Gartner总结了三大云安全实施建议,以及重要的安全工具和客户故障导致的风险评估方法。到2024年,使用云基础设施的可编程性来提高云上工作负载的安全性,将表现出比传统数据中心更好的合规性,并将安全事件减少至少60%。近日,Gartner高级分析总监高峰在一场主题为“中国云安全最佳实践”的线上研讨会上提到:“企业上云安全,比传统线下基础设施平台更安全。“中国企业面临三大云安全挑战事实上,企业对云安全还有很多顾虑。由于云安全与传统的线下基础设施安全有很大不同,企业在云端仍然面临着诸多挑战,包括是否信任公有云、如何信任公有云等全球性挑战,以及中国市场独有的挑战。Gartner认为,中国企业目前面临三大云安全挑战:一是对云安全责任分担模型的理解和相关技术能力的缺乏。企业在云安全中分担的责任与传统线下数据中心的安全有很大不同,因此了解与云安全提供商的安全责任划分非常重要。此外,云安全所需的技能也与传统的边境安全有很大不同。企业在这方面的能力不足,使得云安全的实施面临更大的挑战。二是云安全技术的选择和应用存在一定困难。云部署模型需要一些安全工具来支持它。然而,中国目前的市场状况是,目前的云服务提供商和安全厂商无法满足云安全的所有要求,也无法提供所有的安全能力。因此,许多公司都在实施云安全。在这个过程中,我们面临着技术选型的问题。三是云服务提供商缺乏持续的风险评估。不同的云服务提供商有不同的风险,而且这些风险不是一成不变的。中国企业很少对云服务提供商进行系统的风险评估,这使企业的云资产面临一定的风险。企业应对云安全挑战的三点建议如何应对以上三大挑战?高峰在会上给出了Gartner的三点建议。建议一:明确企业和云服务商的安全责任范围,构建云安全所需的能力。云服务的资源共享理念打破了传统IT资产的物理边界,使得现有的安全架构无法有效保护云端资产。由于对公有云缺乏信任,国内很多企业过于关注数据的存储位置,认为数据在企业自身的物理边界内更安全。Gartner认为,过分关注数据的物理位置是错误的。数据保护需要企业对数据进行安全控制,而不是过分关注数据的位置,这会导致企业牺牲云计算的诸多优势。其实对于云服务商来说,安全的重要性不言而喻。他们将继续大力投资于安全。拥有大量的安全技术人员和用户群,云提供商更容易发现和解决安全问题。因此,从规模效应来看,公有云其实比私有云和传统数据中心更安全。企业之所以非常关注数据的位置,除了合规性因素外,部分原因是企业在实现云安全方面存在一定的困难。随着物理边界的消失,企业不知道如何与云服务提供商共同保护数据。云上的数据资产。云计算安全责任分担模型高峰提到:基于责任分担的理念,云计算部署模型不同,企业和云提供商承担的安全责任也不同。如上图所示,深蓝色模块代表企业的安全责任,绿色模块代表云服务商的责任,浅蓝色模块代表企业和云服务商共同承担的安全责任。从图中可以看出,无论是何种类型的云部署,数据安全始终是企业自身的责任,必须通过数据加密、访问权限控制等一系列手段来提高数据安全水平在云端。大多数企业都存在安全人员和技术能力不足的问题。通过与云服务提供商分担安全责任,企业可以更专注于保护核心数据资产。数据显示,大部分成功的云端安全攻击都是由用户错误造成的,例如错误配置或缺少必要的补丁,而通过充分利用云端内置的安全功能和高度自动化的工具,企业可以显着减少像这样的错误配置消除了管理不善的问题,并通过进一步减少攻击面来改善整体云安全状况。云资源是可共享的、短暂的、自动化的和可编程的。云上的安全运维涉及到很多自动化工作,还有跨域、跨平台的安全防护工作,这与保护本地基础设施安全有很大关系。巨大差距。因此,企业必须建立云安全相关能力,设置云安全架构师和云安全工程师两个至关重要的角色。Gartner建议设置两个角色:云安全架构师和云安全工程师。云安全架构师的主要职责包括:领导云安全的文化变革。制定云安全策略。开发和协调云安全的安全技术和工具。雇用或培训云安全工程师。组织可以从内部雇佣或提拔“云安全架构师”。值得一提的是,“云安全架构师”并不是唯一识别和制定“云安全架构”的决策者。他需要与云架构师和其他安全架构师紧密合作,共同做出决策,确保云上的安全。此外,云安全工程师也扮演着非常重要的角色。与某些安全领域的传统安全工程师不同,云安全工程师是具有广泛技能的技术专业人员,负责配置本地云原生和第三方云安全控制。配置跨多云环境通用的核心安全服务。高峰强调:上云对大多数企业来说非常重要,需要设置云安全架构师和云安全工程师两个角色。对于中小企业来说,如果不能设置这两个全职角色,可以通过外包功能或者培训现有的安全团队来提升云安全能力。建议二:优先使用云服务商的云原生安全工具,以第三方和开源安全工具为补充进行安全管控。如今,云服务商不断推出新的云安全工具来提升自己的云安全水平,其中一些已经具备或接近企业级的产品能力,这些工具与其云服务高度集成,使用云服务商的安全工具对企业来说成本更低,订阅付费模式非常方便灵活。不仅可以快速满足企业的诸多安全需求,还可以随时取消或更换安全工具。值得注意的是,为满足中国市场的合规要求,国外云服务提供商在中国提供的云服务与全球云服务物理隔离,互不通信,运维同样由第三方团队负责,这导致其产品、技术和服务的可用性存在一些差异,在国内可以订阅的安全工具也可能与国外不同。因此,企业在选择这些工具之前需要检查可用性和产品路线图。对于那些需要将国外应用部署迁移到国内同一家云服务商的企业来说,由于国内外云服务的可用性不同,无形中增加了应用迁移的复杂性。这时候,一些第三方安全实现更加个性化的配置和服务是一个不错的选择。国外很多云服务商的SaaS产品都要求用户通过跨境连接访问他们的全球SaaS服务。但是,跨境数据会面临一定的合规风险。当云服务商的云原生安全工具和第三方安全工具都不能满足企业的需求时,开源工具成为企业实施云安全的又一选择。但需要注意的是,由于缺乏商业支持,开源工具在漏洞管理等方面可能存在一定的风险,需要企业谨慎评估。由于云安全责任的分担和云产品的复杂性,大部分企业上云后需要更新安全工具。例如国内大部分企业广泛使用的CWPP(CloudWorkloadProtectionPlatform),相对成熟的CASB(CloudAccessSecurityBroker)、CSPM(CloudSecuritySituationManagement)、CNAPP(CloudNativeApplicationProtectionPlatform),以及新兴的安全工具,例如SSPM(SaaS安全态势管理)和SMP(SaaS管理平台)。云安全工具组从上图可以看出,CWPP和CASB一般侧重于数据面的安全,CSPM、SSPM和SMP主要侧重于控制面的安全,CNAPP适用于安全管理和控制平面和数据平面的控制。随后,高峰详细介绍了几个重要的云安全工具。(1)CASB:CloudAccessSecurityBroker,CASB集成了各种类型的云安全控制,为SaaS、IaaS和PaaS提供一些可见性、合规性、数据安全和威胁防护控制,例如授权、用户行为分析(UEBA)、Adaptive访问控制、数据泄漏防护(DLP)和设备分析等。据悉,CASB在国外已得到广泛应用,但在国内市场,由于CASB供应商需要与云服务商深度合作,目前市场上提供CASB的供应商寥寥无几。CASB通常有四种集成方式:一种是API集成,它的部署优势是代理模式下没有会话管理问题;另一种是正向代理模式,主要保护用户访问云端,包括企业访问外网和访问云端。三是反向代理部署,保护外部用户(如非企业管理的客户端)在企业云上的应用访问;四是从安全网关或企业防火墙等安全设备提取日志,注入CASB进行分析,生成云应用发布报告。(2)CWPP:CloudWorkloadProtectionPlatform,又称“云主机保护平台”,是一款专注于工作负载保护的安全产品,可以保护混合云、多云、数据中心的服务器工作负载。与EDR不同,CWPP侧重于保护服务器负载主机,为物理机、虚拟机、容器和无服务器工作负载等所有主机提供保护,无论是在数据中心还是在云端,并能提供一致的可视化控制。CWPP可以结合多种功能来保护工作负载,例如:系统完整性保护、应用程序控制、行为监控、入侵防御和恶意软件保护。需要强调的是,虽然中国供应商提供了很多CWPP工具,但其中有一些是在供应商原有的EDR基础上修改的产品。这些经过修改的CWPP工具支持无服务器工作负载、容器和云集成。能力可能非常有限,企业在选择相关产品时需要格外注意。(3)CSPM:云安全态势管理,主要通过对云基础设施风险的预防、检测、响应和主动识别,对云安全状态进行持续管理。企业安全策略主动和被动相结合,发现和评估云服务的安全配置风险。一旦发现问题,它可以提供自动或手动补救措施。例如,CSPM可以根据企业配置的安全策略进行持续的安全检查,一旦发现配置偏差,可以阻止或通知安全人员。由于CSPM产品需要与云服务商进行深度合作,目前只有少数本土供应商可以提供此类产品,而国外很多CSPM产品已经开始支持中国云服务商。(4)CNAPP:云原生应用保护平台。CNAPP集成安全合规功能,帮助保护云原生应用的全生命周期,包括应用构建、云基础设施配置、应用运行时安全防护。CNAPP集成了大量独立功能,如容器扫描、云安全态势管理、云主机运行时安全防护等。目前,一些中国供应商,尤其是初创的云安全供应商,已经开始提供CNAPP产品,但还没有覆盖所有领域,这类工具有待进一步开发。建议3:评估云服务提供商的风险。评估云安全提供商的常用方法无论企业采用何种云部署方式,云服务提供商的风险都不容忽视。Gartner总结了一些常用的评估方法。如上图所示,企业从左到右进行决策,这些评价方式的评价价值会增加,而自下而上进行评价所需的投入会越来越少。企业可以根据自身实际情况进行选择,也可以采用多种评估方式综合评估云服务商的风险。此外,Gartner根据云服务商的数量给出了一个简单的评估模型:第一梯队是少数成熟的大型云服务商,以及少数成熟的金融安全云服务商,在云服务商中占据主导地位。市场超过5年,通过了三级保险等重要认证,以及市场上常见的第三方安全评估。这些巨头更注重保护自己的形象,将不断加大安全投入,以寻求客户的信任。第二梯队是一些成长中的中型云服务商和大型知名软件厂商,处于厂商成熟度和可靠性的中间层。第二梯队的供应商虽然提供云服务,但长期运营记录不佳。他们在安全运营方面不如第一梯队成熟,往往缺乏一些重要的第三方安全评估认证,尤其是对于有一定财务风险的初创公司。.因此,企业用于评估云服务提供商的大部分资源应该放在二线云服务提供商身上。第三层是越来越多的小型云服务提供商,他们很少进行第三方评估,因此企业很难了解他们的实际表现。企业必须假设这些云服务提供商不安全,他们自己也不安全。花太多精力评估他们的风险是值得的,这些云服务提供商的经营状况可能会在短时间内发生变化。企业在使用这一梯队的云服务时,必须接受这些风险。实际案例中,部分企业因云服务商云技术提供商破产,面临云服务支持、安全、软件版本更新等一系列问题,后续的应用和数据迁移也将带来极大危害给企业。大风险。由此可见,对云服务提供商进行风险评估是非常重要的。在实际的云评估中,云服务商的一些重要安全认证也是企业评估自身安全风险的重要参考。上图是企业需要关注的安全认证。与全球认证相比,中国企业应更加关注中国本土认证,以满足法律和合规要求。例如,“Level3”是合格的“云服务提供商”基础门槛。高峰指出:这些认证有的只有pass和fail分,并没有规定安全等级,有的认证通常会提供云服务商详细的书面报告,包括对其优缺点的具体评价。供应商要求提供这些评估的结果以进行更详细的风险评估。当然,找专业的咨询公司和评估机构进行风险评估更靠谱。
