云计算于创新有益,却给安全部门制造了麻烦。
云计算正从 IT 服务交付可选项演变为事实标准。企业战略集团 (ESG) 最近发布的《2019公共云趋势》报告指出,过去八年来,基础设施及服务环境采用率激增,企业采纳率从 17% 上升到 58%;39% 的企业报告称其技术部署完全采用云优先策略。
这对创新而言当然是大大的利好,但对挣扎于追赶云技术、架构和用例持续发展变化的安全部门而言,就不那么美妙了。他们面临的大部分挑战都与可见性有关。云安全联盟最近的报告显示,在公共云上托管有资产的公司中,3/4 将可见性缺乏列为主要挑战。
我们不妨来看看都有哪些造成可见性困扰的云安全盲点。
1. 业务管理IT
忘了 “影子 IT” 或 “流氓 IT” 吧。由业务线利益相关者购买和管理云资产的技术采购模式,正被很多公司企业视为创新驱动力,热切称之为 “业务管理 IT”。《2019 Harvey Nash/毕马威 CIO 联合调查》也报告称,当下超过 2/3 的公司企业要么鼓励,要么允许业务管理 IT。因为这么做的公司企业在市场上打败竞争对手的概率,比不这么做的公司企业高 58%,提供积极员工体验的概率也高 38%。
问题在于,缺乏来自 IT 和网络安全人员的协作,这些云技术可能成为公司企业的巨大安全盲点。这些公司创新更快,但其安全风险暴露面也是其他公司的两倍。
2. 云错误配置
基础设施即服务 (IaaS) 和云数据存储的错误配置,是当今重大云数据泄露和暴露的主要原因。无论是关闭云提供商标准化的默认安全设置、使用默认密码、特定服务开放不受限访问,还是其他什么操作,错误配置引入的大量隐藏风险,往往是许多令人难堪的安全事件背后的主因。最新出炉的《2019 云安全报告》指出,约 40% 的公司企业认为云平台错误配置是他们的主要安全顾虑。
3. 混合架构
云安全联盟最新报告表明,约 55% 的公司企业运营着采用混合架构的云计算环境。混合架构为大型企业提供了逐步过渡到云的良好途径,但也引入了安全可见性问题,因为公司很难在整个架构上跟踪资产,也难以跨无数复杂混合云连接监视其上行为。事实上,Firemon 今年早些时候抛出的一个报告显示,80% 的企业受到混合环境安全监管工具复杂性和有限性的困扰。
4. 多云采购
云安全联盟报告显示,越来越多的公司企业参与多云采购,依赖多家提供商的云环境。大约 66% 的公司企业拥有多云环境,约 36% 依赖多云和混合技术。
这就进一步遮蔽了安全人员的双眼。Securosis 分析师,云安全公司 DisruptOps 产品副总裁 Rich Mogull 写道:“安全人员面临的问题在于,不同提供商的安全模型和控制区别很大,而且往往文档不全,还完全不兼容。谁要是告诉你通过几节培训课程,在几周或几个月时间里让你掌握所有提供商产品的细微差别,那他要么是无知,要么是在撒谎。只有几年时间的实践经验才能真正理解一家云提供商的安全细节。
5. 容器与容器编排
随着公司企业利用容器化的瞬时灵活性与可扩展性,满足软件开发持续集成/持续交付 (CI/CD) 快速发展的需要,云中容器化工作负载和容器编排的使用也飞速跃升。但 Kubernetes 这样的新平台,向云环境引入新型错误配置与漏洞的速度,超出了安全团队保护容器技术工作方式的能力。AimPoint Group 受 StackRox 委托进行的调查显示,40% 的公司企业如今仍处于规划容器环境安全策略或其基础实施阶段,另有 19% 根本就没有容器环境安全策略。
6. 暗数据
未分类未托管的数据也称为 “暗数据”,是当今大多数企业的严重问题,不管这些数据是在现场还是在云端。根本不知道的资产是无法保护的,所以公司企业在暗数据保护方面束手无策。Vanson Bourne 近期为 Veritas 所做的调查中,暗数据问题在公共云环境中尤为尖锐,3/5 的公司称其公共云数据中已分类部分少于一半。
7. 取证与威胁追捕遥测
安全团队如今面对的一些重大云盲点,与取证和威胁追捕遥测相关。公司企业不仅难以从各种不同云资源获取恰当信息馈送,即便能够获取到正确的信息馈送,他们面临的也是一场硬仗。仅仅是整合数据,并将之与现场遥测关联就已经是一场噩梦——某种形式的多仪表盘盲区呈现在事件响应和威胁追捕团队面前。
SANS 研究所指出,一半以上的公司企业无法从其云提供商处获得用于取证的低级别日志和系统信息;能够将自有取证与事件响应工具与其公共云环境集成的公司企业不到 1/3。
- 《2019公共云趋势》报告:https://www.esg-global.com/hubfs/pdf/ESG-Research-Report-2019-Public-Cloud-Trends-Apr-2019.pdf?hsCtaTracking=cb4a5b98-896d-42b4-8da2-4cc325170ba3|2e2d925a-9721-4a66-8dbd-9bb8dd6bdd30
- 云安全联盟报告:https://cloudsecurityalliance.org/artifacts/cloud-security-complexity
- 《2019 Harvey Nash/毕马威 CIO 调查》:https://www.hnkpmgciosurvey.com/
- 《2019云安全报告》:https://www.cybersecurity-insiders.com/portfolio/2019-cloud-security-report-prospectus/
- AimPoint Group 为 StackRox 所做调查研究:https://www.stackrox.com/kubernetes-adoption-and-security-trends-and-market-share-for-containers/
- Vanson Bourne 为 Veritas 所做调查研究:https://www.veritas.com/form/whitepaper/realizing-the-power-of-enterprise-data
- SANS 研究所调查:https://www.sans.org/webcasts/109760?utm_medium=Referral&utm_source=PR+Log&utm_content=Analyst+Program+Webcasts+PR+04+2019+Cloud+Security+Survey&utm_campaign=Analyst+Program+Webcasts
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
