当一个组织将其 IT 系统迁移到云中并在云中构建新的应用程序时,它会减轻其安全团队构建和维护物理 IT 基础设施的责任。云的共享安全模型要求云服务提供商 (CSP),如亚马逊网络服务 (AWS)、谷歌云和微软 Azure,负责物理基础设施的安全。他们的客户负责云资源的安全使用。
但是,采用云来构建和管理新应用程序意味着安全团队无法部署他们长期以来依赖的传统安全技术和流程来阻止网络攻击。云电脑代表了他们的角色和职责以及保护敏感数据不落入坏人之手的方法的范式转变。
开发人员拥有自己的云环境
云使开发人员和工程师能够在没有数据中心团队协助的情况下即时构建他们的基础设施。他们有权做出自己的基础架构决策——包括安全关键配置——然后在需要时进行更改。当他们进行更改时,他们会增加创建错误配置的风险,从而使他们的环境容易受到攻击——传统网络和端点安全解决方案无法检测到的漏洞。
为什么?因为应用程序编程接口 (API)——允许不同应用程序相互交互的软件中介——是云电脑的基础。API 驱动的云环境消除了在集中式数据中心构建和维护固定 IT 架构的需求。云是可编程软件,并且。开发人员正在使用基础架构即代码 (IaC) 来大规模自动化构建和管理云基础架构。
这些工作流程使得无法应用传统的安全模型,即在周边建立一个向外的屏障来阻止传入的攻击,并且定期审计在完成之前就已经过时了。云中的安全性是设计和架构的一项功能,而不仅仅是监控和入侵检测。云攻击者使用云控制平面 API 进行发现、移动和数据提取。组织必须优先保护控制平面,以防止黑客获取其 API 密钥。他们的安全方法必须发展以跟上黑客的步伐。
攻击者在云中的操作方式不同
不良行为者使用自动化技术来检测他们可以利用的弱点,例如云配置错误、应用程序漏洞和源代码中的 API 密钥。一旦他们选择了目标,他们就会使用云控制平面寻找数据。迄今为止,发生的每一次重大云违规都发生了控制平面妥协。
云安全团队每天经常发现并修复数十个错误配置问题。但错误配置只是更重要的安全威胁的一部分,它只是黑客可以用来实现控制平面妥协的途径之一。只专注于发现和消除单一资源的错误配置是在向风车倾斜,因为黑客最终会溜走。只关注识别入侵指标 (IOC) 风险更大——即使使用最好的监控、分析和警报工具,也可能在团队有机会做出响应之前的几分钟内发生云漏洞。
云安全研究模型
获得“正确”云安全的公司,无论其规模或行业如何,都具有五个特征:
他们了解他们的环境,因为他们始终对环境中正在发生的事情建立了完整的态势感知。他们不再依赖于进行定期审计和审查警报的传统方法。他们了解攻击者使用自动化工具在漏洞出现后立即发现和利用漏洞,并且可以在几分钟内造成重大破坏。
他们专注于安全架构,因为今天的云攻击再次利用了整个环境的错误配置,而不仅仅是单个资源。这凸显了云安全架构师在最大限度地降低控制平面受损风险以及了解其云安全与应用程序安全之间的关系方面所扮演的角色的重要性。
他们赋予开发人员安全性。开发人员正在构建云应用程序和环境,他们处于解决安全问题并在部署之前预防问题的最佳位置。有效的安全团队为开发人员提供防止错误配置和设计安全云环境所需的工具。
它们建立在策略即代码 (PaC) 的基础之上。PaC 检查其他代码和运行环境是否存在不应该的情况。它使所有云利益相关者能够检查他们的工作并安全地操作,而不会对规则以及如何在软件开发生命周期 (SDLC) 的两端应用它们产生歧义或分歧。
他们通过始终如一地衡量重要事项来维护流程纪律,例如安全技术和流程是否通过自动化安全检查和批准来降低错误配置率并提高开发人员的生产力。
对您的组织来说,最重要的是:在数据中心工作的许多安全工具和最佳实践无法保护您的云环境和数据。然而,这并不意味着你需要放弃你一直在使用的所有东西。相反,要了解哪些仍然适用,哪些现在已经过时。例如,应用程序安全性与以往一样重要,但依赖 span 或 tap 来检查流量的网络监控工具并不是因为云提供商通常不提供直接网络访问。您需要填补的主要云安全漏洞与资源配置和环境架构有关。
好消息是,正如云是可编程的并且可以自动化一样,您的云环境的安全性也是如此。您可以部署自动化以使开发人员能够在云中安全地构建和操作,并制定流程以在攻击者发现漏洞之前找到并修复漏洞。您的应用程序团队可以更快地交付创新,您的云工程师可以更多地专注于创造价值,您的安全团队可以利用他们拥有的资源做更多事情。
更多云电脑资讯搜索青椒云电脑:www.qingjiaocloud.com