本文来自微信公众号“开源云中文社区”。
企业中私有云、公共云和混合云的使用量增长不仅促进了数字化转型;它扩大了企业需要保障的基础设施。为了安全地使用云并获得好处,组织需要比以往任何时候都更大、更复杂的环境。
在保护云基础设施方面,有四大类安全问题:人为错误、运行时威胁、影子IT和糟糕的战略规划。了解这些问题及其潜在影响对于组织实现预期的业务成果至关重要。
1.人为错误
在所有四种类型中,人为错误是云漏洞最常受到指责的一种。根据Gartner的数据,到2025年,99%的云安全故障都是客户的错。
这些错误通常表现为错误配置的AmazonS3存储桶、打开端口以及使用不安全的账户或API。如果不被发现,它们可以为试图破坏云环境的攻击者打开大门。
解决人为错误的一个关键挑战是可见性。安全性很难跟上支持云的不断变化和弹性现实的需要。此外,使用多点解决方案来管理不同云服务及其内部环境的安全性,使得许多组织难以维护一致的安全策略和实施。如果无法识别和纠正不安全的API和错误配置,云工作负载可能会从IT资产变成IT威胁。
2.运行时威胁
这一说法也是正确的,因为它涉及使用零日漏洞攻击的工作负载。
在公共云中,许多底层基础设施由云服务提供商(CSP)保护。然而,未能理解共享责任模型的组织(该模型描述了CSP和客户的责任)有时会为威胁行为体创造安全漏洞以供利用。这种情况可使攻击者以操作系统和应用程序为目标来获取访问权限。从那里,他们可以通过使用恶意软件或其他技术获得持久性,并在整个组织环境中横向移动。
除了试图在环境中获得更大的立足点外,对手还可能瞄准存储在云中的知识产权和机密信息。CrowdStrike威胁研究团队在今年的众多违规调查中注意到了这一趋势。即使云工作负载配置正确,它仍可能容易受到未修补的漏洞和零天数的影响,这使得运行时威胁成为当今企业的关键问题。
3.影子IT
影子IT加剧了可见性问题,其本质上绕过了正常的IT审批和管理流程。通常,影子IT不是出于恶意原因创建的。它的创建通常是员工为了完成工作而采用云服务的结果。云资源可以轻松地上下旋转,这使得控制其增长变得困难。
这些未经授权的资产可能会威胁环境,因为它们通常没有得到适当的保护,并且可以通过默认密码和错误配置进行访问。由于云和DevOps团队希望保持高速,因此获得安全团队所需的可见性和管理级别具有挑战性。
DevOps团队需要一种无摩擦的方式来确保他们部署安全的应用程序,并确保他们的安全解决方案与持续集成/持续交付(CI/CD)管道直接集成。安全团队需要有一种统一的方法来获取所需的信息,而不会降低DevOps的速度,安全团队和IT团队都需要进行调整和协作,以满足彼此的需求。
4.缺乏云安全策略和技能
云面临的最后一个关键安全问题是技能短缺,许多组织内部缺乏云安全战略。因此,许多管理员试图以保护本地数据中心的方式来保护云工作负载。不幸的是,传统的数据中心安全模型不适用于云计算,糟糕的规划可能会带来新的风险和漏洞。
任何云应用战略的一个关键部分都是教育——教育团队安全最佳实践,如如何存储秘密、如何旋转密钥以及如何在软件开发过程中保持良好的IT卫生至关重要。然而,这一难题常常被忽视。DevOps可能会发生,但DevSecOps往往不会发生,这阻碍了行业实现云安全的能力。
获胜意味着规划和执行
新技术和云应用可能是一把双刃剑。组织需要它来创新和提高业务价值,然而,它并非没有风险。CSO有助于规划和执行有效的云安全计划。凭借良好的规划和执行准备,他们处于通过确保业务、技术和DevOps有效交叉来影响增长和减少中断的首要位置。
