云服务的采用正在上升,企业出于多种原因正在快速采用多云战略,例如更好的成本管理、多样化的运营灵活性、更高的弹性、支持并购的敏捷性等等。根据最近一项关于云安全的研究,超过79%采用云的企业拥有不止一家云提供商。然而,随着每个云提供商的发展,多云部署的复杂性增加,导致网络攻击的威胁和风险也相应增加。
需要一种整体方法来一致地应用零信任架构来保护多个异构云环境。这样的架构:
- 确定谁有权访问什么以及出于什么目的,并通过职责分离适当限制特权访问。
- 管理身份和设备的安全状况,并保护对跨云计算环境和SaaS应用的企业应用和数据的访问。
- 基于请求的风险环境和行为分析,动态实施安全策略。
“安全设计”是应用零信任架构和保护资源(包括基础设施、工作负载、身份和多云环境中的数据)的关键方法。鉴于零信任在保护云安全方面的重要性,让我们讨论一下在采用零信任之前需要考虑的一些关键方面:
实现最少权限框架:黑客可以利用过多的权限访问云资源,并增加攻击半径。权限设置中的错误配置可能导致对敏感数据的未经授权访问、对关键资源的未经授权访问导致服务中断以及类似事件。最小权限原则确保云中的所有身份(人类或非人类)仅具有执行任务所需的最小权限,从而减少了攻击面。
管理数据安全的盲点:企业必须通过上下文感知的数据安全解决方案保护存储在云中的敏感数据对象,并通过数据安全态势管理(DSPM)解决方案管理其安全状态。这些解决方案有助于自动发现和分类存储在云中的数据,并防止由于盲点而导致的数据可见性错误配置。
增强的威胁检测:在异构云环境中,缺乏跨基础设施和应用程序堆栈的可见性增加了挑战。人工智能驱动的技术可以在基线云安全框架中检测威胁和异常。
Shift-Left的安全性:随着基于代码的云资源部署的广泛采用,企业寻求应用左移来保护DevOps管道。在云计算之旅的所有生命周期阶段考虑安全性的转型转变加强了多云环境的安全态势。
基于人工智能和机器学习的自适应云安全:人工智能和机器学习被认为是云中网络安全战略网格的基本要素。云服务的快速扩展需要快速与基于AI和ml的云安全控制用例保持一致,包括管理云配置、检测异常和防止未经授权的操作。
无服务器安全性:随着无服务器计算的流行,攻击者和云资源之间的屏障已经减弱。无服务器应用程序是细粒度的、基于微服务的,具有多个入口点。因此,在无服务器功能中构建安全控制,以保护对应用程序的细粒度和权限访问。
云错误配置:云资源的错误配置是一种广泛流行的云攻击向量,它为未经授权访问云数据和资源打开了大门。根据美国国家安全局(National Security Agency)的数据,云配置错误是云安全的首要漏洞,近80%的云数据泄露都与此有关。云服务推出速度的加快也增加了安全策略的复杂性。错误配置可能会在云架构中引入深度防御和零信任原则可以解决的故障。
供应链安全:云中的错误配置风险可能使企业容易成为供应链攻击的目标。因此,需要采取适当的措施,通过分层安全来减少攻击面,并在供应链上妥协时限制损害。
因此,随着多云服务采用的增加,需要一种基于零信任的方法来保护云服务,以减少攻击面并优化安全配置的总体成本。此类云安全实践应与企业的架构框架保持一致,并建立创新实践,以确保云转型之旅的未来需求。
作者 :Shambhulingayya Aralelemath,Infosys 网络安全副总裁兼全球交付主管
参与评论 (0)