三大挑戰(zhàn)當(dāng)前，如何構(gòu)建多云下的安全策略？

Mary K. Pratt Charles

安全專家指出，隨著多云環(huán)境的發(fā)展，出現(xiàn)了很多安全最佳實(shí)踐，所有企業(yè)在制定自己的安全策略時(shí)都應(yīng)該采取一些關(guān)鍵步驟。

一旦出現(xiàn)數(shù)據(jù)泄露或者入侵警報(bào)，安全部門會(huì)立即進(jìn)入高速運(yùn)轉(zhuǎn)狀態(tài)，拼盡全力去阻止破壞，確定原因。

即使IT部門在企業(yè)自己的基礎(chǔ)設(shè)施上運(yùn)行其所有操作，這項(xiàng)任務(wù)也是非常有挑戰(zhàn)性的，而且，隨著企業(yè)將更多的工作負(fù)載先遷移到云端，然后遷移到多個(gè)云供應(yīng)商那里，這項(xiàng)任務(wù)變得越來越復(fù)雜。

云服務(wù)供應(yīng)商RightScale發(fā)布的《2018年云計(jì)算狀況報(bào)告》顯示，在997名受訪的技術(shù)專家中，有77%的受訪者認(rèn)為云安全是挑戰(zhàn)，29%認(rèn)為這是一項(xiàng)重大挑戰(zhàn)。

安全專家表示，他們對(duì)此結(jié)果并不感到意外，特別是考慮到RightScale調(diào)查的81%的受訪者使用的是多云策略。

管理咨詢公司Protiviti的技術(shù)咨詢實(shí)踐總經(jīng)理兼全球負(fù)責(zé)人Ron Lefferts評(píng)論說：“在多云環(huán)境下，怎樣實(shí)現(xiàn)和管理安全控制變得更加復(fù)雜。”

他以及一些其他安全領(lǐng)導(dǎo)指出，隨著更多的工作負(fù)載遷移到云端，企業(yè)把安全放在首位是比較明智的。

多云安全挑戰(zhàn)

但他們也應(yīng)該認(rèn)識(shí)到，多云環(huán)境帶來了更多的挑戰(zhàn)，應(yīng)將其看做整體安全策略的一部分加以解決。

專注于IT治理的專業(yè)協(xié)會(huì)ISACA的董事、前董事會(huì)主席Christos K. Dimitriadis認(rèn)為，“在這個(gè)多云的環(huán)境中，一切都關(guān)乎協(xié)調(diào)——在合同、技術(shù)和人員方面都是如此。如果發(fā)生事故，需要確保所有實(shí)體都協(xié)調(diào)一致，確保他們協(xié)同工作，目的是找到漏洞并進(jìn)行分析，制定改進(jìn)計(jì)劃，以便更有效地進(jìn)行控制。”

本文介紹安全專家指出的多云環(huán)境中復(fù)雜安全策略的三個(gè)因素。

·日益復(fù)雜。在多個(gè)云供應(yīng)商以及擴(kuò)展了大量連接點(diǎn)的網(wǎng)絡(luò)之間協(xié)調(diào)安全策略、流程和響應(yīng)，這些都會(huì)增加復(fù)雜性。

非營利行業(yè)組織云安全聯(lián)盟（CSA）的ERP安全工作組聯(lián)席主席Juan Perez-Etchegoyen研究員解釋說：“如果你把數(shù)據(jù)中心擴(kuò)展到了世界上的多個(gè)地方。那就必須遵守?cái)?shù)據(jù)中心所在國家和地區(qū)的法規(guī)。我們要面對(duì)如此之多，并且數(shù)量還在不斷增長的法規(guī)，這些法規(guī)促使企業(yè)去實(shí)施很多控制功能和機(jī)制，所有這些都增加了我們保護(hù)數(shù)據(jù)的復(fù)雜性。”

·缺乏可見性。IT部門通常并不知道企業(yè)其他部門使用的所有云服務(wù)，這些部門可以輕松地繞過企業(yè)IT去自行采購軟件即服務(wù)產(chǎn)品或者其他基于云的服務(wù)。

Dimitriadis說：“因此，我們不得不努力保護(hù)數(shù)據(jù)，努力保護(hù)服務(wù)，努力保護(hù)業(yè)務(wù)，但卻對(duì)數(shù)據(jù)在哪里沒有清晰的認(rèn)識(shí)。”

·新威脅。咨詢公司安全風(fēng)險(xiǎn)管理有限公司的創(chuàng)始人兼首席執(zhí)行官Jeff Spivey說，企業(yè)安全領(lǐng)導(dǎo)還應(yīng)該認(rèn)識(shí)到，多云環(huán)境的出現(xiàn)可能會(huì)帶來新的威脅。

他說：“我們正在創(chuàng)造一些我們還不知道其中所有漏洞的東西，我們會(huì)在前進(jìn)過程中發(fā)現(xiàn)這些漏洞。”

構(gòu)建多云策略

安全專家指出，隨著多云環(huán)境的發(fā)展，出現(xiàn)了很多安全最佳實(shí)踐，所有企業(yè)在制定自己的安全策略時(shí)都應(yīng)該采取一些關(guān)鍵步驟。

Dimitriadis指出，首先要知道數(shù)據(jù)所在的所有云，并確保企業(yè)有健壯的數(shù)據(jù)治理程序，該程序“能夠全面了解數(shù)據(jù)，知道哪些IT服務(wù)和資產(chǎn)與信息相關(guān)。”

不過，他說，當(dāng)數(shù)據(jù)遷移到云中并在不同的云平臺(tái)之間傳送時(shí)，采取這些基本措施就變得更加關(guān)鍵了。

統(tǒng)計(jì)數(shù)據(jù)說明了為什么擁有強(qiáng)大的安全基礎(chǔ)設(shè)施如此重要的原因：畢馬威和甲骨文的《2018年云計(jì)算威脅報(bào)告》調(diào)查了450名網(wǎng)絡(luò)安全和IT專業(yè)人士，報(bào)告稱90%的企業(yè)將一半基于云的數(shù)據(jù)列為敏感數(shù)據(jù)。

報(bào)告還發(fā)現(xiàn)，82%的受訪者擔(dān)心員工不遵守云安全政策，38%的受訪者存在云安全事件檢測和響應(yīng)問題。

ISACA的部門領(lǐng)導(dǎo)、賽門鐵克首席技術(shù)官辦公室的策略師兼拓展專員Ramsés Gallego說，為應(yīng)對(duì)這類情況，企業(yè)應(yīng)該對(duì)信息進(jìn)行分類，建立安全層。之所以制定此措施，是因?yàn)檎J(rèn)識(shí)到并非所有數(shù)據(jù)都需要相同級(jí)別的可信和驗(yàn)證才能進(jìn)行訪問或者鎖定。

安全專家還建議企業(yè)實(shí)施其他常規(guī)安全措施，作為保護(hù)多云環(huán)境的必要基礎(chǔ)層。除了數(shù)據(jù)分類策略之外，Gallego還建議使用加密、身份和訪問管理（IAM）解決方案，例如，雙重身份驗(yàn)證。

畢馬威新興技術(shù)風(fēng)險(xiǎn)服務(wù)業(yè)務(wù)的合伙人Sailesh Gadia負(fù)責(zé)公司的云風(fēng)險(xiǎn)咨詢業(yè)務(wù)，他指出，企業(yè)隨后需要對(duì)其政策和架構(gòu)進(jìn)行標(biāo)準(zhǔn)化處理，以確保應(yīng)用和自動(dòng)化功能盡可能一致，以幫助不會(huì)偏離這些安全標(biāo)準(zhǔn)。

Gadia解釋說：“企業(yè)需要多大的投入取決于數(shù)據(jù)的風(fēng)險(xiǎn)和敏感性。因此，如果你使用云進(jìn)行非機(jī)密的數(shù)據(jù)存儲(chǔ)/處理，那么就不需要像處理機(jī)密信息的云那樣的安全方法。”

他還指出，標(biāo)準(zhǔn)化和自動(dòng)化帶來了效率，這不僅降低了總成本，而且還使得安全領(lǐng)導(dǎo)們能夠把更多的資源用于價(jià)值更高的任務(wù)中。

專家指出，這些基本要素應(yīng)該成為更廣泛、聯(lián)系更緊密的策略的一部分，當(dāng)企業(yè)采用框架來管理安全工作時(shí)，會(huì)做得很好。通用框架包括美國國家標(biāo)準(zhǔn)和技術(shù)研究所的NIST、ISACA的信息相關(guān)技術(shù)控制目標(biāo)（COBIT）、ISO 27000系列，以及云安全聯(lián)盟的云控制矩陣（CCM）。

設(shè)定供應(yīng)商的期望

Dimitriadis說，所選擇的框架不僅能指導(dǎo)企業(yè)，還應(yīng)該指導(dǎo)供應(yīng)商。

他解釋說，“我們需要做的是把這些內(nèi)容納入與云供應(yīng)商的協(xié)議中。然后就能夠圍繞你要保護(hù)的數(shù)據(jù)和服務(wù)建立控制功能。”

安全專家指出，與云供應(yīng)商的談判以及隨后的服務(wù)協(xié)議應(yīng)該解決要提供的數(shù)據(jù)隔離類型、數(shù)據(jù)存儲(chǔ)在哪里，以及供應(yīng)商一方誰可以訪問數(shù)據(jù)等問題，如果出現(xiàn)問題，供應(yīng)商應(yīng)該怎樣應(yīng)對(duì)——包括他們將怎樣與其他云供應(yīng)商合作和協(xié)調(diào)，為企業(yè)提供服務(wù)。

Spivey認(rèn)為：“要明確期望是什么，以及怎樣衡量這些期望。必須清楚地了解你能從每家供應(yīng)商那里得到什么服務(wù)，以及他們是否具有管理和控制服務(wù)的功能和能力。”

但是不要把太多的安全權(quán)限讓給云供應(yīng)商，Gallego說。

云供應(yīng)商通常通過強(qiáng)調(diào)他們代表企業(yè)客戶所做的工作來銷售他們的服務(wù)，雖然這些工作的確包括安全服務(wù)，但Gallego指出，“這還不夠。他們從事的是云業(yè)務(wù)，而不是安全業(yè)務(wù)。”

因此，他說，企業(yè)安全領(lǐng)導(dǎo)們必須把他們的安全計(jì)劃制定到很細(xì)的層面上——“誰有權(quán)訪問哪些內(nèi)容，以及什么時(shí)候、怎樣訪問”，然后將其交給每家云供應(yīng)商以協(xié)助執(zhí)行這些計(jì)劃。

他補(bǔ)充說：“云供應(yīng)商需要贏得我們的信任。”

采用新興技術(shù)

然而，據(jù)安全專家的說法，政策、治理甚至傳統(tǒng)的安全措施（例如，雙重身份驗(yàn)證）雖然都是必要的，但還不足以處理多個(gè)云之間分散的工作負(fù)載所帶來的復(fù)雜性。

企業(yè)必須采用旨在使企業(yè)安全部門能夠更好地管理和實(shí)施其多云安全策略的新興技術(shù)。

Gallego和其他專家介紹了一些解決方案，例如，云訪問安全代理（CASB），企業(yè)在自己和云服務(wù)供應(yīng)商之間放置的本地軟件，目的是鞏固和加強(qiáng)身份驗(yàn)證、憑證映射、設(shè)備配置分析、加密和惡意軟件檢測等安全措施。

他們還列出了人工智能技術(shù)，該技術(shù)學(xué)習(xí)并分析網(wǎng)絡(luò)流量，從而更準(zhǔn)確地檢測應(yīng)引起人類注意的異常事件，減少了要耗費(fèi)資源進(jìn)行調(diào)查的良性事件的數(shù)量，把資源重新應(yīng)用于最有可能出現(xiàn)問題的地方。

他們指出，應(yīng)繼續(xù)使用自動(dòng)化作為優(yōu)化多云環(huán)境安全的關(guān)鍵技術(shù)。正如Spivey所指出的：“成功的企業(yè)是那些能夠自動(dòng)完成大部分工作而專注于治理和管理的企業(yè)。”

此外，Spivey和其他專家還指出，雖然用于在多云之間保護(hù)數(shù)據(jù)的專業(yè)技術(shù)（例如，CASB）可能是多云環(huán)境所特有的，但必須強(qiáng)調(diào)總體安全原則應(yīng)遵循長期以來的方法，即針對(duì)人、流程和技術(shù)來制定最佳策略。

Perez-Etchegoyen也是Onapsis公司的首席技術(shù)官，他說：“我們討論了不同的技術(shù)，不同的場景，更關(guān)注數(shù)據(jù)，但要實(shí)現(xiàn)的是相同的概念。對(duì)于多云環(huán)境，技術(shù)方法會(huì)有所不同，但總體策略是一樣的。”