云安全的四大支柱:构建企业云端防护体系

本文深入探讨云安全的四大基石:责任划分、战略规划、可视性管理和业务赋能,详细分析企业在云迁移过程中面临的安全挑战及应对策略,包括RACI责任矩阵、三大安全领域和人才技术挑战。

云安全的四大支柱

云迁移简介

云迁移描述了将公司的部分或全部IT资源、数据库、应用程序、服务和数字资产转移到云端的过程。过去几年中,远程工作和数字化的推动使得云采用和开发成为企业的必备能力。因此,现在必须实现云安全的四个基石。

在本文中,我们将探讨:

  1. 责任划分:使用RACI矩阵明确责任
  2. 战略规划:构想云安全路线图
  3. 可视性:重新聚焦全面安全的企业
  4. 赋能:超越边缘创新确保持续业务赋能

解决这些紧迫问题是建立云安全四大基石的初始步骤。

责任划分

从结果出发思考,组织旨在继续提供安全的业务赋能。为确保安全的基础设施,必须实现可视性。为确保可视性,必须制定云基础设施战略;为确保战略到位,必须明确计划的责任。

安全责任当然是CISO(首席信息安全官)的职责。基础设施复杂性、独特漏洞、用户访问、数据安全、一致的应用程序控制、人才不一致和法规合规性只是云安全中必须解决的一些紧迫问题。

RACI矩阵在明确责任方面做得很好。RACI代表负责、问责、咨询和知情。多人可以负责、咨询和知情,但只有一人承担问责。虽然CISO必须负责、咨询和知情,但问题在于这是否是任何给定组织中负责整个云基础设施的最佳职能。CIO、CRO和COO都被建议作为负责整个云基础设施的合适高管。

CISO习惯于限制访问以确保安全。传统上通过基础设施即服务、软件即服务和平台即服务讨论云安全解决方案。“即服务"的概念是为什么CISOs不得不从运营"拒绝部门"转变为运营"知晓部门"的关键。基于云的服务价值在于高可用性。因此,允许业务赋能需要接受新的风险。

“了解每个SaaS和IaaS供应商的共享责任模型对于组织有效缓解风险至关重要,因为虽然云供应商承担一些责任,但他们并不代表客户承担所有风险。” ——Kanye Mcgladrey,网络安全中心咨询委员会成员

回应云安全问题时经常提供的一句话是"这取决于你的风险偏好”。然而,虽然大多数董事会、CEO和业务利益相关者认为他们有等同于以变革速度运营的风险偏好,但登上"头版"的事件是不可接受的。

威斯康星大学麦迪逊分校CISO Bob Turner解释说,在高度分散的组织中拥有单一问责点具有挑战性,除非治理计划建立系统、数据和服务/功能所有权的概念。

“云服务只是使用别人的数据中心。CISO负责云安全——而该数据中心中使用的数据/服务的(业务)功能所有者负责以合适的成本拥有合适的服务并在合适的时间交付,“他分享道。

以变革的速度运营意味着在云中运营。因此,使企业能够在具有安全意识的情况下在云中运营是CISO负责的责任。为执行该责任,CISO必须确保他们实时咨询和了解云中运营的机制。

战略规划

CISO必须构想云安全战略,以确保企业咨询并通知网络安全运营。

该战略需要考虑云安全的三个不同方面:

  • 云安全
  • 访问云时的安全
  • 云中应用程序和数据的安全

云安全

不幸的是,云安全取决于云提供商。大多数全球组织都拥有Azure、AWS、Google Cloud、阿里云、IBM Cloud、Oracle Cloud和/或腾讯云的某种组合。当其中一个组织遭到入侵时,任何使用暴露提供商的组织都必须能够检测事件并进行相应修复。

这就留下了访问云时的安全以及云中应用程序和数据的安全。

访问云时的安全

安全访问以身份为边界发生。PAM、IAM、零信任、SASE;大多数组织已经实施了安全访问四要素的至少一部分。演变为利用身份作为离心力的安全架构已成为强制性要求。

云中应用程序和数据的安全

云安全的明显行动项显然在于云中应用程序和数据的安全。

  • 基础设施复杂性 - 一些资产保留在本地,而一些资产已部署在云端。迄今为止,提升和转移思维模式与疫情激发的协作工具爆炸相结合,确保了任何给定的全球企业都遭受云基础设施复杂性的困扰。
  • 独特漏洞 - 仅仅迁移到云端就会打开独特的漏洞。但正是云基础设施复杂性模糊了可视性并使威胁机会转移。
  • 数据安全 - 如果你知道谁在访问什么、在哪里、何时、多长时间以及为了什么目的,并能够让该身份通过多层身份验证,那么身份作为边界确实有助于数据安全。
  • 一致的应用程序控制 - 安全控制通常是关键所在,但我们要去的地方不需要道路。曾经通过隐性知识和关键技术解决的问题现在需要通过商业头脑和人际交往能力来解决。
  • 人才不一致 - 当前的网络安全人才不一定是未来的网络安全人才。此外,调查显示,过去几年该领域的投资位居预算支出之首。虽然这可能是一种反常现象,但过去几个月的反馈是,安全访问不再是顶级投资领域。任何解决方案都不可避免地会产生后续成本,但投资的转变可能意味着全球企业可能在访问云安全方面正在水平设置。然而,随着这种安全通过新采购的解决方案而来,必须进行验证,而所需的人才可能是CISO角色未来最重要的方面。
  • 监管合规性 - 任何云决策必须在阅读全球拟议地方立法的迹象后做出。通过不在明显很快会有监管监督的领域支出来节省组织美元的概念已被证明是愚蠢的。

可视性

顶级网络安全高管以前都见过这种情况。自从信息安全学科本身开始以来,一直在实施新的、日益分散的系统和工具来帮助管理企业的安全性。

随着DevOps越来越多地在云环境中发生,业务用户继续利用越来越多支持云的SaaS工具,企业本身现在大多在边缘存在和运营。

企业在过去五年中已经发展,再次仅驻留在"一条街"上——云端。供应链合作伙伴之间的真正互联带来了真正的安全相互依存。这种结构催生了依赖混淆。

随着业务工作方式和企业连接方式的发展,网络安全威胁也在发展。随着网络安全威胁的发展,部分安装基础的隐性知识已经过时。

“需要一种高水平的方法,让采购部门参与审查潜在的供应链合作伙伴,以确保一定水平的网络卫生不会给购买者带来风险。更重要的是,由于相互交织的生态系统,我们有责任成为良好公民,在事件发生时协助供应链合作伙伴。不是在惩罚性背景下,而是为了更大利益的支持能力。最终,需要像金融服务KYC计划这样的系统。” ——Ian Thornton,网络安全中心咨询委员会成员

除了工作职能不断发展外,当今空缺职位面临严重的全球网络安全人才短缺。网络架构专家需求减少,而云网络架构专家需求增加。蓝队工作职能需求减少,而紫队和红队工作职能需求增加。

因此,获得可视性的过程在于系统的连接组织,也在于监督这些系统的人员的演变,以及同时与供应链合作伙伴互联但不受依赖混淆影响的能力。

赋能

虽然信息安全的必要性始于人类开始用语言交流时,但现代网络安全是一个相对较新的现象。好人已经吸取了教训,对手的战术已经演变,时代精神最佳实践也相应推进。

“技术是一种反应性保护。人员和流程是最薄弱的环节,行为分析为风险用户创造可视性并实现主动风险管理。” Lisa Tuttle,SPX Corporation CISO。

安全高管从过去的对抗策略中学习,以预测已知威胁环境上的未来攻击。当环境变化时,安全高管会适应。直到最近,良好的防御一直是最好的进攻。综合考虑;以相当快速的方式假设了前瞻性安全姿态——如今围绕威胁狩猎的对话比围绕防火墙的对话多得多。

“我们谈论’数据泄露’是因为监管和法定定义侧重于数据的披露。组织的安全策略应该以最终目标为导向,并 heavily 侧重于拒绝威胁行为者访问那些具有最高监管、法定或合同风险的数据。” ——Kayne Mcgladrey,网络安全中心咨询委员会成员

随着安全从脚跟到脚趾,业务运营也从地面走向云端。因此,虽然网络安全的哲学已经革命化,但业务流程已经转型。企业只需要持续寻找和使用新的不同工具,以确保组织超越变革并为股东和客户在遥远的未来提供价值。如果公司不能从以前的安全事件中学习,这就无法实现。

因此,云安全体现了CISO角色的本质。环境变化,CISO适应。但这种适应是一种演变。CISO现在是一名业务高管,必须用共同语言与董事会、CEO和业务利益相关者交谈。CISO必须使用这种共同语言以及新假设的前瞻姿态来寻找业务创新的边缘并使其成为可能。

高管访谈

Louis Evans,Arctic Wolf Networks产品营销经理

云安全格局是什么?

云安全格局的基本动态是云提供商和用户之间云安全责任的平衡。这比"云提供商负责这个,最终用户负责那个"更复杂。这是关于理解共同责任:云提供商提供什么类型的安全相关数据,组织如何操作它等等。云安全供应商位于该动态之上,并与用户合作帮助缩小这一差距。

在Arctic Wolf,我们将我们的安全运营方法应用于大多数企业在检测、安全态势管理、统一安全可视性等方面苦苦挣扎的差距。

你能提供一个云安全用例吗?

让我们谈谈一个非常基本的安全最佳实践:多因素认证。每个人都知道你需要跨平台实施它——尤其是在SaaS系统中,账户和登录是攻击者的主要目标。

SaaS供应商认识到这一点,他们提供MFA。然而,安全不一定是这些SaaS供应商的首要任务。因此,实施多因素认证比看起来更复杂。这不仅仅是激活用户登录的MFA的问题。它还需要遍历所有其他设置——API调用、其他访问途径——并停用单因素授权。

这一切都非常基本,但仍然非常棘手,SaaS客户可能甚至不知道这个漏洞,直到被攻击者利用。在这个简单案例和许多更复杂的情况下都是如此。这就是为什么与云安全供应商合作如此有价值。

企业如何参与SaaS和云安全最佳实践?

这是一个真正的挑战。通常,差距在于人员和流程而不是技术。大多数关键安全最佳实践的大多数技术需求都通过云提供商到位。他们拥有所需的配置选项,或者他们提供安全相关数据。但组织缺乏了解他们应该实施的所有最佳实践的云安全专家,并且他们缺乏系统性追踪漏洞和审查警报的流程。

通常也存在某种技术差距,缺乏数据聚合或新安全配置数据的管道,但关键差距肯定在人员和流程中。云安全人才如此罕见,需求如此之高。

“云客户可能甚至不知道他们的云漏洞,直到攻击者利用它们。这就是为什么与云安全专家合作如此有价值。” ——Louis Evans,Arctic Wolf云解决方案产品营销经理

你们如何帮助弥合这一差距?

关键因素肯定是我们的 concierge 安全团队,他们与我们的客户合作,将他们的专业知识带到桌面上,作为客户IT团队的延伸。

我们的 concierge 团队位于一个复杂的安全管道和流程之上,我们不断收集和更新漏洞信息、安全基准、入侵指标,并将它们与客户云数据进行比较。所有这些加在一起就是我们能够在如此新的、动态发展的环境中支持客户的方式。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次