2020年新冠疫情加速了“云計(jì)算與安全”��、“網(wǎng)絡(luò)與安全”的融合趨勢(shì)。“云優(yōu)先”時(shí)代,企業(yè)越來越依賴云計(jì)算�����。但是對(duì)于大多數(shù)企業(yè)來說��,業(yè)務(wù)上云并不意味著安全上云�����,“靠山山倒”�����,要想確保云服務(wù)的安全���,僅僅依靠或信賴云服務(wù)商是遠(yuǎn)遠(yuǎn)不夠的���。企業(yè)還需要完成傳統(tǒng)網(wǎng)絡(luò)安全思維的轉(zhuǎn)變:“云安全始于云原生思維方式,這種思維方式不再面向網(wǎng)絡(luò)�����,而更多地面向身份�、數(shù)據(jù)和應(yīng)用程序。”
2021年���,云與安全���,網(wǎng)絡(luò)與安全將如何進(jìn)一步融合演進(jìn)?企業(yè)如何應(yīng)對(duì)這場(chǎng)宏大而深刻的變革?以下我們整理了多位云安全專家和分析師的觀點(diǎn)供大家參考:
SaaS默認(rèn)設(shè)置的風(fēng)險(xiǎn)
大多數(shù)云安全問題都可歸入三類:云風(fēng)險(xiǎn)管理�、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)安全和軟件即服務(wù)(SaaS)控制��。IaaS通常受開發(fā)人員控制����,相應(yīng)的安全供應(yīng)商數(shù)量較少。而業(yè)務(wù)線通?��?刂浦鳶aaS��,并且可以從更多的安全提供商中進(jìn)行選擇���。
安全專家Riley指出:“不幸的是,許多IT專業(yè)人員寧愿無視新興的SaaS市場(chǎng)���,盡管在大多數(shù)情況下�����,SaaS代表的計(jì)算領(lǐng)域比私有云中的IaaS更為重要����。”SaaS市場(chǎng)的龐大規(guī)模應(yīng)引起安全團(tuán)隊(duì)的關(guān)注���,因?yàn)樗麄兺ǔo法控制員工下載那些應(yīng)用以及如何使用這些應(yīng)用��。
所有云服務(wù)都可以在外部共享對(duì)象��,但是默認(rèn)配置是個(gè)例外�。
Riley指出�,數(shù)量驚人的SaaS應(yīng)用程序不僅允許外部共享,而且默認(rèn)可以打開�����。對(duì)于用戶而言���,這屬于設(shè)計(jì)缺陷還是人員弱點(diǎn)存在爭(zhēng)議���。企業(yè)可以修改默認(rèn)配置,但是前提是必須有這樣做的意愿����。
Riley認(rèn)為:爭(zhēng)論云服務(wù)的初始默認(rèn)配置應(yīng)該是什么沒有意義。企業(yè)終究要面對(duì)云服務(wù)的風(fēng)險(xiǎn)�����,安全團(tuán)隊(duì)必須意識(shí)到這一點(diǎn)并采取相應(yīng)措施。關(guān)閉開放式的文件共享是企業(yè)可以采取的最有效的云安全初始措施���。
SaaS重在維護(hù)
Riley認(rèn)為:SaaS是公共云服務(wù)的主體��,也是企業(yè)最難控制的形式�����,這使得SaaS運(yùn)維業(yè)務(wù)成為“最重大的安全挑戰(zhàn)”���。盡管大多數(shù)云應(yīng)用都有一定的抵御攻擊的能力,但它們卻不像內(nèi)部運(yùn)行的應(yīng)用程序那樣可控����。
使該問題進(jìn)一步復(fù)雜化的是,大多數(shù)業(yè)務(wù)部門對(duì)如何維護(hù)云應(yīng)用程序都不了解�����。在業(yè)務(wù)部門的眼里����,云應(yīng)用“就像一尊雕像,應(yīng)該放在架子上欣賞。”“而專業(yè)人士都知道云應(yīng)用程序更像是動(dòng)物�,需要持續(xù)護(hù)理的,有生命會(huì)呼吸的生命體���。”
SaaS應(yīng)用程序在其整個(gè)生命周期中都需要關(guān)注和維護(hù)�����。許多組織甚至不知道他們?cè)谑褂媚男㏒aaS應(yīng)用程序,最終為功能重疊的服務(wù)支付了不止一次的費(fèi)用�����。
SaaS上的非IT支出也在持續(xù)增長(zhǎng)��,從而產(chǎn)生了一系列IT最終必須解決的問題���。例如����,營(yíng)銷團(tuán)隊(duì)可能想要使用一個(gè)很酷的新SaaS應(yīng)用程序��,該應(yīng)用程序無法與企業(yè)使用的協(xié)作平臺(tái)集成��。在這種情況下���,業(yè)務(wù)和安全需要找到折衷方案���,選擇能與現(xiàn)有業(yè)務(wù)工具集成并且可以由云訪問安全代理(CASB)監(jiān)控的營(yíng)銷工具����。
IaaS安全市場(chǎng)持續(xù)增長(zhǎng)
企業(yè)正在從基于操作系統(tǒng)的計(jì)算模型過渡到專注于應(yīng)用程序的模型�����。Riley認(rèn)為�,如今大多數(shù)開發(fā)、測(cè)試或生產(chǎn)環(huán)境中至少有一個(gè)基于Linux容器的應(yīng)用程序�����。
他補(bǔ)充說:“這意味著什么?您的云安全策略應(yīng)該進(jìn)行調(diào)整��,以提供一致的可見性和對(duì)工作負(fù)載的控制��。”虛擬環(huán)境帶來了新的安全復(fù)雜性��,尤其是漏洞管理和網(wǎng)絡(luò)安全方面�。
Riley指出:云安全狀態(tài)管理(CSPM)市場(chǎng)中的工具可以評(píng)估云控制平面的狀態(tài),并提出降低風(fēng)險(xiǎn)的更改建議,這些功能包括訪問管理配置����、存儲(chǔ)配置、連接性和控制臺(tái)控制�����。對(duì)于大型的基于云的工作負(fù)載部署�����,CSPM功能應(yīng)該是強(qiáng)制性的��,因?yàn)樗鼈兪清e(cuò)誤捕捉器����。
幾家傳統(tǒng)的端點(diǎn)保護(hù)供應(yīng)商已經(jīng)為云工作負(fù)載保護(hù)平臺(tái)(CWPP)開發(fā)了特定的產(chǎn)品�。新興公司已經(jīng)開始開發(fā)具有基于身份細(xì)分,應(yīng)用程序控制�����,完整性保護(hù)和活動(dòng)監(jiān)視等功能的工具�。去年,Gartner估計(jì)CWPP市場(chǎng)規(guī)模為12.5億美元。預(yù)計(jì)到2023年��,這一領(lǐng)域?qū)⑦_(dá)到25億美元�����。
Riley指出�����,云安全性轉(zhuǎn)變“始于云原生思維方式��,這種思維方式不是面向網(wǎng)絡(luò)����,而更多地面向身份、數(shù)據(jù)和應(yīng)用程序��。”
網(wǎng)絡(luò)安全的未來在云中
安全訪問服務(wù)邊緣(SASE)的采用日趨廣泛���。隨著越來越多的企業(yè)采用類似Microsoft 365和Salesforce這樣的SaaS應(yīng)用程序����,企業(yè)正在購買更多的云(交付)安全服務(wù)�����,在物理安全設(shè)備上的支出則不斷縮水。
Gartner分析師預(yù)計(jì)�����,到2023年��,企業(yè)將在SaaS應(yīng)用上花費(fèi)800億至1000億美元����,這將導(dǎo)致對(duì)WAN的重新設(shè)計(jì)和架構(gòu)。
Orans說�����,圍繞“上云”的討論很多�����。這些討論通常聚焦如何將工作負(fù)載從私有數(shù)據(jù)中心轉(zhuǎn)移到公共云���。盡管這些過渡至關(guān)重要,但企業(yè)將更多的錢都花在了SaaS應(yīng)用程序上��,這是“改變網(wǎng)絡(luò)安全的關(guān)鍵驅(qū)動(dòng)力”。
SD-WAN應(yīng)用隨著云的普及而增長(zhǎng)
追蹤SD-WAN市場(chǎng)的分析人士預(yù)測(cè)���,到2024年SD-WAN將會(huì)強(qiáng)勁增長(zhǎng)����。
安全專家Orans指出:“當(dāng)我詢問如何采用這些基于云的安全服務(wù)時(shí)�,我聽到最多的是,結(jié)合WAN架構(gòu)����,將安全從數(shù)據(jù)中心轉(zhuǎn)移到云計(jì)算。”
SASE正在推動(dòng)網(wǎng)絡(luò)安全市場(chǎng)趨同��。網(wǎng)絡(luò)即服務(wù)和網(wǎng)絡(luò)安全即服務(wù)是經(jīng)常同時(shí)進(jìn)行的兩個(gè)項(xiàng)目���。當(dāng)用戶轉(zhuǎn)移到云交付的安全Web網(wǎng)關(guān)或CASB服務(wù)時(shí)���,通常也意味著SD-WAN項(xiàng)目的完成。
網(wǎng)絡(luò)與安全的融合對(duì)于不同的人可能有著不同的含義�。Orans指出,一些網(wǎng)絡(luò)安全廠商正在購買SD-WAN廠商��,因此一些收購正在鞏固市場(chǎng)�?���;锇殛P(guān)系還將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商聚集在一起��。對(duì)于許多企業(yè)而言����,將安全性轉(zhuǎn)移到云中時(shí),最重要的決策是選擇云安全Web網(wǎng)關(guān)或云代理���。
重新思考云SOC
安全分析師Sadowski指出:到2025年�����,安全運(yùn)營(yíng)中心(SOC)的傳統(tǒng)功能將與現(xiàn)在大不相同����。隨著安全性變得更具可編程性��,企業(yè)將在各個(gè)部門之間重新分配傳統(tǒng)的SOC功能��。結(jié)果����,安全的所有權(quán)將發(fā)生變化。例如�,新冠疫情和遠(yuǎn)程辦公加速了“固有的中心化安全模式的消失。”“現(xiàn)在�����,網(wǎng)絡(luò)安全不是以日志管理為中心�����,而是以威脅檢測(cè)和響應(yīng)為中心�。”
而SaaS應(yīng)用程序的廣泛使用給威脅檢測(cè)和響應(yīng)帶來了新的問題:“當(dāng)企業(yè)中的某人購買了SaaS應(yīng)用程序,不告訴任何人并且正在生產(chǎn)環(huán)境中運(yùn)行���,SOC如何為這類影子SaaS應(yīng)用程序的威脅檢測(cè)和響應(yīng)負(fù)責(zé)?”Sadowski問道����。
顯然���,企業(yè)仍然需要威脅檢測(cè)和響應(yīng)��,但是有些事情需要改變����,云混合SOC最終將成為首選的SOC。Sadowski說:“安全將來自于云�,服務(wù)于云,這是一個(gè)重大的改變�,將迫使人員、流程和技術(shù)保持一致�����。”
安全不是外科手術(shù)��,安全團(tuán)隊(duì)不應(yīng)指望“獨(dú)角獸”解決方案或云安全領(lǐng)域的專家�����。在重新考慮SOC方法時(shí)�����,企業(yè)可以建立一個(gè)沒有SOC“中心”的分布式團(tuán)隊(duì)�����,并開發(fā)以云為中心和業(yè)務(wù)為中心的安全技能�。企業(yè)依然需要安全團(tuán)隊(duì),還應(yīng)打造一個(gè)流動(dòng)性強(qiáng)的按事件處理的團(tuán)隊(duì),他們將整合不同的技能來解決問題����。
避免云SOC技術(shù)堆棧的復(fù)雜化
對(duì)于SOC的發(fā)展趨勢(shì)��,Sadowski認(rèn)為�,企業(yè)應(yīng)該在投資新工具的之前考慮充分利用其現(xiàn)有工具。企業(yè)應(yīng)該徹底盤點(diǎn)其安全運(yùn)營(yíng)職能和工具�,包括熱門的威脅檢測(cè)和響應(yīng)工具在內(nèi)的所有不同工具和職能。
大型云服務(wù)提供商(CSP)已開始提供云檢測(cè)和響應(yīng)(CDR)���,但僅在該CSP內(nèi)以及針對(duì)CSP���。以Microsoft Azure ATP和Amazon GuardDuty為例,CDR工具可以訪問海量遙測(cè)數(shù)據(jù)����,提供包括分析、本機(jī)響應(yīng)功能以及發(fā)送警報(bào)和上下文的功能�,所有這些都可以通過API來完成。
Sadowski建議企業(yè)使用云服務(wù)商工具中的CDR功能��,堅(jiān)持要求云服務(wù)商提供全套API�����,并定義一種層級(jí)化的方法來聚合、分析和處理所有本地和微觀事件��。企業(yè)應(yīng)該避免過快過多買入新的安全工具或功能��,導(dǎo)致SOC的復(fù)雜化��。
Sadowski指出:“不要積累太多的技術(shù)債務(wù)�����,因?yàn)樗_實(shí)在快速發(fā)展�����。”“安全技術(shù)正在加速發(fā)展…因此����,請(qǐng)密切關(guān)注并保持領(lǐng)先。”
您真的需要SIEM嗎?
企業(yè)是否必須擁有SIEM?還是可以使用可管理安全檢測(cè)和響應(yīng)服務(wù)(MDR)?安全專家Sadowski認(rèn)為����,SOC堆棧的焦點(diǎn)是安全事件和事件管理(SIEM)工具。但是企業(yè)需要考慮所需要的威脅檢測(cè)類型��。很多企業(yè)專注于勒索軟件等“商品化攻擊”威脅,而不是特定于業(yè)務(wù)的威脅��,因此不必?cái)z取業(yè)務(wù)應(yīng)用程序日志���。但是��,某些企業(yè)需要高級(jí)功能,例如檢測(cè)特定威脅和監(jiān)視來自業(yè)務(wù)應(yīng)用程序的事件的功能��。
對(duì)于準(zhǔn)備上馬SIEM的企業(yè)����,還必須考慮他們是否有資源來管理SIEM。SIEM需要有人來運(yùn)行���,調(diào)整和監(jiān)視�����,云端的SaaS SIEM也是如此�。
對(duì)于擔(dān)心缺乏足夠資源應(yīng)對(duì)常規(guī)威脅的組織���,Sadowski建議選擇MDR����。那些擔(dān)心常規(guī)威脅并擁有資源的企業(yè)可以將SIEM視為備選,如果選擇(或者配合)端點(diǎn)檢測(cè)和響應(yīng)(EDR)����,網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)以及合同生命周期管理(CLM)可能會(huì)發(fā)揮更好的作用。
Sadowski指出���,那些擔(dān)心高級(jí)威脅并擁有資源的企業(yè)應(yīng)該投資SIEM���。即使是沒有資源的企業(yè),SIEM仍然是應(yīng)對(duì)高級(jí)威脅的首選�����,但可考慮共同管理的SIEM和可管理安全服務(wù)(MSS)���。
復(fù)雜性推動(dòng)云安全整合
深受多云環(huán)境復(fù)雜性和安全問題困擾的企業(yè)正在通過減少使用的供應(yīng)商數(shù)量來簡(jiǎn)化其環(huán)境����。
安全專家Orans指出:“假設(shè)您有多個(gè)通過云交付服務(wù)的安全供應(yīng)商�,一個(gè)用于安全Web網(wǎng)關(guān),一個(gè)用于零信任�,一個(gè)用于CASB�����,甚至還有更多��,公司必須確定如何獲取這些服務(wù)所需的流量�����,這通常需要在每個(gè)用戶設(shè)備上安裝一個(gè)代理�,隨著代理數(shù)量的增加���,這可能會(huì)變得復(fù)雜。”
現(xiàn)在���,企業(yè)正在堅(jiān)持一種或兩種基于云的安全服務(wù)�����,通常是安全Web網(wǎng)關(guān)供應(yīng)商和/或單獨(dú)的CASB供應(yīng)商��。兩個(gè)市場(chǎng)正在融合�����,因此企業(yè)最終可能會(huì)選擇讓一家供應(yīng)商提供上述兩種服務(wù)�����。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章��,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
贛公網(wǎng)安備 36050202000267號(hào)
