事实证明,看不到的东西是无法保护的。正在将业务迁移到公有云或已经在云平台上运行的企业面临可见性的挑战。谈到云安全策略,可见性就是一切。在理想的运营环境中,跨多云的端到端可见性为企业提供了有效管理风险所需的上下文知识。根据云计算安全联盟最近对200名IT和安全专业人士的调查,三分之二的人对云计算的可见性缺乏信心。云计算安全联盟在其“云计算的主要威胁”中列出了云计算使用的可见性。此外,与可见性相关的风险导致缺乏治理、意识和安全性,从而导致云中的数据泄露。云计算可见性挑战企业目前是否想知道谁有权访问其云平台中的数据?这并不孤单。许多企业对其在云平台上的数据缺乏可见性,从而导致更多风险。以下是企业面临的一些主要挑战:挑战1:确保人类与非人类身份的安全云安全团队在身份验证方面面临挑战(例如,考虑访问者的身份和位置,是人类还是非人类)及其有效权限。可见性挑战。例如,云计算架构有数百种资源同时运行,大量的人类或非人类身份可以访问它们。如何保护对所有这些身份的访问对云安全团队提出了独特的挑战。身份可以承担具有特定权限的角色。首先,许多人过度使用权限。其次,由于云计算的短暂性,对其特权的滥用可以完全隐藏在具有间歇性审计时间框架的监控服务中。最后,更复杂的是,特权身份可以根据需要切换角色,产生未经检查的升级特权的临时许可链。解决方案是采用持续有效的权限监控。安全团队依赖于围绕“一个用户(人),一个身份”的概念构建身份管理规则。这种类型的管理可以防止特定于云平台的新型特权滥用。身份的潜在访问路径不是线性的,而是相互关联的角色、特权升级功能、权限、信任关系和用户组网络的一部分。提供对每个身份的详细可见性的图形功能是确保最低特权实施的唯一方法。挑战2:确保数据安全企业团队必须跟踪跨多云环境访问的大量数据。因此,在任何给定时刻,每个身份都可以访问大量数据。所有这些没有多云到端可见性的数据访问都会带来风险。传统的数据保护工具缺乏对数据的上下文理解,例如敏感性或双因素身份验证。例如,企业可能将敏感数据存储在配置错误且未标记的AWSS3存储桶中。如果没有对企业数据的上下文可见性,就无法知道它是否受到保护。即使知道敏感数据在哪里,云安全团队也面临着了解数据去向的挑战。因为数据可以跨多云环境驻留和移动。然而,云安全团队可能会发现,如果没有标准化的单一数据移动视图,持续监控数据是一项挑战。挑战3:克服复杂性最重要的是,云计算本质上是复杂的。负载计算作业可以在几分钟甚至几秒钟内加速和减速。因此,云计算的短暂性使得以完全可见的方式持续监控资源变得更加困难。也就是说,当开发人员在没有预先考虑引入复杂性的情况下迅速增加生产时,云计算的复杂性就会增加。利益相关者通常希望加快开发速度,以添加具有无数端点的身份和资源。他们的理解是云计算提供了无限的可扩展性,但他们错误地认为云计算是始终保持资产安全的最终解决方案,事实并非如此。不幸的是,云计算的复杂性不断增加。当身份成为边界时,安全团队需要一种简化的方式来查看身份如何访问资源。挑战四:每个云计算提供商的安全模型不同每个云计算提供商的云安全模型处理方式不同,没有标准化。他们的云安全模型不涉及第三方数据存储。云计算提供商通常需要使用低级工具,其中一个配置错误可能会导致灾难性的后果。云提供商安全工具不会在数据离开云后对其进行跟踪,从而导致可见性差距。如何在多云中获得可见性企业在公共云中获得可见性的能力取决于从云平台访问其所需数据的能力。IT专业人员可以通过覆盖云计算资源的云安全平台解决方案来做到这一点。(1)SonraiSecurity可以帮助SonraiDig提供跨多个云的完整可见性。当企业处理数百或数千个账户时,SonraiDig可以了解跨多个云平台的身份和数据,并提供跨多个云的标准化查看和控制云身份和数据访问。(2)IdentitySecuritySonraiDig发现、规范化并在图形上显示AWS帐户、Azure订阅和GCP项目的所有结果。它的图表公开了所有身份,并提供了对每个角色、特权、权限、信任关系和组的详细可见性。这让团队知道他们的有效权限。Sonrai提供身份链的可见性。人们可以看到身份、他们所属的组、策略和信任关系,并了解他们的权限如何增加访问权限。有了这种理解,团队就有了实现最小特权的可行路线图。(3)数据安全借助SonraiDig,企业的团队可以发现并持续监控数据存储,以图形方式映射存在哪些数据、存在何处(包括敏感数据)、哪些人可以访问它、发生了什么以及它去了哪里。团队可以锁定结构化和非结构化数据,并通过跨多云的深入分析持续监控这些数据。组织团队可以识别敏感数据并对其进行分类。通过对数据进行分类,他们可以确定哪些数据已被锁定,哪些数据需要锁定,并采取措施降低风险。(4)智能云安全态势管理(CSPM)SonraiDig的智能云安全态势管理(CSPM)可以为企业提供完整的可见性,包括其环境的场景知识。所有资源都将被发现并确保企业安全地配置其多云采用。因此,该平台可以检测何时发生漂移,如果偏离已建立的安全基线,SonraiDig会提醒企业立即进行审查和补救。智能云安全态势管理(CSPM)平台具有开箱即用的框架。而内部治理控制(NISTCSF、ISO27001)、已建立的监管框架(HIPAA、PCI-DSS、SOC2)和法律(EUGDPR)可以显着减少实施它们所需的繁重工作。(5)治理自动化SonraiDig提供智能工作流和自动修复功能,与左移安全方法一致。企业可以利用多云的速度和复杂性来应对风险,在问题变得更加严重之前发现并解决问题。治理自动化可以通过在正确的时间向负责的团队发送正确的问题来减少警报疲劳。在旧方法中,企业团队需要对持续积压的问题进行分类和修复。Sonrai还集成了企业的持续集成(CI)/持续交付(CD)管道,以真正了解多云中的风险。当然,如果有看不见的风险,SonraiDig会发现它。Sonrai可以通过提醒负责团队或自动修复问题来解决问题。此外,企业可以利用Sonrai的内置预防机器人进行管理。
