更新时间:2021-09-30 01:39:33
云计算并不总是安全的代名词。然而,尽管早期有人担心云不如数据中心安全,但现在云被认为是大多数关键业务功能的有用且安全的解决方案。尽管一些最早采用它的人可能对安全性不屑一顾,但现在已经不是这样了。最新一代云计算进入者主要在金融和政府部门运营,这意味着安全和合规是他们议程上的重中之重。
近年来,一系列影响消费者的重大数据泄露事件也加速了人们对云安全的关注。法律也比以往任何时候都更加重视安全,特别是在GDPR引入欧洲后,对企业采取了严格的监管措施,企业要么遵守,要么面临直接后果。
然而,虽然企业的开发运营部门已经基本接受了云的动态世界,但这给安全团队带来了一系列新的挑战。他们不再使用他们可以像以前一样仔细评估和管理的受控环境。相反,由于云平台和应用程序代码的紧密集成,开发团队现在必须将安全要求纳入其代码本身,以便在平台中实现。
由于云平台通常每天都在变化,因此配置错误的潜在风险非常高。根据Gartner的分析,到2020年,80%的云漏洞将归因于客户错误配置、糟糕的凭据管理或内部盗窃,而不是云提供商的漏洞。
有一些解决方案可以帮助安全团队应对这些挑战。这些解决方案允许他们为云环境定义策略(PCI-DSS、CIS、NIST、HIPAA),然后以简洁的方式将其呈现给开发团队。
减少维护安全策略的不必要成本可以极大地帮助组织。它降低了误解的风险,缩小了人为错误的范围,并允许开发团队在安全团队建立的护栏内安全地工作。这意味着他们并不总是需要知道云平台的最新变化以及它们与书面安全策略的一致性。它们没有安全角色,因此可以在不涉及策略页面的情况下进行编码。
在我的组织中,我们面临着这一挑战。我们发现现有的多云环境工具很差,缺乏任何补救措施。为了解决这些差距,我们创建了一个名为云安全卫士(CSG)的解决方案,现在我们的工作流程遵循一个明确定义的模式:
部署:创建新的Azure订阅或AWS帐户。
权限:创建IAM控件并将其提供给安全团队,以允许他们配置CSG来检查新环境。
定义:安全团队可以创建或应用他们需要云解决方案来满足的合规性策略。随着环境的扩展或法规遵从性要求的发展,这种情况很容易改变。
构建:开发团队现在可以开始将云部署部署到环境中。对于这些初始的,开发人员可以关注功能,因为这将被实时评估。
消耗:通过API查询CSG,找出新部署与安全策略不匹配的确切位置。如果部署完全匹配,现在可以使用报告来证明。
补救措施:如果至少有一件事需要补救,可以通过另一个快递电话解决违规问题。然后,您可以将纠正后的模板拉回到repo中,或者API可以提供JSON进行独立集成。(喜欢GUI的人可以通过GUI查看告警并修复)。
报告:随着项目的进展,报告可以与利益相关者共享。在进行风险分析时,这些可以证明是非常有价值的,并且有助于冲刺计划,因为它们显示了应该注意哪些方面。
对于开发人员来说,这个过程提供了整个集成周期的信息。它可以指出烟雾中的风险,在UAT进行快速补救,或提供阶段性验证。一旦投入生产,就可以交给运营团队来监控手动更改或配置偏差。
当然,安全团队也可以使用这个工具。它使他们能够立即了解所有云环境的安全性,并密切关注短期环境,以评估他们可能面临的风险。一旦安全团队可以看到系统的整个基础设施,他们就可以很容易地看到它的组件是如何相互连接的,并发现它的弱点。
它允许安全团队在执行公司范围的安全实践审核时,在任何给定的时间点快速报告法规遵从性状态。它还为他们提供了完整的审计线索。对系统所做的每一项更改都可以实时监控,只要有任何不符合要求的情况,警报都可以发送到Slack、Sumo Logic或电子邮件。
让持续安全成为云生命周期的一部分可以使公司的安全和开发团队同样受益。它允许他们运行云环境,并使用最适合每个团队的方法作为加入实体管理他们的合规性要求。