云安全和零信任架構(gòu)的重要性日益增長(zhǎng)

    云服務(wù)的采用正在上升，企業(yè)出于多種原因正在快速采用多云戰(zhàn)略，例如更好的成本管理、多樣化的運(yùn)營(yíng)靈活性、更高的彈性、支持并購(gòu)的敏捷性等等。根據(jù)最近一項(xiàng)關(guān)于云安全的研究，超過(guò)79%采用云的企業(yè)擁有不止一家云提供商。然而，隨著每個(gè)云提供商的發(fā)展，多云部署的復(fù)雜性增加，導(dǎo)致網(wǎng)絡(luò)攻擊的威脅和風(fēng)險(xiǎn)也相應(yīng)增加。

　　需要一種整體方法來(lái)一致地應(yīng)用零信任架構(gòu)來(lái)保護(hù)多個(gè)異構(gòu)云環(huán)境。這樣的架構(gòu)：

　　確定誰(shuí)有權(quán)訪問(wèn)什么以及出于什么目的，并通過(guò)職責(zé)分離適當(dāng)限制特權(quán)訪問(wèn)。

　　管理身份和設(shè)備的安全狀況，并保護(hù)對(duì)跨云計(jì)算環(huán)境和SaaS應(yīng)用的企業(yè)應(yīng)用和數(shù)據(jù)的訪問(wèn)。

　　基于請(qǐng)求的風(fēng)險(xiǎn)環(huán)境和行為分析，動(dòng)態(tài)實(shí)施安全策略。

　　“安全設(shè)計(jì)”是應(yīng)用零信任架構(gòu)和保護(hù)資源(包括基礎(chǔ)設(shè)施、工作負(fù)載、身份和多云環(huán)境中的數(shù)據(jù))的關(guān)鍵方法。鑒于零信任在保護(hù)云安全方面的重要性，讓我們討論一下在采用零信任之前需要考慮的一些關(guān)鍵方面：

　　實(shí)現(xiàn)最少權(quán)限框架：黑客可以利用過(guò)多的權(quán)限訪問(wèn)云資源，并增加攻擊半徑。權(quán)限設(shè)置中的錯(cuò)誤配置可能導(dǎo)致對(duì)敏感數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)、對(duì)關(guān)鍵資源的未經(jīng)授權(quán)訪問(wèn)導(dǎo)致服務(wù)中斷以及類(lèi)似事件。最小權(quán)限原則確保云中的所有身份(人類(lèi)或非人類(lèi))僅具有執(zhí)行任務(wù)所需的最小權(quán)限，從而減少了攻擊面。

　　管理數(shù)據(jù)安全的盲點(diǎn)：企業(yè)必須通過(guò)上下文感知的數(shù)據(jù)安全解決方案保護(hù)存儲(chǔ)在云中的敏感數(shù)據(jù)對(duì)象，并通過(guò)數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)解決方案管理其安全狀態(tài)。這些解決方案有助于自動(dòng)發(fā)現(xiàn)和分類(lèi)存儲(chǔ)在云中的數(shù)據(jù)，并防止由于盲點(diǎn)而導(dǎo)致的數(shù)據(jù)可見(jiàn)性錯(cuò)誤配置。

　　增強(qiáng)的威脅檢測(cè)：在異構(gòu)云環(huán)境中，缺乏跨基礎(chǔ)設(shè)施和應(yīng)用程序堆棧的可見(jiàn)性增加了挑戰(zhàn)。人工智能驅(qū)動(dòng)的技術(shù)可以在基線云安全框架中檢測(cè)威脅和異常。

　　Shift-Left的安全性：隨著基于代碼的云資源部署的廣泛采用，企業(yè)尋求應(yīng)用左移來(lái)保護(hù)DevOps管道。在云計(jì)算之旅的所有生命周期階段考慮安全性的轉(zhuǎn)型轉(zhuǎn)變加強(qiáng)了多云環(huán)境的安全態(tài)勢(shì)。

　　基于人工智能和機(jī)器學(xué)習(xí)的自適應(yīng)云安全：人工智能和機(jī)器學(xué)習(xí)被認(rèn)為是云中網(wǎng)絡(luò)安全戰(zhàn)略網(wǎng)格的基本要素。云服務(wù)的快速擴(kuò)展需要快速與基于AI和ml的云安全控制用例保持一致，包括管理云配置、檢測(cè)異常和防止未經(jīng)授權(quán)的操作。

　　無(wú)服務(wù)器安全性：隨著無(wú)服務(wù)器計(jì)算的流行，攻擊者和云資源之間的屏障已經(jīng)減弱。無(wú)服務(wù)器應(yīng)用程序是細(xì)粒度的、基于微服務(wù)的，具有多個(gè)入口點(diǎn)。因此，在無(wú)服務(wù)器功能中構(gòu)建安全控制，以保護(hù)對(duì)應(yīng)用程序的細(xì)粒度和權(quán)限訪問(wèn)。

　　云錯(cuò)誤配置：云資源的錯(cuò)誤配置是一種廣泛流行的云攻擊向量，它為未經(jīng)授權(quán)訪問(wèn)云數(shù)據(jù)和資源打開(kāi)了大門(mén)。根據(jù)美國(guó)國(guó)家安全局(National Security Agency)的數(shù)據(jù)，云配置錯(cuò)誤是云安全的首要漏洞，近80%的云數(shù)據(jù)泄露都與此有關(guān)。云服務(wù)推出速度的加快也增加了安全策略的復(fù)雜性。錯(cuò)誤配置可能會(huì)在云架構(gòu)中引入深度防御和零信任原則可以解決的故障。

　　供應(yīng)鏈安全：云中的錯(cuò)誤配置風(fēng)險(xiǎn)可能使企業(yè)容易成為供應(yīng)鏈攻擊的目標(biāo)。因此，需要采取適當(dāng)?shù)拇胧ㄟ^(guò)分層安全來(lái)減少攻擊面，并在供應(yīng)鏈上妥協(xié)時(shí)限制損害。

　　因此，隨著多云服務(wù)采用的增加，需要一種基于零信任的方法來(lái)保護(hù)云服務(wù)，以減少攻擊面并優(yōu)化安全配置的總體成本。此類(lèi)云安全實(shí)踐應(yīng)與企業(yè)的架構(gòu)框架保持一致，并建立創(chuàng)新實(shí)踐，以確保云轉(zhuǎn)型之旅的未來(lái)需求。

　　作者 ：Shambhulingayya Aralelemath，Infosys 網(wǎng)絡(luò)安全副總裁兼全球交付主管

來(lái)源：千家網(wǎng)