AppsFlyer每天通过多个云托管服务处理其80TB的数据。它通过密切关注身份治理和访问控制来扩展其安全要求。CISO面临的最大网络安全挑战之一是如何在其组织将工作负载转移到云端时维护数据保护和隐私。特别是,他们如何在纯云环境中管理安全控制?由于COVID-19大流行以及由此导致的在家工作模式的转变,在组织迁移到云服务的情况下,这将变得越来越困难。更重要。正如研究公司IDC在2020年10月的一份报告中指出的那样,这种流行病“已在很大程度上证明是云采用和云扩展的加速器,并将继续推动向以云为中心的转变。”加快IT转型。”IDC预测,到2024年,全球在云服务、支持云服务的硬件和软件组件以及围绕云服务的专业和托管服务机会方面的支出将超过1万亿美元,并保持16%的两位数复合年增长率。IDC全球研究集团副总裁RichardVillars表示,在可预见的未来,各种形式的云将在整个IT行业发挥越来越大的作用,甚至占据主导地位。他说,到2021年底,大多数企业将有一个机制来加速向以云为中心的数字基础设施和应用服务的转变。鉴于云服务的重要性与日俱增,企业需要弄清楚如何在这个不断变化的环境中有效地保持高水平的安全性。移动营销分析和归因平台提供商AppsFlyer提供了一个很好的例子来说明如何做到这一点。在大型多云环境中扩展安全性该公司的IT环境是100%云原生的,没有本地服务器。其平台使用来自AWS、谷歌云、微软Azure和阿里云等供应商的多种云服务。其云环境覆盖五个国家,拥有超过15000台服务器,每天需要处理超过80TB的数据。AppsFlyer是美国以外最大的AWS部署之一,拥有数以万计的资源。“因为AppsFlyer是一家基于云的公司,我们面临的最大威胁和担忧是如何扩展安全性以管理和验证我们环境中的所有不同组件,包括身份、基础设施、网络及其周围的一切,”GuyFlechter说,他在公司担任CISO,直到最近离开去一家初创公司工作。“这很重要,因为我们需要能够支持组织内的所有安全需求,包括工程团队和DevOps团队等,”Flechter说。“如果我们不能扩展我们的安全性,我们最终将被迫告诉我们组织内的一些团队我们不能支持某些计划。”身份治理和访问是优先事项AppsFlyer的安全团队将身份治理和访问管理作为2020年的优先事项。对于开发人员、DevOps和数据科学家来说,目标是确保实施最低权限访问,并根据每个用户的个人资料量身定制政策.然而,在大型云环境中很难管理访问权限的使用。此外,AppsFlyer希望能够审核授予基础架构的所有访问权限,以限制对关键资源的高风险访问、强化环境并删除未使用的用户、角色和权限。Flechter说,最大的挑战之一是提供可见性,因为云中有太多移动部件,很容易启动更多资源和基础设施。“例如,开发人员可以添加新的实例和存储桶,以及分配不同的访问权限和权利,”他说。为了应对各种挑战,AppsFlyer部署了Ermetic的权限管理系统。“在我们选择Ermetic之前,我们根据我们的安全需求对云基础设施授权管理产品进行了非常彻底的评估,”Flechter说。“该产品需要支持多个云提供商。我们希望该解决方案能够支持运营,而不仅仅是提供可见性。它需要帮助我们缩小安全漏洞。最后,我们还希望能够从工具内部解决问题,并通过与其他自动化工具的集成进行交流。”“我认为安全工具只有在还可以支持操作流程时才有效,”Flechter说。“如果它只能提供良好的可见性,那么它只是一个好的仪表板。您还需要平台提供所需的操作功能,以支持基于它提供的可见性执行活动。”AppsFlyer开始逐步将平台推广到不同的云环境,一次一个。连接到每个云平台很容易,因为它们都支持读取访问的API集成,Flechter说。每次连接不到15分钟。“一旦我们开始从Ermetic提取数据,我们立即发现了我们环境中的安全漏洞并开始修复它们,”Flechter说。他说,该平台不需要任何微调就可以开始发现风险。系统可以根据资产的敏感性和风险,确定需要首先解决的问题的优先级。一个示例是访问对外界开放的AWSS3存储桶。存储桶是AWS的简单存储服务产品中提供的公共云存储资源。“它将被标记为更高优先级的过度许可,即使许可本身不是特权或管理,”弗莱希特说。AppsFlyer的安全团队使用该平台审核所有第三方对其环境的访问,并删除任何不再使用的SaaS应用程序,包括一些安全和优化工具。该团队还审查了有权访问敏感数据的应用程序并删除了不必要的权限。构建完整的云安全组合授权管理体系只是AppsFlyer安全计划的一个组成部分。该公司还使用Broadcom的SymantecSecureAccessCloud对AWS中的资源进行身份验证和授权。“它使我们能够使用软件定义的边界来执行零信任原则,从而维护安全性和细粒度的访问管理,”Flechter说。AppsFlyer还使用Rezilion的云工作负载保护工具,使公司能够减少攻击面并防止恶意活动;而SaltSecurityAPI保护平台保护连接到AppsFlyer云资源的API,阻止企图操纵公司云服务API的攻击;以及亚马逊的威胁检测工具GuardDuty。GuardDuty持续监控恶意活动和未经授权的行为,以保护存储在AWS中的账户、工作负载和数据。通过结合安全技术,AppsFlyer现在可以跨不同账户和不同云提供商全面了解其云环境,这在以前是不可能的。“我们还有能力自动修复安全漏洞,并继续扩展到其他领域,例如事件响应,”Flechter说。FixcloudsecurityblindpointsFlechter说,该公司还可以更具成本效益地识别和修复云安全盲点。“我们可以自信地知道,在每个云环境中,我们的风险究竟在哪里,需要解决哪些问题,以及我们已经部署了哪些自动化措施来解决这些问题,”他说。“我们可以深入到一个特定的环境,但事实上我们还可以在一个地方全面了解所有四种云环境,这对我们来说是无价的。“最大的好处之一是AppsFlyer现在对身份和权限有了更好的理解。“我们可以立即查明未使用的权限并将其删除,”Flechter说。“这使我们能够持续实施零信任访问。我们的安全态势管理比以前好多了。“
