從拒絕到擁抱 企業(yè)經(jīng)歷云安全的六個階段
對云安全發(fā)展持續(xù)數(shù)年的觀察可以發(fā)現(xiàn),很多企業(yè)傾向于遵循一定的動作模式來采納公共云計算,其經(jīng)歷的大致階段一般如下:
1. 保守階段
這期間,CISO抗拒云計算,宣稱工作負載在公共云上得不到足夠的安全防護。這種行為在后來者或非常保守的公司中還時有發(fā)生,但云計算絕對在大多數(shù)大企業(yè)中起航了。換句話說,CISO不能逃避面對云計算,相反,他們必須弄清楚如何保護基于云的工作負載,不管他們喜歡與否。
2. 傳統(tǒng)安全階段
當企業(yè)開始試水公共云計算,安全團隊偏向使用原有的內(nèi)部安全監(jiān)視和實施工具——防火墻、代理、反病毒軟件、網(wǎng)絡分析等等,來嘗試保護云工作負載。企業(yè)戰(zhàn)略集團(ESG)2016年的研究表明,92%的企業(yè)一定程度上使用已有安全工具保護云安全。
這其中的問題很明顯:傳統(tǒng)安全技術(shù)是為物理設備、內(nèi)部日志、以系統(tǒng)為中心的軟件和出/入站網(wǎng)絡流量設計的,并非公共云計算這種臨時架構(gòu)的專用技術(shù)。這一錯位往往導致徹底的失敗——32%的企業(yè)因無法有效保護云安全而棄用傳統(tǒng)安全技術(shù)。
3. 云監(jiān)測階段
一旦企業(yè)越過用現(xiàn)有控制措施進行云安全試驗的階段,他們便傾向于擁抱那句管理老話:“你無法管理你不能測量的東西。”這一階段中,安全團隊部署監(jiān)測工具,以獲得對云應用、數(shù)據(jù)、工作負載,以及所有云資產(chǎn)間連接的完整視圖。這很有啟發(fā)性,因為極少有公司對云上發(fā)生事件有著清晰準確完整的理解。
4. 云親和階段
有了全部云資產(chǎn)的完整視圖,智慧的安全團隊就能確保進一步的安全操作適配云計算“擁有者”——軟件開發(fā)人員、開發(fā)運維員工、數(shù)據(jù)中心運營。目標是?將安全技術(shù)整合進開發(fā)模型、配置和Chef及Puppet之類編配工具中,讓安全可以跟上云計算的動態(tài)本質(zhì)與速度。
注意,該階段略有點偏離純云安全監(jiān)測和策略實施,但主流企業(yè)宣稱,這是建立協(xié)作和安全最佳實踐的有價值偏離。
5. 云安全控制階段
自此,安全團隊與云開發(fā)者和運營人員合作,向配置和運營中添加安全控制。安全傾向于從工作負載分隔開始,然后深入到更高級的控制(基于主機的安全、威脅檢測、誘騙等等)。
值得指出的是,有些創(chuàng)新云安全工具正在橋接控制階段和監(jiān)測階段。它們監(jiān)測云,梳理所有資產(chǎn),然后基于應用類型、數(shù)據(jù)敏感性或邏輯聯(lián)系,建議適用的策略。這一橋梁可真正幫助加速云安全策略管理。
6. 中心策略階段
尖端企業(yè)中才可領略到這一階段,但這預示著未來的導向。一旦企業(yè)習慣了軟件定義云安全技術(shù)的靈活性和動態(tài)本質(zhì),他們就會繼續(xù)深入到:
聚合云安全工具
比如說,他們可能會選擇一款工具(不是2個專業(yè)工具)進行微分隔和基于主機的控制。這可減少復雜性,提供中心策略和控制。
用軟件定義的工具替換掉傳統(tǒng)工具
比如,拋棄數(shù)據(jù)中心中的傳統(tǒng)防火墻,而用軟件定義的微分隔工具替代之。此種策略可在集中所有分隔策略的同時,帶來數(shù)百萬美元的開支節(jié)省。已有一些企業(yè)網(wǎng)絡分隔項目開始這么做了,他們的目標就是使用軟件定義的微分隔,來代替防火墻規(guī)則、基于交換機的訪問控制列表(ACL)等等。野心勃勃?是的,但成功的項目可簡化安全運營,剩下許多開支。
總結(jié)
企業(yè)規(guī)避死胡同,直接跳到云監(jiān)測階段,不失為明智的做法。這可以省去數(shù)月的挫折,幫助安全團隊更快地趕上云用戶。對技術(shù)提供者而言,其目標應該是與強大的企業(yè)級中心管理功能整合的云安全技術(shù)組合。