2020年新冠疫情加速了(le)“雲計算(suàn)與安全”、“網絡與安全”的(de)融合趨勢。“雲優先”時(shí)代,企業越來(lái)越依賴雲計算(suàn)。但是對(duì)于大(dà)多(duō)數企業來(lái)說,業務上雲并不意味著(zhe)安全上雲,“靠山山倒”,要想确保雲服務的(de)安全,僅僅依靠或信賴雲服務商是遠(yuǎn)遠(yuǎn)不夠的(de)。企業還(hái)需要完成傳統網絡安全思維的(de)轉變:“雲安全始于雲原生思維方式,這(zhè)種思維方式不再面向網絡,而更多(duō)地面向身份、數據和(hé)應用(yòng)程序。”
2021年,雲與安全,網絡與安全将如何進一步融合演進?企業如何應對(duì)這(zhè)場(chǎng)宏大(dà)而深刻的(de)變革?以下(xià)我們整理(lǐ)了(le)多(duō)位雲安全專家和(hé)分(fēn)析師的(de)觀點供大(dà)家參考:
SaaS默認設置的(de)風險
大(dà)多(duō)數雲安全問題都可(kě)歸入三類:雲風險管理(lǐ)、基礎架構即服務(IaaS)安全和(hé)軟件即服務(SaaS)控制。IaaS通(tōng)常受開發人(rén)員(yuán)控制,相應的(de)安全供應商數量較少。而業務線通(tōng)常控制著(zhe)SaaS,并且可(kě)以從更多(duō)的(de)安全提供商中進行選擇。
安全專家Riley指出:“不幸的(de)是,許多(duō)IT專業人(rén)員(yuán)甯願無視新興的(de)SaaS市場(chǎng),盡管在大(dà)多(duō)數情況下(xià),SaaS代表的(de)計算(suàn)領域比私有雲中的(de)IaaS更爲重要。”SaaS市場(chǎng)的(de)龐大(dà)規模應引起安全團隊的(de)關注,因爲他(tā)們通(tōng)常無法控制員(yuán)工下(xià)載那些應用(yòng)以及如何使用(yòng)這(zhè)些應用(yòng)。
所有雲服務都可(kě)以在外部共享對(duì)象,但是默認配置是個(gè)例外。
Riley指出,數量驚人(rén)的(de)SaaS應用(yòng)程序不僅允許外部共享,而且默認可(kě)以打開。對(duì)于用(yòng)戶而言,這(zhè)屬于設計缺陷還(hái)是人(rén)員(yuán)弱點存在争議(yì)。企業可(kě)以修改默認配置,但是前提是必須有這(zhè)樣做(zuò)的(de)意願。
Riley認爲:争論雲服務的(de)初始默認配置應該是什(shén)麽沒有意義。企業終究要面對(duì)雲服務的(de)風險,安全團隊必須意識到這(zhè)一點并采取相應措施。關閉開放式的(de)文件共享是企業可(kě)以采取的(de)最有效的(de)雲安全初始措施。
SaaS重在維護
Riley認爲:SaaS是公共雲服務的(de)主體,也(yě)是企業最難控制的(de)形式,這(zhè)使得(de)SaaS運維業務成爲“最重大(dà)的(de)安全挑戰”。盡管大(dà)多(duō)數雲應用(yòng)都有一定的(de)抵禦攻擊的(de)能力,但它們卻不像内部運行的(de)應用(yòng)程序那樣可(kě)控。
使該問題進一步複雜(zá)化(huà)的(de)是,大(dà)多(duō)數業務部門對(duì)如何維護雲應用(yòng)程序都不了(le)解。在業務部門的(de)眼裏,雲應用(yòng)“就像一尊雕像,應該放在架子上欣賞。”“而專業人(rén)士都知道雲應用(yòng)程序更像是動物(wù),需要持續護理(lǐ)的(de),有生命會呼吸的(de)生命體。”
SaaS應用(yòng)程序在其整個(gè)生命周期中都需要關注和(hé)維護。許多(duō)組織甚至不知道他(tā)們在使用(yòng)哪些SaaS應用(yòng)程序,最終爲功能重疊的(de)服務支付了(le)不止一次的(de)費用(yòng)。
SaaS上的(de)非IT支出也(yě)在持續增長(cháng),從而産生了(le)一系列IT最終必須解決的(de)問題。例如,營銷團隊可(kě)能想要使用(yòng)一個(gè)很酷的(de)新SaaS應用(yòng)程序,該應用(yòng)程序無法與企業使用(yòng)的(de)協作平台集成。在這(zhè)種情況下(xià),業務和(hé)安全需要找到折衷方案,選擇能與現有業務工具集成并且可(kě)以由雲訪問安全代理(lǐ)(CASB)監控的(de)營銷工具。
IaaS安全市場(chǎng)持續增長(cháng)
企業正在從基于操作系統的(de)計算(suàn)模型過渡到專注于應用(yòng)程序的(de)模型。Riley認爲,如今大(dà)多(duō)數開發、測試或生産環境中至少有一個(gè)基于Linux容器的(de)應用(yòng)程序。
他(tā)補充說:“這(zhè)意味著(zhe)什(shén)麽?您的(de)雲安全策略應該進行調整,以提供一緻的(de)可(kě)見性和(hé)對(duì)工作負載的(de)控制。”虛拟環境帶來(lái)了(le)新的(de)安全複雜(zá)性,尤其是漏洞管理(lǐ)和(hé)網絡安全方面。
Riley指出:雲安全狀态管理(lǐ)(CSPM)市場(chǎng)中的(de)工具可(kě)以評估雲控制平面的(de)狀态,并提出降低風險的(de)更改建議(yì),這(zhè)些功能包括訪問管理(lǐ)配置、存儲配置、連接性和(hé)控制台控制。對(duì)于大(dà)型的(de)基于雲的(de)工作負載部署,CSPM功能應該是強制性的(de),因爲它們是錯誤捕捉器。
幾家傳統的(de)端點保護供應商已經爲雲工作負載保護平台(CWPP)開發了(le)特定的(de)産品。新興公司已經開始開發具有基于身份細分(fēn),應用(yòng)程序控制,完整性保護和(hé)活動監視等功能的(de)工具。去年,Gartner估計CWPP市場(chǎng)規模爲12.5億美(měi)元。預計到2023年,這(zhè)一領域将達到25億美(měi)元。
Riley指出,雲安全性轉變“始于雲原生思維方式,這(zhè)種思維方式不是面向網絡,而更多(duō)地面向身份、數據和(hé)應用(yòng)程序。”
網絡安全的(de)未來(lái)在雲中
安全訪問服務邊緣(SASE)的(de)采用(yòng)日趨廣泛。随著(zhe)越來(lái)越多(duō)的(de)企業采用(yòng)類似Microsoft 365和(hé)Salesforce這(zhè)樣的(de)SaaS應用(yòng)程序,企業正在購(gòu)買更多(duō)的(de)雲(交付)安全服務,在物(wù)理(lǐ)安全設備上的(de)支出則不斷縮水(shuǐ)。
Gartner分(fēn)析師預計,到2023年,企業将在SaaS應用(yòng)上花費800億至1000億美(měi)元,這(zhè)将導緻對(duì)WAN的(de)重新設計和(hé)架構。
Orans說,圍繞“上雲”的(de)討(tǎo)論很多(duō)。這(zhè)些討(tǎo)論通(tōng)常聚焦如何将工作負載從私有數據中心轉移到公共雲。盡管這(zhè)些過渡至關重要,但企業将更多(duō)的(de)錢都花在了(le)SaaS應用(yòng)程序上,這(zhè)是“改變網絡安全的(de)關鍵驅動力”。
SD-WAN應用(yòng)随著(zhe)雲的(de)普及而增長(cháng)
追蹤SD-WAN市場(chǎng)的(de)分(fēn)析人(rén)士預測,到2024年SD-WAN将會強勁增長(cháng)。
安全專家Orans指出:“當我詢問如何采用(yòng)這(zhè)些基于雲的(de)安全服務時(shí),我聽(tīng)到最多(duō)的(de)是,結合WAN架構,将安全從數據中心轉移到雲計算(suàn)。”
SASE正在推動網絡安全市場(chǎng)趨同。網絡即服務和(hé)網絡安全即服務是經常同時(shí)進行的(de)兩個(gè)項目。當用(yòng)戶轉移到雲交付的(de)安全Web網關或CASB服務時(shí),通(tōng)常也(yě)意味著(zhe)SD-WAN項目的(de)完成。
網絡與安全的(de)融合對(duì)于不同的(de)人(rén)可(kě)能有著(zhe)不同的(de)含義。Orans指出,一些網絡安全廠商正在購(gòu)買SD-WAN廠商,因此一些收購(gòu)正在鞏固市場(chǎng)。夥伴關系還(hái)将網絡和(hé)網絡安全供應商聚集在一起。對(duì)于許多(duō)企業而言,将安全性轉移到雲中時(shí),最重要的(de)決策是選擇雲安全Web網關或雲代理(lǐ)。
重新思考雲SOC
安全分(fēn)析師Sadowski指出:到2025年,安全運營中心(SOC)的(de)傳統功能将與現在大(dà)不相同。随著(zhe)安全性變得(de)更具可(kě)編程性,企業将在各個(gè)部門之間重新分(fēn)配傳統的(de)SOC功能。結果,安全的(de)所有權将發生變化(huà)。例如,新冠疫情和(hé)遠(yuǎn)程辦公加速了(le)“固有的(de)中心化(huà)安全模式的(de)消失。”“現在,網絡安全不是以日志管理(lǐ)爲中心,而是以威脅檢測和(hé)響應爲中心。”
而SaaS應用(yòng)程序的(de)廣泛使用(yòng)給威脅檢測和(hé)響應帶來(lái)了(le)新的(de)問題:“當企業中的(de)某人(rén)購(gòu)買了(le)SaaS應用(yòng)程序,不告訴任何人(rén)并且正在生産環境中運行,SOC如何爲這(zhè)類影(yǐng)子SaaS應用(yòng)程序的(de)威脅檢測和(hé)響應負責?”Sadowski問道。
顯然,企業仍然需要威脅檢測和(hé)響應,但是有些事情需要改變,雲混合SOC最終将成爲首選的(de)SOC。Sadowski說:“安全将來(lái)自于雲,服務于雲,這(zhè)是一個(gè)重大(dà)的(de)改變,将迫使人(rén)員(yuán)、流程和(hé)技術保持一緻。”
安全不是外科手術,安全團隊不應指望“獨角獸”解決方案或雲安全領域的(de)專家。在重新考慮SOC方法時(shí),企業可(kě)以建立一個(gè)沒有SOC“中心”的(de)分(fēn)布式團隊,并開發以雲爲中心和(hé)業務爲中心的(de)安全技能。企業依然需要安全團隊,還(hái)應打造一個(gè)流動性強的(de)按事件處理(lǐ)的(de)團隊,他(tā)們将整合不同的(de)技能來(lái)解決問題。
避免雲SOC技術堆棧的(de)複雜(zá)化(huà)
對(duì)于SOC的(de)發展趨勢,Sadowski認爲,企業應該在投資新工具的(de)之前考慮充分(fēn)利用(yòng)其現有工具。企業應該徹底盤點其安全運營職能和(hé)工具,包括熱(rè)門的(de)威脅檢測和(hé)響應工具在内的(de)所有不同工具和(hé)職能。
大(dà)型雲服務提供商(CSP)已開始提供雲檢測和(hé)響應(CDR),但僅在該CSP内以及針對(duì)CSP。以Microsoft Azure ATP和(hé)Amazon GuardDuty爲例,CDR工具可(kě)以訪問海量遙測數據,提供包括分(fēn)析、本機響應功能以及發送警報和(hé)上下(xià)文的(de)功能,所有這(zhè)些都可(kě)以通(tōng)過API來(lái)完成。
Sadowski建議(yì)企業使用(yòng)雲服務商工具中的(de)CDR功能,堅持要求雲服務商提供全套API,并定義一種層級化(huà)的(de)方法來(lái)聚合、分(fēn)析和(hé)處理(lǐ)所有本地和(hé)微觀事件。企業應該避免過快(kuài)過多(duō)買入新的(de)安全工具或功能,導緻SOC的(de)複雜(zá)化(huà)。
Sadowski指出:“不要積累太多(duō)的(de)技術債務,因爲它确實在快(kuài)速發展。”“安全技術正在加速發展…因此,請密切關注并保持領先。”
您真的(de)需要SIEM嗎?
企業是否必須擁有SIEM?還(hái)是可(kě)以使用(yòng)可(kě)管理(lǐ)安全檢測和(hé)響應服務(MDR)?安全專家Sadowski認爲,SOC堆棧的(de)焦點是安全事件和(hé)事件管理(lǐ)(SIEM)工具。但是企業需要考慮所需要的(de)威脅檢測類型。很多(duō)企業專注于勒索軟件等“商品化(huà)攻擊”威脅,而不是特定于業務的(de)威脅,因此不必攝取業務應用(yòng)程序日志。但是,某些企業需要高(gāo)級功能,例如檢測特定威脅和(hé)監視來(lái)自業務應用(yòng)程序的(de)事件的(de)功能。
對(duì)于準備上馬SIEM的(de)企業,還(hái)必須考慮他(tā)們是否有資源來(lái)管理(lǐ)SIEM。SIEM需要有人(rén)來(lái)運行,調整和(hé)監視,雲端的(de)SaaS SIEM也(yě)是如此。
對(duì)于擔心缺乏足夠資源應對(duì)常規威脅的(de)組織,Sadowski建議(yì)選擇MDR。那些擔心常規威脅并擁有資源的(de)企業可(kě)以将SIEM視爲備選,如果選擇(或者配合)端點檢測和(hé)響應(EDR),網絡檢測和(hé)響應(NDR)以及合同生命周期管理(lǐ)(CLM)可(kě)能會發揮更好的(de)作用(yòng)。
Sadowski指出,那些擔心高(gāo)級威脅并擁有資源的(de)企業應該投資SIEM。即使是沒有資源的(de)企業,SIEM仍然是應對(duì)高(gāo)級威脅的(de)首選,但可(kě)考慮共同管理(lǐ)的(de)SIEM和(hé)可(kě)管理(lǐ)安全服務(MSS)。
複雜(zá)性推動雲安全整合
深受多(duō)雲環境複雜(zá)性和(hé)安全問題困擾的(de)企業正在通(tōng)過減少使用(yòng)的(de)供應商數量來(lái)簡化(huà)其環境。
安全專家Orans指出:“假設您有多(duō)個(gè)通(tōng)過雲交付服務的(de)安全供應商,一個(gè)用(yòng)于安全Web網關,一個(gè)用(yòng)于零信任,一個(gè)用(yòng)于CASB,甚至還(hái)有更多(duō),公司必須确定如何獲取這(zhè)些服務所需的(de)流量,這(zhè)通(tōng)常需要在每個(gè)用(yòng)戶設備上安裝一個(gè)代理(lǐ),随著(zhe)代理(lǐ)數量的(de)增加,這(zhè)可(kě)能會變得(de)複雜(zá)。”
現在,企業正在堅持一種或兩種基于雲的(de)安全服務,通(tōng)常是安全Web網關供應商和(hé)/或單獨的(de)CASB供應商。兩個(gè)市場(chǎng)正在融合,因此企業最終可(kě)能會選擇讓一家供應商提供上述兩種服務。
文章(zhāng)轉自網絡
如有侵權,請聯系删除