2020年的COVID-19大流行加速了“云计算与安全”和“网络与安全”的融合趋势。在“云为先”的时代,企业对云计算的依赖度越来越高。但是,对于大多数企业来说,业务上云并不意味着安全上云。就是“靠山”。要确保云服务的安全,仅仅依靠或信任云服务提供商是远远不够的。企业还需要完成传统网络安全思维的转变:“云安全从云原生思维开始,这种思维方式不再面向网络,而是更加面向身份、数据和应用。”2021年,云与安全,网络与安全将如何进一步融合演进?企业应如何应对这一宏大而深刻的变革?下面我们整理了几位云安全专家和分析师的观点,供大家参考:SaaS默认设置的风险大多数云安全问题都可以解决分为三类:云风险管理、基础设施即服务(IaaS)安全和软件即服务(SaaS)控件。IaaS通常由开发人员控制,相应的安全供应商数量较少。而业务线通常控制SaaS,并且可以从更广泛的安全提供商中进行选择。安全专家赖利指出:“遗憾的是,许多IT专业人士更愿意忽视新兴的SaaS市场,尽管在大多数情况下,以SaaS为代表的计算领域比私有云中的IaaS更为重要。”对安全团队的担忧,他们通常无法控制员工下载哪些应用程序以及他们如何使用这些应用程序。所有云服务都可以对外共享对象,但默认配置除外。Riley指出,数量惊人的SaaS应用程序不仅允许外部共享,而且默认情况下启用它。对于用户而言,这是设计缺陷还是人为弱点尚有争议。企业可以修改默认配置,但前提是愿意这样做。Riley认为,争论云服务的初始默认配置应该是什么是没有意义的。企业最终会面临来自云服务的风险,安全团队必须意识到这一点并采取相应行动。关闭打开的文件共享是企业可以采取的最有效的初始云安全步骤。SaaS专注于维护。Riley认为:SaaS是公有云服务的主体,也是企业最难掌控的形态,这使得SaaS运维业务成为“最大的安全挑战”。虽然大多数云应用程序在一定程度上能够抵御攻击,但它们不像在本地运行的应用程序那样可控。使问题更加复杂的是,大多数业务部门不了解如何维护云应用程序。在业务部门眼中,云应用“就像是应该放在架子上欣赏的雕像”。“专业人士知道,云应用程序更像是动物,是需要不断照料的有生命和呼吸的有机体。”SaaS应用程序需要在其整个生命周期中得到关注和维护。许多组织甚至不知道他们正在使用哪些SaaS应用程序,并最终为功能重叠的服务支付不止一次费用。SaaS上的非IT支出也在持续增长,从而产生了IT最终必须解决的一系列问题。例如,营销团队可能想要使用一个很酷的新SaaS应用程序,但它不与企业使用的协作平台集成。在这种情况下,业务和安全需要找到一个折衷方案,选择一个与现有业务工具集成并且可以被云访问安全代理(CASB)监控的营销工具。IaaS安全市场持续增长企业正在从基于操作系统的计算模型过渡到以应用程序为中心的模型。根据Riley的说法,当今大多数开发、测试或生产环境都至少有一个基于Linux容器的应用程序。“这是什么意思?你的云安全策略应该进行调整,以提供一致的可见性和对你的工作负载的控制,”他补充道。虚拟环境引入了新的安全复杂性,尤其是在漏洞管理和网络安全方面。Riley指出:云安全状态管理(CSPM)市场中的工具可以评估云控制平面的状态并提出更改建议以降低风险。这些功能包括访问管理配置、存储配置、连接和控制台控制。对于基于云的大型工作负载部署,CSPM功能应该是强制性的,因为它们是错误捕捉器。几家传统的端点保护供应商已经为云工作负载保护平台(CWPP)开发了特定的产品。初创公司已经开始开发具有基于身份的分段、应用程序控制、完整性保护和活动监控等功能的工具。去年,Gartner估计CWPP市场规模为12.5亿美元。到2023年,这一细分市场预计将达到25亿美元。Riley指出,云安全转变“始于云原生思维模式,这种思维模式不太适合网络,而更适合身份、数据和应用程序。”网络安全的未来在云中安全访问服务边缘(SASE)的采用越来越广泛。随着越来越多的企业采用Microsoft365和Salesforce等SaaS应用程序,企业正在购买更多的云(交付)安全服务,同时减少在物理安全设备上的支出。Gartner分析师预测,到2023年,企业将在SaaS应用程序上花费800亿至1000亿美元,这将导致WAN的重新设计和架构。Orans说,围绕“走向云端”有很多讨论。这些讨论通常集中在如何将工作负载从私有数据中心转移到公共云上。尽管这些转变至关重要,但企业正在SaaS应用程序上投入更多资金,这是“网络安全变革的关键驱动力”。SD-WAN应用随着云的采用而增长跟踪SD-WAN市场的分析师预测SD-WAN将在2024年之前实现强劲增长。安全专家Orans指出:“当我问及如何采用这些基于云的安全服务时,我听到最多的是,结合WAN架构,将安全从数据中心转移到云计算。”SASE正在推动网络安全市场的融合。网络即服务和网络安全即服务是两个经常齐头并进的项目。当用户转向云交付的安全Web网关或CASB服务时,通常也意味着SD-WAN项目的完成。网络和安全的融合对不同的人可能意味着不同的事情。Orans指出,一些网络安全供应商正在收购SD-WAN供应商,因此一些收购正在巩固市场。该合作伙伴关系还汇集了网络和网络安全供应商。对于许多企业而言,将安全转移到云时最重要的决定是选择云安全Web网关或云代理。反思云SOC安全分析师Sadowski指出:到2025年,安全运营中心(SOC)的传统功能将与今天有很大不同。随着安全变得更加可编程,企业将在部门之间重新分配传统的SOC功能。因此,证券所有权将发生变化。例如,COVID-19和远程办公加速了“固有的集中式安全模型的消失”。“网络安全现在不再以日志管理为中心,而是以威胁检测和响应为中心。”而SaaS应用的广泛使用给威胁检测和响应带来了新的问题:“当企业有人购买了SaaS应用,又不告诉任何人,SOC是如何为这种影子SaaS应用提供威胁检测和响应的?”它正在生产中运行?”负责吗?”Sadowski问道。显然,组织仍然需要威胁检测和响应,但有些事情需要改变,云混合SOC最终将成为首选的SOC。“安全将来自云,为云服务,这是一个很大的问题变革将迫使人员、流程和技术保持一致,”Sadowski说。“安全不是手术,安全团队不应指望“独角兽”解决方案或云安全专家。在重新思考SOC方法时,企业可以建立一个没有SOC“中心”的分布式团队,并开发以云为中心和业务-以安全技能为中心。企业仍然需要安全团队,但也需要建立一个流动的基于事件的团队,将集成不同的技能来解决问题。避免云SOC技术堆栈的复杂性。对于SOC,根据Sadowski的说法,组织应该考虑利用他们现有的工具投资新的。组织应该彻底清点他们的安全操作功能和工具,所有不同的工具和功能,包括流行的威胁检测和响应工具。大型云服务提供商(CSP)已经开始提供云检测和响应(CDR)),但仅限于该CSP内部和针对该CSP。对于MicrosoftAzureATP和AmazonGuardDuty,CDR工具可以访问vast量的遥测数据,提供包括分析、本机响应功能以及发送警报和上下文的能力在内的服务,所有这些都可以通过API完成。Sadowski建议企业使用云提供商工具中的CDR能力,坚持云提供商提供全套API,并定义一个层次结构的集成方法来聚合、分析和处理所有本地和微事件。企业应避免过快地购买过多新的安全工具或功能,从而使SOC复杂化。Sadowski指出:“不要积累太多的技术债务,因为它确实在快速发展。”“安全技术正在加速发展……所以要密切关注它并保持领先。”“你真的需要SIEM吗?企业一定要有SIEM吗?还是可以使用托管安全检测和响应服务(MDR)?”安全专家Sadowski认为,SOC堆栈的重点是安全事件和事件管理(SIEM)工具。但企业需要考虑威胁检测的类型需要。许多企业关注的是勒索软件等“商品攻击”威胁,而不是特定于业务的威胁,因此不需要提取业务应用程序日志。但是,一些企业需要高级功能,例如检测特定威胁和监控来自业务应用程序的事件的能力对于准备上线SIEM的企业来说,还必须考虑自己是否有资源来管理SIEM,SIEM需要有人来运行、调优和监控,云端的SaaSSIEM也是如此。由于缺乏足够的资源来应对常规威胁,Sadowski建议采用MDR。关注传统威胁并拥有资源的组织可以将SIEM视为替代方案,如果选择(或配对)端点检测和响应(EDR)、网络检测和响应(NDR)以及合同,可能会发挥更好的作用生命周期管理(CLM)。效果好。Sadowski指出,关注高级威胁并拥有资源的企业应该投资SIEM。即使对于没有资源的组织,SIEM仍然是应对高级威胁的首选,但请考虑共同管理SIEM和托管安全服务(MSS)。复杂性推动云安全整合受多云环境的复杂性和安全问题困扰的组织正在通过减少他们使用的供应商数量来简化他们的环境。“假设你有多个安全供应商通过云提供服务,一个用于安全Web网关,一个用于零信任,一个用于CASB,甚至更多,公司必须确定如何获得它们,”安全专家Orans指出。服务所需的流量,通常需要在每个用户设备上安装一个代理,随着代理数量的增加,这可能会变得复杂。”目前,企业都坚持使用一种或两种基于云的安全服务,通常是安全的网络网关供应商和/或单独的CASB供应商。这两个市场正在融合,因此企业最终可能会选择让一家供应商同时提供这两种服务。【本文为专栏作者“安安牛”原创,转载请授权通过安安牛(微信公众号id:gooann-sectv)转载】
