近年來,隨著云計算市場的發(fā)展,不少企業(yè)都開始選擇業(yè)務(wù)上云,并且企業(yè)并不只是采用一種云,而是采用多種云相互結(jié)合的方式,例如,公有云、私有云、混合云等等。企業(yè)采用多云方式已發(fā)展為主流趨勢。
然而,業(yè)務(wù)上云之后也并非一勞永逸。由于云安全策略的制定總是滯后于云服務(wù)的使用,存儲在云中的客戶數(shù)據(jù)的泄露風(fēng)險也相應(yīng)增加。國內(nèi)外的類似安全事件也層出不窮,例如今年,AWS托管的Capital One美國和加拿大1.06億客戶的個人數(shù)據(jù)發(fā)生泄露。下圖比較形象地展示出,云計算還面臨多賬號權(quán)限管理、可視化問題以及一系列合規(guī)問題。
圖1:云服務(wù)使用的理想狀態(tài)和現(xiàn)實狀況的差別
由于“云安全”的概念所涉范圍非常廣,本文只針對Gartner提出的比較流行的三類云安全產(chǎn)品進(jìn)行闡述。Gartner曾提出三大云安全管理工具,分別是CASB、CSPM和CWPP。雖然這三大工具在一些功能上有所重疊,但三者之間更多是起到互補(bǔ)作用。下文首先簡單介紹了三大安全工具在應(yīng)用場景上的差別,然后介紹了三大云安全工具的詳細(xì)應(yīng)用情況。對于這三類產(chǎn)品不熟悉的讀者可以閱讀后文的詳細(xì)內(nèi)容。
責(zé)任共擔(dān)與三大云安全工具的應(yīng)用場景
為了切實解決云安全問題,供應(yīng)商和企業(yè)都需要共同承擔(dān)責(zé)任,雙方各自負(fù)責(zé)處于其控制之下的技術(shù)。雙方各自需要承擔(dān)哪些職責(zé),是由具體場景決定的:本地部署、IaaS、PaaS或SaaS(請參見圖2):
在傳統(tǒng)的企業(yè)級IT場景下,所有基礎(chǔ)架構(gòu)均在本地運行,企業(yè)負(fù)責(zé)所有安全措施;
在IaaS場景下,云提供商負(fù)責(zé)保護(hù)后端數(shù)據(jù)中心、網(wǎng)絡(luò)、服務(wù)器和虛擬化;企業(yè)負(fù)責(zé)保護(hù)云有效負(fù)載,例如操作系統(tǒng)、數(shù)據(jù)庫、安全性和應(yīng)用程序。這種情況下,企業(yè)要負(fù)責(zé)保護(hù)自己在公有云中運行的工作負(fù)載;
而在PaaS這種無服務(wù)器場景下,企業(yè)則主要負(fù)責(zé)保護(hù)應(yīng)用程序;
對于SaaS場景,應(yīng)用程序和數(shù)據(jù)的安全性全部由服務(wù)提供商負(fù)責(zé),而訪問安全性則取決于企業(yè)及其用戶。
圖2:提供商和企業(yè)之間的職責(zé)劃分
根據(jù)上文對企業(yè)和供應(yīng)商責(zé)任的劃分,我們可以針對不同場景選擇不同的安全工具。圖3很好地說明了三大安全工具適合哪類場景。首先從覆蓋面積看,CWPP只覆蓋了IaaS場景,這說明CWPP只適合IaaS服務(wù)。而CASB則覆蓋了SaaS、PaaS、IaaS三個區(qū)域,但是主要覆蓋面積體現(xiàn)在SaaS上,其應(yīng)用場景也不言而喻。最后,根據(jù)CSPM的覆蓋情況,也可以了解其主要是解決IaaS安全問題,同時能解決部分PaaS安全問題。
圖3:三大云安全工具的覆蓋范圍關(guān)系圖
CASB作為部署在客戶和云服務(wù)商之間的安全策略控制點,是在訪問基于云的資源時企業(yè)實施的安全策略。而CSPM產(chǎn)品通常使用自動化方式來解決云配置和合規(guī)性問題。CWPP作為一項以主機(jī)為中心的解決方案,主要是滿足這些數(shù)據(jù)中心的工作負(fù)載保護(hù)需求,因此,主要適用于IaaS層。
下文將對適用于不同層面的三大安全工具分別進(jìn)行詳細(xì)講解。
云訪問安全代理(CASB)
CASB出現(xiàn)最早是為解決影子資產(chǎn)問題,尤其是隨著SaaS服務(wù)的快速發(fā)展,從底層硬件資源到上層軟件資源,最終用戶都無法實施控制。而CASB能很好解決此類問題,并且很多用戶在使用CASB產(chǎn)品之后,發(fā)現(xiàn)自身企業(yè)的云服務(wù)數(shù)量是他們所認(rèn)知十倍之多。良好的使用效果,使CASB產(chǎn)品得到了快速發(fā)展。Gartner也曾預(yù)測,到2022年,將有60%的大型企業(yè)使用CASB。
CASB的功能主要是作為SaaS應(yīng)用程序提供,偶爾也會用于本地的虛擬機(jī)和物理設(shè)備。在大多數(shù)用例中,SaaS交付明顯更受歡迎。CASB核心價值是解決深度可視化、數(shù)據(jù)安全、威脅防護(hù)、合規(guī)性這四類問題。
圖4:CASB的四大支柱
(1)深度可視化—CASB提供了影子IT發(fā)現(xiàn)、組織機(jī)構(gòu)云服務(wù)格局的統(tǒng)一視圖以及從任何設(shè)備或位置訪問云服務(wù)中數(shù)據(jù)的用戶的詳細(xì)信息。
(2)數(shù)據(jù)安全性—CASB能夠?qū)嵤┮詳?shù)據(jù)為中心的安全策略,以防止基于數(shù)據(jù)分類、數(shù)據(jù)發(fā)現(xiàn)以及因監(jiān)控敏感數(shù)據(jù)訪問或提升權(quán)限等用戶活動而進(jìn)行有害活動。通常是通過審計、警報、阻止、隔離、刪除和只讀等控制措施來實施策略。DLP(數(shù)據(jù)丟失防護(hù))功能很普遍,并且是僅次于可視化的最常用的一項控制措施。
(3)威脅防護(hù)—CASB通過提供AAC來防止有害設(shè)備、用戶和應(yīng)用程序版本來訪問云服務(wù)。可以根據(jù)登錄期間和登錄之后觀察到的信號來更改云應(yīng)用程序功能。CASB此類功能的其他示例包括通過嵌入式UEBA識別異常行為、威脅情報、網(wǎng)絡(luò)沙箱以及惡意軟件識別和緩解。
(4)合規(guī)性—CASB可幫助組織機(jī)構(gòu)證明,是組織機(jī)構(gòu)在管理云服務(wù)的使用情況。CASB提供了信息來確定云風(fēng)險偏好并確定云風(fēng)險承受能力。通過各種可視化、控制和報告功能,CASB有助于滿足數(shù)據(jù)駐留和法律合規(guī)性要求。
CASB可以通過API、轉(zhuǎn)發(fā)代理、反向代理等方式來實現(xiàn),如下圖所示。
圖5:CASB功能和架構(gòu)集成模式概覽
云安全配置管理(CSPM)
公有云IaaS和PaaS服務(wù)中的高度自動化和用戶自助服務(wù),更加突出了正確的云配置和合規(guī)性的重要性。一個錯誤就可能立即暴露出數(shù)千個系統(tǒng)或大量敏感數(shù)據(jù)。云服務(wù)的采用率不斷增長,加之平臺服務(wù)的數(shù)量不斷增加,而云技能(包括安全性)卻相對匱乏,這讓企業(yè)信息和工作負(fù)載暴露無遺。雪上加霜的是,對程序化云基礎(chǔ)架構(gòu)缺乏全面了解,這意味著很長一段時間都不會發(fā)現(xiàn)配置不正確和不合規(guī)問題。這就導(dǎo)致了,即便底層的云提供商基礎(chǔ)架構(gòu)本身是安全的,但大多數(shù)企業(yè)都沒有準(zhǔn)確的流程、成熟工具或規(guī)模來確保安全使用云服務(wù)。
CSPM能夠?qū)A(chǔ)設(shè)施安全配置進(jìn)行分析與管理。這些安全配置包括賬號特權(quán)、網(wǎng)絡(luò)和存儲配置、以及安全配置(如加密設(shè)置)。如果發(fā)現(xiàn)配置不合規(guī),CSPM會采取行動進(jìn)行修正。如圖6所示,應(yīng)該將CSPM視為一個持續(xù)改進(jìn)和適應(yīng)云安全態(tài)勢的過程,其目標(biāo)是降低攻擊成功的可能性,以及在攻擊者獲得訪問權(quán)限的情況下降低發(fā)生的損害。
由于云基礎(chǔ)架構(gòu)始終處于變化之中,因此,CSPM策略應(yīng)該是在云應(yīng)用的整個生命周期中進(jìn)行持續(xù)評估和改進(jìn)的一個策略,從研發(fā)開始一直延伸到運維(圖6中從左到右),并在需要時做出響應(yīng)和改進(jìn)。同樣,由于不斷提出新的云功能,不斷頒發(fā)新法規(guī),云使用安全的策略也在不斷變化。圖6的頂部顯示,CSPM策略應(yīng)不斷發(fā)展并適應(yīng)新的情況、不斷發(fā)展的行業(yè)標(biāo)準(zhǔn)和外部威脅情報,并根據(jù)在開發(fā)和運維中觀察到的風(fēng)險進(jìn)行改進(jìn)。
圖6:CSPM的持續(xù)全生命周期方式
云工作負(fù)載保護(hù)平臺(CWPP)
云工作負(fù)載保護(hù)平臺(CWPP)市場是指以工作負(fù)載為中心的安全產(chǎn)品,旨在解決現(xiàn)代混合云、多云數(shù)據(jù)中心基礎(chǔ)架構(gòu)中服務(wù)器工作負(fù)載的獨特保護(hù)要求。CWPP應(yīng)該不受地理位置的影響,為物理機(jī)、虛擬機(jī)、容器和無服務(wù)器工作負(fù)載提供統(tǒng)一的可視化和控制力。CWPP產(chǎn)品通常結(jié)合使用網(wǎng)絡(luò)分段、系統(tǒng)完整性保護(hù)、應(yīng)用程序控制、行為監(jiān)控、基于主機(jī)的入侵防御和可選的反惡意軟件保護(hù)等措施,保護(hù)工作負(fù)載免受攻擊。(關(guān)于CWPP產(chǎn)品市場近幾年來的發(fā)展演進(jìn),請參考之前的《干貨|CWPP產(chǎn)品市場演進(jìn)》。)
圖7顯示了現(xiàn)代混合多云數(shù)據(jù)中心架構(gòu)中工作負(fù)載保護(hù)策略的主要構(gòu)成要素。
圖7:CWPP控制措施層級結(jié)構(gòu)圖
圖7是一個分層金字塔,底部是一個矩形基座。服務(wù)器工作負(fù)載的安全性源于陰影基礎(chǔ)中良好的運維習(xí)慣。任何工作負(fù)載保護(hù)策略都必須從此處開始,并確保滿足以下條件:
任何人(攻擊者或管理員)都很難從物理和邏輯上訪問工作負(fù)載。
工作負(fù)載鏡像僅包含所需的代碼。服務(wù)器鏡像中應(yīng)禁止使用瀏覽器和電子郵件。
需要通過嚴(yán)格管理流程,才能更改服務(wù)器工作負(fù)載,并且通過強(qiáng)制性強(qiáng)身份驗證來嚴(yán)格控制管理訪問。
收集和監(jiān)控OS和應(yīng)用程序日志。
對工作負(fù)載進(jìn)行固化、縮小容量及打補(bǔ)丁,減少攻擊面。
總結(jié)
目前,Gartner提出的三大云安全工具CASB、CSPM、CWPP,針對基礎(chǔ)架構(gòu)中IaaS、PaaS和SaaS層中的不同安全問題,給出了針對性的解決方案。雖然這三大工具不一定能全面覆蓋所有安全問題,卻也為企業(yè)在采用云服務(wù)時,加強(qiáng)安全控制措施指明了方向,提供了思路,可以更好地針對具體問題制定具體的解決方案。
青藤云安全表示,未來,隨著云服務(wù)的不斷發(fā)展,安全控制措施肯定也會緊跟云服務(wù)的發(fā)展步伐,為云服務(wù)的發(fā)展保駕護(hù)航。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 新能源車技術(shù)升級搶先看,ChatGPT崩了引熱議:未來科技如何破局?
- 自動駕駛行業(yè)大洗牌即將結(jié)束,小馬智行引領(lǐng)千臺車隊新篇章
- 微軟反壟斷風(fēng)暴:Office捆綁銷售引質(zhì)疑,云服務(wù)策略遭調(diào)查,巨頭陷困境
- 顯卡漲價風(fēng)暴來襲!NVIDIA/AMD緊急應(yīng)對,全力加速生產(chǎn)運回本土
- 微軟新目標(biāo):用1000億美元打造實用通用AI,未來可期但需謹(jǐn)慎
- 亞馬遜云科技陳曉建預(yù)測:未來三年內(nèi),生成式AI將引發(fā)云市場新革命
- 林肯中國辟謠:財務(wù)調(diào)整非合并,業(yè)務(wù)不變穩(wěn)如泰山
- 字節(jié)跳動研發(fā)大手筆:2024年投入接近BAT之和,能否引領(lǐng)中國OpenAI新潮流?
- 跨境匯款平臺新舉措:螞蟻集團(tuán)開發(fā)者服務(wù)限每日10萬美元,助力全球交易更便捷
- 我國充電樁建設(shè)提速,50%增長背后的高速服務(wù)區(qū)充電新篇章
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。