對雲安全發展持續數年的觀察可以發現,很多企業傾向于遵循一(yī)定的動作模式來采納公共雲計算,其經曆的大(dà)緻階段一(yī)般如下(xià):
1. 保守階段
這期間,CISO抗拒雲計算,宣稱工(gōng)作負載在公共雲上得不到足夠的安全防護。這種行爲在後來者或非常保守的公司中(zhōng)還時有發生(shēng),但雲計算絕對在大(dà)多數大(dà)企業中(zhōng)起航了。換句話(huà)說,CISO不能逃避面對雲計算,相反,他們必須弄清楚如何保護基于雲的工(gōng)作負載,不管他們喜歡與否。
2. 傳統安全階段
當企業開(kāi)始試水公共雲計算,安全團隊偏向使用原有的内部安全監視和實施工(gōng)具——防火(huǒ)牆、代理、反病毒軟件、網絡分(fēn)析等等,來嘗試保護雲工(gōng)作負載。企業戰略集團(ESG)2016年的研究表明,92%的企業一(yī)定程度上使用已有安全工(gōng)具保護雲安全。
這其中(zhōng)的問題很明顯:傳統安全技術是爲物(wù)理設備、内部日志(zhì)、以系統爲中(zhōng)心的軟件和出/入站網絡流量設計的,并非公共雲計算這種臨時架構的專用技術。這一(yī)錯位往往導緻徹底的失敗——32%的企業因無法有效保護雲安全而棄用傳統安全技術。
3. 雲監測階段
一(yī)旦企業越過用現有控制措施進行雲安全試驗的階段,他們便傾向于擁抱那句管理老話(huà):“你無法管理你不能測量的東西。”這一(yī)階段中(zhōng),安全團隊部署監測工(gōng)具,以獲得對雲應用、數據、工(gōng)作負載,以及所有雲資(zī)産間連接的完整視圖。這很有啓發性,因爲極少有公司對雲上發生(shēng)事件有着清晰準确完整的理解。
4. 雲親和階段
有了全部雲資(zī)産的完整視圖,智慧的安全團隊就能确保進一(yī)步的安全操作适配雲計算“擁有者”——軟件開(kāi)發人員(yuán)、開(kāi)發運維員(yuán)工(gōng)、數據中(zhōng)心運營。目标是?将安全技術整合進開(kāi)發模型、配置和Chef及Puppet之類編配工(gōng)具中(zhōng),讓安全可以跟上雲計算的動态本質與速度。
注意,該階段略有點偏離(lí)純雲安全監測和策略實施,但主流企業宣稱,這是建立協作和安全最佳實踐的有價值偏離(lí)。
5. 雲安全控制階段
自此,安全團隊與雲開(kāi)發者和運營人員(yuán)合作,向配置和運營中(zhōng)添加安全控制。安全傾向于從工(gōng)作負載分(fēn)隔開(kāi)始,然後深入到更高級的控制(基于主機的安全、威脅檢測、誘騙等等)。
值得指出的是,有些創新雲安全工(gōng)具正在橋接控制階段和監測階段。它們監測雲,梳理所有資(zī)産,然後基于應用類型、數據敏感性或邏輯聯系,建議适用的策略。這一(yī)橋梁可真正幫助加速雲安全策略管理。
6. 中(zhōng)心策略階段
尖端企業中(zhōng)才可領略到這一(yī)階段,但這預示着未來的導向。一(yī)旦企業習慣了軟件定義雲安全技術的靈活性和動态本質,他們就會繼續深入到:
聚合雲安全工(gōng)具
比如說,他們可能會選擇一(yī)款工(gōng)具(不是2個專業工(gōng)具)進行微分(fēn)隔和基于主機的控制。這可減少複雜(zá)性,提供中(zhōng)心策略和控制。
用軟件定義的工(gōng)具替換掉傳統工(gōng)具
比如,抛棄數據中(zhōng)心中(zhōng)的傳統防火(huǒ)牆,而用軟件定義的微分(fēn)隔工(gōng)具替代之。此種策略可在集中(zhōng)所有分(fēn)隔策略的同時,帶來數百萬美元的開(kāi)支節省。已有一(yī)些企業網絡分(fēn)隔項目開(kāi)始這麽做了,他們的目标就是使用軟件定義的微分(fēn)隔,來代替防火(huǒ)牆規則、基于交換機的訪問控制列表(ACL)等等。野心勃勃?是的,但成功的項目可簡化安全運營,剩下(xià)許多開(kāi)支。
總結
企業規避死胡同,直接跳到雲監測階段,不失爲明智的做法。這可以省去(qù)數月的挫折,幫助安全團隊更快地趕上雲用戶。對技術提供者而言,其目标應該是與強大(dà)的企業級中(zhōng)心管理功能整合的雲安全技術組合。
上一(yī)篇:Google安全人員(yuán)公布一(yī)段代碼,可以通過WiFi連接劫持蘋果手機
下(xià)一(yī)篇:全球航空公司因登機系統故障,緻使航班出現大(dà)規模延誤現象