当田纳西州中央大学想移至云时,当IT安全和网络团队无法就建筑策略达成共识时,该项目迅速停滞不前。
有争议的是,参与该过程的系统管理员说,团队不熟悉如何在他们想使用的各种公共云平台上保护数据和应用程序。
他说:“ AWS和Azure为您如何确保云环境的方式敞开了大门。”
“要弄清楚如何在其公共云服务中实施安全性需要花费更长的时间,因为[每个人]都有一套全新的[配置]学习。”
他说,对于一个精益IT员工的组织来说,这是有问题的。
大学并不是唯一挣扎的组织。在网络安全内部人士2019云安全报告,压倒性的93%的公司报告说,至少对公共云安全性至少关注。大约有29%的公司表示,与本地安全技术缺乏集成,构成了他们最大的运营挑战,可以保护云工作负载。
平台差异
云安全性内容Harold Bell说,问题是,如果一家公司想在云中充分保护其数据和应用程序,则需要对如何配置每个云平台提供商可用的所有安全功能的人进行深入了解。Nutanix的专家。他说,当每个平台具有专有功能和不同的配置流程时,这是一项艰巨的任务。受访者2019云安全报告引用的特定于云平台特定工具知识和技能(47%)是其组织中所需的最高安全技能。
Nutanix产品营销总监Mike Wronski表示,对公共云中的角色和责任存在误解。
他说:“公共云不能为您确保您的应用程序。”
“提供商确保其基础架构,但他们不能确保安全实施。他们将其保留给客户。”
Wronski说,期望客户知道如何正确配置云服务以将其安全策略扩展到给定提供商的基础架构,这需要每个平台的学习曲线。
鉴于不同的云平台和对责任的困惑,也就不足为奇了2019云安全报告指出,三个最大的云安全漏洞是由于用户错误造成的:通过滥用员工凭据和不正确的访问控件(42%),未经授权的访问权限;不安全的界面和API(42%);云平台的配置错误(40%)。
需要新的安全心态
当转向云时,公司不能依靠过去为他们服务的相同安全惯例。云安全咨询和培训公司Securosoiss总裁兼分析师Mike Rothman表示,现在情况有所不同。
罗斯曼说:“许多人只想在进入云的传统数据中心中运用他们多年来使用的基本控制和技术。”“他们将整个应用程序的技术堆栈和将其锁定,库存和枪管移至公共云提供商,包括所有不同的安全控制,防火墙和代理。”
他说,然而,许多本地工具并不是为云环境设计的。受访者2019云安全报告同意:有66%的人表示,传统的安全解决方案要么根本无法在云环境中起作用,要么仅具有有限的功能。
即使某些解决方案起作用,它们也不总是必需的。以防火墙为例。保护数据中心的防火墙无法跟上当今的云,混合和移动环境。防火墙擅长保护外围,但是,正如沃隆斯基所说,“公共云中不再有周边。”
随着组织越来越多地在虚拟机或容器中运行应用程序,脆弱的端点数量上升,许多端点被创建并根据需要快速关闭。借助传统的防火墙,它将不得不不断更新规则,以保持这些端点的保护 - 这是压倒性的,在某些情况下是不可能的工作。
罗斯曼说:“我们看到很多人使用传统的防火墙在我说的是次优的用例中。”“他们正在打破云的架构及其应用程序,以通过检查点(防火墙)运行所有流量。我并不是说没有[云]用于防火墙的用途……但是在很多情况下,您不需要它们。”
设计和架构是关键
那么,公司如何在公共云中确保其数据和应用程序?
根据沃斯基(Wronski)和罗斯曼(Rothman)的说法,最重要的是在移动工作负载之前先以云最佳的方式进行建筑师的安全和网络。他们建议,公司需要问自己如何做些什么来更好地隔离应用程序和数据的不同方面,以减少其攻击表面。
罗斯曼(Rothman)提出了一些颗粒状建议,可以使公司在公共云中开始安全:
立即打开记录- “我们有这件事,我们称之为前五分钟。保护您的根帐户,然后打开日志记录和监视。如果不这样做,就云中发生的事情而言,您是盲目的。”罗斯曼说。
使用多学院策略- Rothman说 - 在单独的帐户中隔离资源(即Google Lingo)。“将应用程序放在单独的帐户中,因为这会在该应用程序和其他所有内容之间创建硬安全边界。”他说,攻击者因闯入一个应用程序而臭名昭著,然后在没有这种方式分开时横向移动到其他各种资源。
控制访问权至少特权- Rothman说:“确保您会尽可能紧密地限制访问权限。”至少特权可能很困难,因为它需要详细熟悉谁以及需要访问什么。他说,但这可以防止违规和随之而来的所有负面影响。
通过网络控制访问- “网络在云中有所不同,但您可以指定哪些资源可以与其他资源交谈。”“当您在互联网上谈论某些内容时,您想尽可能地隔离和细分这些东西。同样,这实际上是关于减少横向运动。”
艾琳·波尔森(Erin Poulson)是一位专门研究它和商业主题的作家。
©2020 Nutanix,Inc。保留所有权利。有关其他法律信息,请去这里。
