線�����。
