集中化是多云安全策略的關(guān)鍵

山東 姜建華 李文竹

在企業(yè)構(gòu)建多云的安全策略時，集中化是安全團(tuán)隊(duì)重點(diǎn)關(guān)注的最為關(guān)鍵的領(lǐng)域之一。對于多云系統(tǒng)，運(yùn)營和安全團(tuán)隊(duì)可能面臨碎片化或分散的安全訪問控制和監(jiān)視工具，如果這些控制和工具在每個獨(dú)立的供應(yīng)商環(huán)境中設(shè)計和實(shí)施，企業(yè)往往面臨著不少挑戰(zhàn)。

有些云運(yùn)營團(tuán)隊(duì)尋求多云代理商并將所有的云管理集中和整合到一個地方，還有的企業(yè)選擇一種獨(dú)立的產(chǎn)品或平臺，使其與所有必要的供應(yīng)商環(huán)境相集成，從而可以對安全策略和訪問管理進(jìn)行集中控制，而不管其底層的云基礎(chǔ)架構(gòu)是什么。

在部署多云安全策略時，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)評估當(dāng)前所有的云控制，并判斷是否實(shí)施了集中化，其中包括：

端點(diǎn)安全工具：許多反惡意軟件、端點(diǎn)檢測的工具能夠在多云的環(huán)境中運(yùn)行。

配置和打補(bǔ)丁工具：如果可能的話，構(gòu)建云負(fù)載鏡像應(yīng)當(dāng)實(shí)現(xiàn)集中化，這要比傳統(tǒng)的鏡像工具更多地依賴基礎(chǔ)架構(gòu)。配置管理的自動化平臺可用于維護(hù)所有已部署實(shí)例的配置的連續(xù)性。

漏洞掃描：多數(shù)企業(yè)的漏洞掃描器已經(jīng)成功地集成到當(dāng)今主要云供應(yīng)商的環(huán)境中，所以，為這種類型的控制實(shí)施一種分散性的方法已不太可能，云“控制面”掃描和評估工具可以對云賬戶的配置和環(huán)境自身形成報告，這種操作應(yīng)當(dāng)對云的覆蓋范圍進(jìn)行評估。

事件收集和SIEM/分析：將所有的日志從云環(huán)境遷移到一個用于評估的中心源已經(jīng)變得相對簡單，因?yàn)橹饕腟IEM 企業(yè)已經(jīng)與多數(shù)云供應(yīng)商進(jìn)行集成。此外，在這方面還有一些新的SaaS產(chǎn)品。

基于模板的“基礎(chǔ)設(shè)施即代碼”：云運(yùn)營團(tuán)隊(duì)?wèi)?yīng)當(dāng)將基礎(chǔ)架構(gòu)用作代碼工具，其可以與本地云的模板技術(shù)（如AWS Cloud Formation 及Azure Resource Manager 模板）相整合，用以定義基礎(chǔ)架構(gòu)配置和云賬戶的其他要素，很多安全控制如身份策略、網(wǎng)絡(luò)配置、鏡像模板等也可用這種方法配置。

而有些控制是不容易集中化的，其中包括三個方面：首先是加密，多數(shù)企業(yè)最終使用的是特定的云供應(yīng)商的密鑰管理工具；其次是所有的身份和訪問管理；第三是自動化，常見的就是環(huán)境中的API 和特定腳本的編寫。

務(wù)必關(guān)注跨平臺的廠商。理想情況下，如果企業(yè)可以在功能基本相同的廠商和成本之間進(jìn)行選擇，應(yīng)優(yōu)先考慮在多云環(huán)境中覆蓋范圍更大的廠商。對于事件響應(yīng)、取證、SOC 團(tuán)隊(duì)所使用的取證和響應(yīng)工具而言，也應(yīng)如此考慮。這些工具需要盡可能地簡化流程和操作手冊，以使用統(tǒng)一的證據(jù)收集和調(diào)查策略。

集中化并不是在遷移到多云架構(gòu)時唯一考慮的重點(diǎn)。安全團(tuán)隊(duì)還應(yīng)當(dāng)在多層上實(shí)施控制，并考慮如何應(yīng)用在每種環(huán)境中。對于在多云以及在本地環(huán)境中實(shí)施一種深度防御的控制架構(gòu)來說，企業(yè)有著比以往更多的選項(xiàng)。安全和運(yùn)營團(tuán)隊(duì)?wèi)?yīng)當(dāng)真正關(guān)注幾個問題。

首先就是可以為策略的構(gòu)建和總體管理而集中實(shí)施的工具。這些工具的管理越簡單，網(wǎng)絡(luò)設(shè)計的結(jié)果就越成功。

其次，安全和運(yùn)營團(tuán)隊(duì)還應(yīng)當(dāng)優(yōu)先考慮使用“基礎(chǔ)架構(gòu)即代碼”之類的工具。

最后，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)考慮實(shí)施多層網(wǎng)絡(luò)分段策略。傳統(tǒng)的防火墻在支持本地和云環(huán)境的網(wǎng)絡(luò)連接方面仍有其地位，這種防火墻還可以提供入侵防御和許多企業(yè)今天仍需要的其他控制。當(dāng)然，企業(yè)還要實(shí)施本地的云訪問和分段控制。

對于大型的云部署而言，有些本地云控制的基準(zhǔn)實(shí)施可以證明是有價值的，但是擁有大量資產(chǎn)的多云設(shè)計，可能真正地從更深層次的應(yīng)用程序的可見性中獲益。這種做法還有助于監(jiān)視和報告的集中化。當(dāng)今沒有哪種本地云的工具提供這種水平的檢查和動態(tài)的策略評估，這意味著需要實(shí)施傳統(tǒng)的工具，目的是為確定檢查了哪些類型的應(yīng)用程序通信，并且還是為了對多云環(huán)境和本地數(shù)據(jù)中心內(nèi)部的負(fù)載傳輸而實(shí)施一種集中化的策略。這往往要求某種類型的終端代理來提供必要的檢查和執(zhí)行。

大型企業(yè)遷移到多云環(huán)境是一種趨勢，但仍有關(guān)于集中化利弊的一些爭論。可證明的是，集中化的系統(tǒng)有益于協(xié)調(diào)和通信效率，并可確保一致性。與之形成對比的是，在大型企業(yè)中很難實(shí)施和維護(hù)一種非集中化的、非分級的系統(tǒng)。