隨著云的深度使用,云安全越來越重要�!
根據(jù)McAfee的調(diào)查,大多數(shù)組織都信任公有云能保護(hù)敏感數(shù)據(jù)�����。但是�,云服務(wù)提供商不會(huì)處理影響云安全的各個(gè)方面。因此�����,使用云的組織正計(jì)劃將平均27%的安全預(yù)算投入到云安全中��,并計(jì)劃隨著時(shí)間的推移而增加�。
一、云安全和傳統(tǒng)安全的區(qū)別
云安全和傳統(tǒng)安全的最大區(qū)別是責(zé)任范圍����,傳統(tǒng)安全用戶100%為自己的安全負(fù)責(zé),云安全則由用戶和云供應(yīng)商共擔(dān)責(zé)任�,共同責(zé)任模型是云安全的典型特征。
共同責(zé)任模型概述了由云服務(wù)提供商或用戶處理的安全要素���。責(zé)任范圍因客戶使用云的服務(wù)而異��。這些服務(wù)包括軟件即服務(wù)(SaaS)����、平臺(tái)即服務(wù)(PaaS)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS)。
根據(jù)組織使用的云服務(wù)提供商�����,職責(zé)分工將有所不同���。
SaaS:如果組織只使用SaaS應(yīng)用�,則擔(dān)心的云安全問題最少����。云服務(wù)提供商負(fù)責(zé)包含應(yīng)用和基礎(chǔ)設(shè)施。組織必須保護(hù)和管理它們放入云中的數(shù)據(jù)���。此外�,組織還應(yīng)管理哪些員工正在使用應(yīng)用以及如何使用�。
PaaS:使用PaaS服務(wù)的組織必須確保與SaaS產(chǎn)品相同的元素�����,以及應(yīng)用程序部署和管理��。云服務(wù)提供商負(fù)責(zé)保護(hù)運(yùn)行這些服務(wù)的基礎(chǔ)設(shè)施和操作系統(tǒng)的安全�。
IaaS:組織能更多的控制IaaS服務(wù)的云環(huán)境��;但是����,這意味著更多的云安全責(zé)任��。除了類似SaaS的責(zé)任外�,組織還負(fù)責(zé)OS安全,并配置保護(hù)基礎(chǔ)設(shè)施的安全軟件或防火墻等服務(wù)��。
二���、云安全的挑戰(zhàn)及應(yīng)對(duì)
云的所有收益�,敏捷����、提升效率、彈性,都伴隨著一個(gè)重大挑戰(zhàn)--安全性�。安全和其他因素是相輔相成的關(guān)系,如果安全出現(xiàn)問題�����,則所有的收益都會(huì)變成零����,甚至給企業(yè)帶來嚴(yán)重?fù)p失。
云使安全問題進(jìn)一步復(fù)雜化����,傳統(tǒng)的安全控制通常不能滿足云安全需求。許多組織無法理清與云服務(wù)提供商(CSP)責(zé)任邊界�,從而使其面臨許多漏洞。云的擴(kuò)展性也增加了潛在攻擊面���。
為了幫助公司了解他們面臨的云挑戰(zhàn)�,云安全聯(lián)盟(CSA)整理了一份11項(xiàng)最常見的云安全挑戰(zhàn):
1.數(shù)據(jù)泄露
2.配置錯(cuò)誤和變更控制不足
3.缺乏云安全架構(gòu)和策略
4.身份����、憑據(jù)、訪問和關(guān)鍵管理不足
5.帳戶劫持
6.內(nèi)部威脅
7.不安全的接口和API
8.弱控制平面
9.元結(jié)構(gòu)和應(yīng)用列表失敗
10.有限的可視化
11.濫用云服務(wù)
1.數(shù)據(jù)泄露
數(shù)據(jù)泄露是CSP及其客戶的共同責(zé)任�����,也是主要的云安全威脅。數(shù)據(jù)泄露可能會(huì)使公司屈服�����,對(duì)其聲譽(yù)造成不可逆轉(zhuǎn)的損害���,造成的財(cái)務(wù)困境���,法律責(zé)任�����,事故響應(yīng)成本以及市場(chǎng)價(jià)值下降����。
CSA建議如下:
定義數(shù)據(jù)價(jià)值及其損失的影響;
通過加密保護(hù)數(shù)據(jù)���;
有一個(gè)完善的�����,經(jīng)過充分測(cè)試的事件響應(yīng)計(jì)劃��。
CSA云管控矩陣(CCM)規(guī)范包括以下內(nèi)容:
執(zhí)行數(shù)據(jù)輸入和輸出完整性程序��;
將最低特權(quán)原則應(yīng)用于訪問控制����;
制定安全數(shù)據(jù)刪除和處置的政策和流程。
2.配置錯(cuò)誤和變更控制不足
當(dāng)資產(chǎn)配置錯(cuò)誤時(shí)�,容易受到攻擊。除了不安全的存儲(chǔ)之外�,過多的權(quán)限和使用默認(rèn)憑據(jù)也是漏洞的另外兩個(gè)主要來源。
與此相關(guān)的是�����,無效的變更控制可能導(dǎo)致云配置錯(cuò)誤�����。在按需實(shí)時(shí)云環(huán)境中����,應(yīng)自動(dòng)進(jìn)行變更控制,以支持快速變更��。
CSA建議如下:
特別注意通過互聯(lián)網(wǎng)訪問的數(shù)據(jù);
定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其損失的影響����;
創(chuàng)建并維護(hù)強(qiáng)大的事件響應(yīng)計(jì)劃。
CCM規(guī)范包括:
確保外部合作伙伴遵守內(nèi)部開發(fā)人員使用的變更管理�、發(fā)布和測(cè)試程序;
定期進(jìn)行風(fēng)險(xiǎn)評(píng)估�;
與承包商、第三方用戶和員工一起進(jìn)行安全意識(shí)培訓(xùn)����。
3.缺乏云安全架構(gòu)和策略
太多的組織在沒有適當(dāng)?shù)募軜?gòu)和策略的情況下使用云。在使用云之前�����,用戶必須了解面臨的威脅�、如何安全遷移到云以共同責(zé)任模型��。
如果沒有適當(dāng)?shù)囊?guī)劃�����,用戶將容易受到網(wǎng)絡(luò)攻擊�,這些攻擊可能導(dǎo)致財(cái)務(wù)損失��、聲譽(yù)損害以及法律和合規(guī)問題�����。
CSA 建議如下:
CCM規(guī)范包括:
確保風(fēng)險(xiǎn)評(píng)估策略�,包括流程、標(biāo)準(zhǔn)和控制以保持相關(guān)性�����;
根據(jù)商定的服務(wù)級(jí)別和容量級(jí)別����、IT治理以及服務(wù)管理策略和流程,設(shè)計(jì)����、開發(fā)和部署業(yè)務(wù)應(yīng)用程序��,及API設(shè)計(jì)和配置�����,網(wǎng)絡(luò)和系統(tǒng)組件���;
限制和監(jiān)控網(wǎng)絡(luò)環(huán)境中受信任和不信任的連接之間的流量。
4. 身份���、憑據(jù)��、訪問權(quán)限和關(guān)鍵管理不足
大多數(shù)云安全威脅(以及一般的網(wǎng)絡(luò)安全威脅)可能與身份和訪問管理(IAM)問題相關(guān)聯(lián)����。根據(jù)CSA指南���,這源于以下問題:
通過管理配置�����、僵尸帳戶����、過度帳戶、繞過IAM控件以及定義角色和權(quán)限���,進(jìn)一步進(jìn)行跟蹤��、監(jiān)控和管理所需云帳戶的總數(shù)��。
作為客戶責(zé)任����,CSA 建議如下:
CCM規(guī)范包括:
確定關(guān)鍵管理人并制定和維護(hù)關(guān)鍵管理政策;
分配����、記錄和傳達(dá)履行解雇或程序變更的職責(zé)和職責(zé);
及時(shí)取消用戶對(duì)數(shù)據(jù)和網(wǎng)絡(luò)組件的訪問���。
5. 帳戶劫持
云帳戶劫持是云帳戶的披露��、意外泄漏�����、暴露或其他對(duì)云環(huán)境的操作、管理�。這些高度特權(quán)和敏感的帳戶如果被破壞�,可能會(huì)造成巨大的后果�����。
從網(wǎng)絡(luò)釣魚���、憑據(jù)填充�、弱密碼或被盜憑據(jù)到不當(dāng)編碼�����,帳戶泄露可能導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷�����。
作為CSP和用戶的責(zé)任����,CSA建議如下:
記住,帳戶劫持不僅僅是一個(gè)密碼重置�;
使用深度防御和IAM 控制。
CCM規(guī)范包括:
制定�����、記錄和采用統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃;
將生產(chǎn)和非生產(chǎn)環(huán)境分開�;
維護(hù)并定期更新合規(guī)聯(lián)絡(luò),為需要快速參與執(zhí)法調(diào)查做準(zhǔn)備���。
6. 內(nèi)部威脅
與員工和其他在組織網(wǎng)絡(luò)內(nèi)工作的人相關(guān)的風(fēng)險(xiǎn)不僅限于云���。無論是疏忽還是故意,內(nèi)部人員(包括現(xiàn)任和前任員工���、承包商和合作伙伴)都可能導(dǎo)致數(shù)據(jù)丟失����、系統(tǒng)停機(jī)����、客戶信心下降和數(shù)據(jù)泄露。
必須解決客戶的責(zé)任����、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅、憑據(jù)問題����、人為錯(cuò)誤和云配置錯(cuò)誤�����。
CSA 建議如下:
CCM 規(guī)范包括:
在搬遷或傳輸硬件����、軟件或數(shù)據(jù)之前需要授權(quán);
授權(quán)和重新驗(yàn)證用戶訪問控制��,并計(jì)劃間隔�����;
從其他租戶分割多租戶應(yīng)用程序��、基礎(chǔ)設(shè)施和網(wǎng)絡(luò)����。
7. 不安全的接口和 API
用戶通過 CSP UI 和 API 與云服務(wù)進(jìn)行交互,是云環(huán)境中最暴露的組件之一���。任何云服務(wù)的安全性都始于這些服務(wù)的維護(hù)程度���,并且是客戶和 CSP 的責(zé)任�。
必須確保安全集成���,客戶必須努力管理����、監(jiān)控����。CSA 建議如下:
CCM 規(guī)范包括:
按照行業(yè)領(lǐng)先標(biāo)準(zhǔn)設(shè)計(jì)���、開發(fā)����、部署和測(cè)試 API���,并遵守適用的法律�����、法規(guī)和監(jiān)管義務(wù)�����;
隔離和限制對(duì)與組織信息系統(tǒng)交互的審計(jì)工具的訪問�,以防止數(shù)據(jù)披露和篡改�����;
限制能夠覆蓋系統(tǒng)��、對(duì)象��、網(wǎng)絡(luò)�、VM 和應(yīng)用程序控制的實(shí)用程序。
8. 控制平面弱
云控制平面是收集組織使用的云管理控制臺(tái)和接口��,是用的責(zé)任�����。根據(jù)CSA的數(shù)據(jù),它還包括數(shù)據(jù)復(fù)制��、遷移和存儲(chǔ)����。被破壞的控制平面可能導(dǎo)致數(shù)據(jù)丟失、監(jiān)管罰款和其他后果�����,以及品牌聲譽(yù)受損��,可能導(dǎo)致收入損失�����。
CSA 建議如下:
CCM 規(guī)范包括:
建立和制定信息安全政策和程序���,供內(nèi)部人員和外部業(yè)務(wù)關(guān)系審查���;
實(shí)施和運(yùn)用防御深入措施,及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊��;
制定策略來標(biāo)記、處理和安全包含數(shù)據(jù)的數(shù)據(jù)和對(duì)象�。
9. 元結(jié)構(gòu)和應(yīng)用列表失敗
CSA 定義的元結(jié)構(gòu)是"提供基礎(chǔ)設(shè)施層和其他層之間接口的協(xié)議和機(jī)制",換句話說�����,"連接技術(shù)并實(shí)現(xiàn)管理和配置的膠水"���。
也被稱為水線���,元結(jié)構(gòu)是CSP和客戶之間的分界線��。這里存在許多安全威脅��,例如�,CSA 列舉了 CSP 執(zhí)行不良的 API 或客戶使用不當(dāng)?shù)脑茟?yīng)用。此類安全挑戰(zhàn)可能導(dǎo)致服務(wù)中斷和配置錯(cuò)誤���,并造成財(cái)務(wù)和數(shù)據(jù)損失后果���。
應(yīng)用列表的定義是"部署在云中的應(yīng)用程序和用于構(gòu)建它們的基礎(chǔ)應(yīng)用程序服務(wù)(例如,PaaS 功能�����,如消息隊(duì)列、AI 分析或通知服務(wù))���。
報(bào)告的新威脅是客戶和 CSP 的責(zé)任��。CSA 建議如下:
CSP 提供可見性和暴露緩解措施�,以抵消租戶缺乏透明度���;
CSP 進(jìn)行滲透測(cè)試�,向客戶提供調(diào)查結(jié)果�;
客戶在云原生設(shè)計(jì)中實(shí)現(xiàn)功能和控制。
CCM 規(guī)范包括:
10. 有限的可視化
云可視化長(zhǎng)期以來一直是企業(yè)管理員關(guān)注的問題,有限的可視化會(huì)導(dǎo)致兩個(gè)關(guān)鍵挑戰(zhàn):
CSA說,這種有限的可見性導(dǎo)致缺乏治理�����、意識(shí)和安全性�����,所有這些都可能導(dǎo)致網(wǎng)絡(luò)攻擊��、數(shù)據(jù)丟失和泄露�����。
CSA 建議如下:
CCM 規(guī)范包括:
定期進(jìn)行風(fēng)險(xiǎn)評(píng)估�����;
使所有人員了解其合規(guī)和安全職責(zé)�����;
進(jìn)行清點(diǎn)���、記錄和維護(hù)數(shù)據(jù)流。
11. 濫用云服務(wù)
云可以被惡意使用���,對(duì)合法的 SaaS���、PaaS 和 IaaS 產(chǎn)品的邪惡使用都會(huì)影響個(gè)人、云用戶和 CSP。用戶容易受到以下云服務(wù)的濫用:
分布式拒絕服務(wù)攻擊
網(wǎng)絡(luò)釣魚
加密
單擊欺詐
蠻力攻擊
托管惡意或盜版內(nèi)容
泄露和濫用的云服務(wù)可能導(dǎo)致費(fèi)用發(fā)生�����,例如�����,惡意挖礦或攻擊者付款����,客戶在不知不覺中托管惡意軟件,數(shù)據(jù)丟失等�。
CSA 建議 CSP 努力通過事件響應(yīng)框架檢測(cè)和減輕此類攻擊。CSP 還應(yīng)提供其客戶可用于監(jiān)控云工作負(fù)載和應(yīng)用程序的工具和控制���。
作為客戶和 CSP 的責(zé)任���,CSA 建議如下:
CCM 規(guī)范包括:
采取技術(shù)措施管理移動(dòng)設(shè)備風(fēng)險(xiǎn):
確定企業(yè)和用戶擁有的終端(包括工作站��、筆記本電腦和移動(dòng)設(shè)備)的限額和使用權(quán)限
創(chuàng)建并維護(hù)已批準(zhǔn)的應(yīng)用程序和應(yīng)用程序商店列表����。
三�、如何衡量云安全水平
云安全的衡量可以分為五個(gè)要素��,分別是安全架構(gòu)���、合規(guī)性����、實(shí)施盡職調(diào)查���、監(jiān)控網(wǎng)絡(luò)以及包含可靠的身份驗(yàn)證協(xié)議���。
1.安全架構(gòu)
組織應(yīng)了解其云服務(wù)的安全局限性。這包括提供商提供的內(nèi)容以及組織負(fù)責(zé)的內(nèi)容���。例如���,如果企業(yè)選擇提供"基礎(chǔ)服務(wù)"(IaaS)云的服務(wù)提供商,則預(yù)計(jì)該企業(yè)將處理設(shè)置的大部分安全性��。
這是因?yàn)槠髽I(yè)負(fù)責(zé)軟件�,自己處理大多數(shù)安全配置��。雖然有更多的工作量����,但它也使組織能夠更直接地控制其安全設(shè)置方式���。
另一方面��,如果云服務(wù)提供商負(fù)責(zé)云服務(wù)軟件(SaaS)��,則提供商將強(qiáng)制執(zhí)行應(yīng)用程序和數(shù)據(jù)安全�。對(duì)于組織來說工作量少�,對(duì)云安全的控制也較少。
總體而言���,組織需要了解云安全架構(gòu)的要素��,以了解安全覆蓋方面的潛在差距���、它們的責(zé)任以及如何確保云計(jì)算中的薄弱環(huán)節(jié)。
企業(yè)可能需要實(shí)施的項(xiàng)目包括虛擬防火墻和入侵檢測(cè)系統(tǒng)以及入侵預(yù)防系統(tǒng) (IDS/IPS)��。
2.云安全合規(guī)
許多國(guó)家正在實(shí)施數(shù)據(jù)隱私法規(guī)����,并對(duì)未能充分保護(hù)用戶數(shù)據(jù)的公司處以罰款。例如�����,歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)對(duì)違規(guī)行為處以巨額罰款��。定期研究法規(guī)是組織的優(yōu)先事項(xiàng)�。
以下是安全方面經(jīng)常參考的一些國(guó)際、國(guó)內(nèi)和行業(yè)標(biāo)準(zhǔn):
ISO27001 信息安全管理體系
ISO20000 IT服務(wù)管理體系
ISO 22301 業(yè)務(wù)連續(xù)性管理
ISO 27017 云計(jì)算信息安全
ISO 27018 公有云個(gè)人信息安全防護(hù)
ITSS 工信部云計(jì)算服務(wù)能力評(píng)估
網(wǎng)絡(luò)安全等級(jí)保護(hù)
可信云服務(wù)認(rèn)證
PCI DSS認(rèn)證(支付卡行業(yè)數(shù)據(jù)安全)
3.實(shí)踐盡職調(diào)查
企業(yè)應(yīng)不斷分析和審查其合規(guī)性���。此外���,還應(yīng)評(píng)估當(dāng)前的安全措施,并注意最新的安全漏洞�。黑客不斷發(fā)現(xiàn)新的入境點(diǎn)。企業(yè)必須繼續(xù)接受這些新違規(guī)事件的教訓(xùn)����,直面潛在的攻擊。
4.監(jiān)控和可視化
性能管理工具是監(jiān)控云網(wǎng)絡(luò)健康狀況的又一關(guān)鍵步驟�����。網(wǎng)絡(luò)性能管理(NPM)工具發(fā)現(xiàn)影響網(wǎng)絡(luò)的問題,如流量瓶頸和可疑活動(dòng)�,并提醒IT專業(yè)人員注意這些問題。
5.認(rèn)證
企業(yè)應(yīng)實(shí)施集中登錄管理系統(tǒng)、云訪問安全代理(CASB)、加密�����、加密密鑰管理和兩步認(rèn)證����。所有這些工具都增加了阻止黑客滲透敏感數(shù)據(jù)的障礙����。
四、如何構(gòu)建有效的云安全團(tuán)隊(duì)
隨著越來越多的組織將關(guān)鍵工作負(fù)載和數(shù)據(jù)部署到云中����,越來越多的攻擊集中在這些環(huán)境中。
幾個(gè)不同的挑戰(zhàn)可能會(huì)使云事件檢測(cè)和響應(yīng)變得困難�����,包括:
缺乏云技術(shù)技能:許多安全運(yùn)營(yíng)分析師和事件響應(yīng)者沒有時(shí)間和能力了解云環(huán)境和技術(shù)�����。
供應(yīng)商不兼容:某些常用的安全操作工具和服務(wù)在云服務(wù)提供商環(huán)境中可能功能較差或不兼容。
缺乏云可視化:許多組織對(duì)其云部署中的當(dāng)前資產(chǎn)和運(yùn)營(yíng)缺乏深入的洞察力和反省�,使安全操作更具挑戰(zhàn)性。
臨時(shí)工作量:云中的許多工作負(fù)載(如容器)只存在很短的時(shí)間����,使響應(yīng)和分析變得困難或不可能�。
安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)必須適應(yīng)云環(huán)境。當(dāng)云在組織中開始變得更加普遍時(shí)�����,某些治理會(huì)自然發(fā)生����。云安全運(yùn)營(yíng)中心還需要與風(fēng)險(xiǎn)團(tuán)隊(duì)協(xié)調(diào),以了解哪些云環(huán)境正在使用中��,哪些環(huán)境計(jì)劃用于未來�。如果云SOC團(tuán)隊(duì)不知道資產(chǎn)運(yùn)行在哪里或使用什么應(yīng)用程序,則無法識(shí)別攻擊或事件�����。
云安全運(yùn)營(yíng)中心團(tuán)隊(duì)還必須與IT的各個(gè)領(lǐng)域合作��。組織不再將所有內(nèi)容劃分在單個(gè)數(shù)據(jù)中心或一組數(shù)據(jù)中心中。SOC團(tuán)隊(duì)需要與云工程團(tuán)隊(duì)(如果組織有)合作�����,以更好地了解組織正在與之合作的云提供商以及部署的具體服務(wù)和資產(chǎn)�����。云SOC團(tuán)隊(duì)?wèi)?yīng)利用這些信息優(yōu)化自己的活動(dòng)并與DevOps團(tuán)隊(duì)集成�����。
有效的云安全運(yùn)營(yíng)中心團(tuán)隊(duì)操作
云安全運(yùn)營(yíng)中心團(tuán)隊(duì)?wèi)?yīng)提前執(zhí)行以下操作:
建立單獨(dú)的云帳戶或完全在其控制下的訂閱����。
創(chuàng)建最少的特權(quán)帳戶,以便在需要時(shí)在云中執(zhí)行特定操作���,并定義帳戶角色(理想情況下用于跨帳戶訪問)�����。
對(duì)所有帳戶實(shí)施多因素身份驗(yàn)證�����。
啟用一次寫入存儲(chǔ)日志和證據(jù)��,這是最佳做法�,即使證據(jù)目前沒有存儲(chǔ)在云中。例如��,在 AWS 中��,可以使用S3 存儲(chǔ)桶版本進(jìn)行安全保留和恢復(fù)�����。
云安全操作中心記錄最佳實(shí)踐
組織應(yīng)啟用任何主要IaaS云的日志記錄和事件聚合���。核心記錄架構(gòu)涉及三個(gè)不同的功能:
啟用核心API記錄:其中包括AWS的云跟蹤、Azure的活動(dòng)日志以及Google云平臺(tái)(GCP)的操作��。
集成日志攝入和處理服務(wù):某些服務(wù)可以直接從存儲(chǔ)中引導(dǎo)日志���。大多數(shù)云記錄最好通過將日志傳遞到連接和攝錄的中間服務(wù)中來完成�,例如亞馬遜云觀察����、Azure 監(jiān)視器或 GCP云記錄���。
導(dǎo)出用于處理或與其他服務(wù)集成的日志:一旦日志被處理并傳遞給其他服務(wù),請(qǐng)選擇最合適的連接模型�����。對(duì)于云中日志處理和響應(yīng)�����,這通常通過事件處理和與無服務(wù)器和其他工具的集成來處理��。
當(dāng)然����,每個(gè)云提供商都有自己的特定選項(xiàng)和差異。Azure用戶可以直接從Azure監(jiān)視器集成到微軟原生的SIEM工具����。AWS用戶可以集成來自領(lǐng)先提供商(如Splunk和其他SIEM工具)的第三方連接器應(yīng)用,以便從 CloudTrail S3 存儲(chǔ)桶中攝取�,或流式傳輸?shù)?Kinesis 等服務(wù)中以進(jìn)行攝取。
五���、公有云與私有云安全的區(qū)別
無論企業(yè)的基礎(chǔ)設(shè)施是私有云���、公有云還是混合云中�����,網(wǎng)絡(luò)安全都是一個(gè)關(guān)鍵組成部分�。雖然某些云架構(gòu)大大簡(jiǎn)化了安全任務(wù)和工具集成��,但它往往以不靈活為代價(jià)���。
公有云安全
組織可以使用第三方云服務(wù)提供商(CSP)來管理其數(shù)據(jù)中心基礎(chǔ)設(shè)施內(nèi)的應(yīng)用程序和數(shù)據(jù)��。許多CSP還提供內(nèi)置的安全工具,以幫助保護(hù)業(yè)務(wù)關(guān)鍵數(shù)據(jù)���。
公有云安全優(yōu)勢(shì)
由于各種原因���,企業(yè)被公有云基礎(chǔ)設(shè)施所吸引,包括資本支出低���、服務(wù)可擴(kuò)展性和減輕內(nèi)部 IT 員工的管理工作量����。公有云基礎(chǔ)設(shè)施安全優(yōu)勢(shì)包括:
公有云安全缺點(diǎn)
一些企業(yè)��,尤其是擁有大量IT基礎(chǔ)設(shè)施的大型企業(yè)�����,可能會(huì)發(fā)現(xiàn)公有云安全不適合�����。潛在的公有云安全挑戰(zhàn)包括:
CSP安全性未達(dá)到標(biāo)準(zhǔn):在某些情況下����,CSP的網(wǎng)絡(luò)安全工具、流程和方法不足以保護(hù)高度敏感的數(shù)據(jù)���。
能見度不足:較大的組織通常需要能夠獲取和分析日志����、警報(bào)和其他數(shù)據(jù),直至數(shù)據(jù)包級(jí)別����。對(duì)于許多CSP,尤其SaaS�,客戶無法訪問這些安全信息。這是因?yàn)榇蠖鄶?shù)基礎(chǔ)技術(shù)都是抽象的���,目的是從客戶的角度簡(jiǎn)化管理��。
私有云安全
顧名思義����,私有云允許企業(yè)訪問云中的專用基礎(chǔ)設(shè)施資源���。與公有云一樣�,既有利也有弊����。
私有云安全優(yōu)勢(shì)
私有云對(duì)尋求對(duì)基礎(chǔ)基礎(chǔ)設(shè)施進(jìn)行更精細(xì)控制的組織很有吸引力����。這通常包括客戶配置訪問網(wǎng)絡(luò)�����、OS和服務(wù)器虛擬化平臺(tái)����。從安全角度來看���,私有云的優(yōu)勢(shì)包括:
私有云安全缺點(diǎn)
私有云與公有云安全之間的差異正在變得明顯����,尤其是在控制方面。然而�,私有云的靈活性在定價(jià)和管理兩個(gè)方面都付出了代價(jià)��。
出于這兩個(gè)原因��,至關(guān)重要的是�,IT決策者必須仔細(xì)權(quán)衡私有云的網(wǎng)絡(luò)安全優(yōu)勢(shì)與增加的財(cái)務(wù)支出和間接管理費(fèi)用。
混合云安全性
另外�,有在混合云環(huán)境中運(yùn)營(yíng)的組織。這是一些業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)位于公有云中���,而其他則在私有云或私有數(shù)據(jù)中心內(nèi)��。
混合云安全優(yōu)勢(shì)
與混合云�����,整體可能大于其部分的總和�������;旌显苹A(chǔ)架構(gòu)的安全優(yōu)勢(shì)包括:
混合云安全挑戰(zhàn)
與私有云一樣,混合云基礎(chǔ)架構(gòu)的靈活性也有其缺點(diǎn)��。例如����,關(guān)于應(yīng)用程序和數(shù)據(jù)所在位置的決定是一項(xiàng)重大責(zé)任,需要進(jìn)行大量評(píng)審�。組織應(yīng)考慮混合云模型的以下潛在缺點(diǎn):
策略執(zhí)行面臨挑戰(zhàn):網(wǎng)絡(luò)安全政策可能變得難以復(fù)制,并擴(kuò)展到公有云和私有云以及本地?cái)?shù)據(jù)中心���。在某些云架構(gòu)(如SaaS)中�����,可能無法復(fù)制在公司基礎(chǔ)架構(gòu)的安全策略�����。
安全不一致:由于測(cè)了執(zhí)行問題��,某些應(yīng)用程序和數(shù)據(jù)可能不如其他應(yīng)用程序和數(shù)據(jù)安全����。
需要更多的技能:安全管理員必須處理不同的方法和工具,根據(jù)脆弱資源所在的位置監(jiān)控和執(zhí)行威脅
如何確定最佳云安全架構(gòu)
在云計(jì)算和云安全方面���,沒有一種架構(gòu)適合所有業(yè)務(wù)����。IT架構(gòu)師必須衡量所有業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)集的網(wǎng)絡(luò)安全需求���。一旦定義�����,技術(shù)服務(wù)可以分類并指定部署在公有云或私有云中�����,無論從成本還是網(wǎng)絡(luò)安全的角度來看�,這些都最有意義����。
六、云安全實(shí)踐
云安全最佳實(shí)踐全包括:理解和實(shí)施安全基本原理���、遵守共同責(zé)任模型�、數(shù)據(jù)加密和遵守適用法規(guī)���。
1. 了解提供商的安全模型
在使用云產(chǎn)品之前�����,SOC需要了解云提供商的安全模型��。首先����,供應(yīng)商對(duì)類似概念使用不同的術(shù)語�。例如,用戶可能會(huì)使用AWS中的標(biāo)簽組織資產(chǎn),但不能在谷歌云平臺(tái)項(xiàng)目中使用�����,這會(huì)影響云安全策略的實(shí)施方式���,因此了解術(shù)語有助于防止錯(cuò)誤��。
其次���,從運(yùn)營(yíng)的角度來看,SOC需要了解哪些安全功能可用��,以及這些功能的潛在值或局限性��。
2. 加密數(shù)據(jù)
大多數(shù)云提供商���,尤其是較大的提供商��,都提供對(duì)其創(chuàng)建的VM進(jìn)行加密的功能�����。此加密功能通常是免費(fèi)的或低成本可用�。鑒于較低的財(cái)務(wù)和運(yùn)營(yíng)影響,使用此加密功能(如果默認(rèn)情況下尚未打開)是一個(gè)明智的決定���。
3. 始終給程序打補(bǔ)丁
云用戶主要負(fù)責(zé)保持工作負(fù)載的最新���,在大多數(shù)情況下�,這包括操作系統(tǒng)應(yīng)用軟件。正如需要適當(dāng)修補(bǔ)和維護(hù)本地服務(wù)器一樣���,對(duì)云工作負(fù)載也要保持同樣的警惕����。雖然這聽起來像是常識(shí)�����,但一致的修補(bǔ)可能比看起來更加困難��。當(dāng)云資源在不同組內(nèi)或通過不同的操作過程進(jìn)行管理時(shí)����,情況尤其如此。
4. 監(jiān)控
關(guān)注任何基于云的資產(chǎn)都是常識(shí)��。但是,監(jiān)控功能可以位于組織內(nèi)的不同部門中�。此外,提供商還通過不同的接口提供各種監(jiān)控機(jī)制�����。這些挑戰(zhàn)需要規(guī)劃和遠(yuǎn)見�����,以確保持續(xù)和高效的云監(jiān)控�����。
5. 管理訪問
需要考慮多身份和訪問管理(IAM)�����。首先�,操作系統(tǒng)、應(yīng)用程序和中間件����。第二,在操作系統(tǒng)級(jí)別考慮特權(quán)訪問����。
請(qǐng)注意��,云訪問還包括控制臺(tái)和其他功能�����,這些功能可提供有關(guān)云資源的信息或影響云資源的運(yùn)行�。因此�����,了解誰有權(quán)訪問控制臺(tái)以及出于何種目的至關(guān)重要���。
6.云中的文檔資產(chǎn)
在云中保護(hù)數(shù)據(jù)時(shí),組織需要準(zhǔn)確記錄云中的資產(chǎn)以及這些資產(chǎn)的當(dāng)前安全狀況��。許多工具使技術(shù)專業(yè)人員能夠找到資源:真正的挑戰(zhàn)是確切地找出需要記錄哪些資源��。
除了顯而易見的情況����,例如工作負(fù)載的運(yùn)行位置,還需要查找以下資源:
身份和訪問管理用戶和管理員帳戶特權(quán)�;
與云帳戶關(guān)聯(lián)的所有公共IP地址��,如果任何IP地址已被劫持�����,請(qǐng)?zhí)峁╊A(yù)警�;
資產(chǎn)與資源之間的關(guān)系���,以發(fā)現(xiàn)潛在的攻擊路徑���;
密鑰和關(guān)鍵特征,包括禁用密鑰的時(shí)間閥值����。
7.測(cè)試、測(cè)試和再測(cè)試
一旦組織設(shè)置云環(huán)境�����,測(cè)試便是常態(tài)���。大型且不斷增長(zhǎng)的工具庫可用于使組織能夠?qū)Νh(huán)境進(jìn)行滲透測(cè)試���、錯(cuò)誤配置測(cè)試和各種形式的漏洞測(cè)試�,有些工具可以搜索密鑰和密碼����。總之�����,攻擊者將針對(duì)組織使用的所有工具����、技術(shù)和程序都可用于加強(qiáng)云環(huán)境。
8.創(chuàng)造現(xiàn)場(chǎng)安全培訓(xùn)機(jī)會(huì)
"實(shí)彈射擊訓(xùn)練"已成為消防部門的主要科目�,F(xiàn)場(chǎng)消防訓(xùn)練是指購買建筑物,裝備它完全像一個(gè)典型的住宅或辦公室�����,然后放火��,并派遣消防員來控制火災(zāi)的做法���。因此,消防員可以深入了解火災(zāi)在不同條件下的行為�����,并了解自己在火災(zāi)現(xiàn)場(chǎng)壓力下的弱點(diǎn)和趨勢(shì)。
云環(huán)境現(xiàn)場(chǎng)培訓(xùn)相當(dāng)于實(shí)彈射擊訓(xùn)練�,是云環(huán)境和云應(yīng)用的套件。這些工具包含錯(cuò)誤配置和漏洞���,可以快速輕松地設(shè)置�,以培訓(xùn)云工程師如何檢測(cè)和補(bǔ)救常見的配置缺陷和安全漏洞�����。這種環(huán)境應(yīng)成為組織培訓(xùn)計(jì)劃的一部分���。使用游戲化��,并獎(jiǎng)勵(lì)那些最快速��、最有效地發(fā)現(xiàn)漏洞的網(wǎng)絡(luò)安全專家����。
9.隨時(shí)了解新出現(xiàn)的威脅
組織需要跟蹤新出現(xiàn)的威脅�,包括復(fù)雜的跨國(guó)攻擊,這些攻擊越來越多地使用云服務(wù)。這樣做的好方法是通過Mitre ATT&CK框架��,該框架跟蹤威脅����,并將攻擊分解為技術(shù)和戰(zhàn)術(shù),如憑據(jù)訪問�、特權(quán)升級(jí)、發(fā)現(xiàn)等�。ATT&CK 框架還提供補(bǔ)救建議和對(duì)攻擊者行為和活動(dòng)的最新見解。其他保持知情的方法包括訂閱來自供應(yīng)商和第三方組織的威脅情報(bào)源�,以及參與其他網(wǎng)絡(luò)安全組織。
七���、云安全專家認(rèn)證
認(rèn)證可以幫助安全專業(yè)人士證明他們對(duì)信息安全主題的基線知識(shí)��。許多尋求云安全職業(yè)的專業(yè)人士將求助于認(rèn)證����,以推進(jìn)他們的學(xué)習(xí)���,向潛在的雇主證明他們的知識(shí)。
雖然關(guān)于安全認(rèn)證計(jì)劃價(jià)值的爭(zhēng)論非常激烈��,但它們?nèi)匀皇枪椭骱Y選應(yīng)聘者和評(píng)估被面試者基線知識(shí)的主要方式之一�。
信息安全行業(yè)已經(jīng)存在了幾十年�,并擁有一些最知名的認(rèn)證�。CISSP于1994年發(fā)布,ISACA 的認(rèn)證信息系統(tǒng)審核員認(rèn)證可追溯到1978年����。
這些較老、成熟的認(rèn)證提供商在其材料中添加了云組件���,但這些附加組件的深度通常相當(dāng)有限�����。
來了解一些已經(jīng)引入了專門的�����、深入的云安全認(rèn)證的認(rèn)證提供商����,以及云安全專業(yè)人士在實(shí)施這些認(rèn)證時(shí)可以期待什么����。
1. ISC認(rèn)證云安全專業(yè)人員 CCSP
最知名的云安全認(rèn)證是ISC的CCSP,雖然ISC的CISSP現(xiàn)在包含更多的云材料,其專門的CCSP計(jì)劃將其提升到一個(gè)新的水平��,涵蓋從云應(yīng)用安全到云平臺(tái)安全等各種與云相關(guān)的主題��。
在獲得認(rèn)證前必須至少具有五年的有償工作經(jīng)驗(yàn)��。三年必須是信息安全���,一年必須在 CCSP 知識(shí)共同機(jī)構(gòu)(CBK)包含的六個(gè)域中的一個(gè)或多個(gè)領(lǐng)域:
云概念�����、架構(gòu)和設(shè)計(jì)
云數(shù)據(jù)安全
云平臺(tái)和基礎(chǔ)設(shè)施安全
云應(yīng)用安全性
云安全操作
法律��、風(fēng)險(xiǎn)和合規(guī)
云安全聯(lián)盟的云安全知識(shí)證書(CCSK)可以替代CCSK域的一年經(jīng)驗(yàn)���,也可以替代 CISSP 的整個(gè) CCSP 體驗(yàn)要求。
2. CSA 云安全知識(shí)證書CCSK
CSA 的CCSK是 CCSP 認(rèn)證的較輕替代方案����。該認(rèn)證于2010年推出,致力于云安全����,與 CCSP 一樣,它深入到技術(shù)細(xì)節(jié)中����。
CCSP 和 CCSK 之間存在一些重大差異。例如�,CBK 對(duì)于 CCSK 來說不像 CCSP 那樣廣泛。CCSK 的研究材料 (來自 CSA 云安全指南v4��、CSA 云控制矩陣和歐盟網(wǎng)絡(luò)安全云計(jì)算風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)報(bào)告 )在互聯(lián)網(wǎng)上免費(fèi)提供�,因此無需任何書籍或培訓(xùn)課程。此外��,CCSK認(rèn)證沒有先決條件或經(jīng)驗(yàn)要求����。此外,CCSK考試可在線提供�����,并且是開放式書籍��。
CCSK 是入門級(jí)到中端安全專業(yè)人員的一個(gè)很好的替代云安全認(rèn)證�����,對(duì)云數(shù)據(jù)安全感興趣,但沒有理由花費(fèi) CCSP 認(rèn)證所需的時(shí)間和成本�。
3. GIAC 云安全自動(dòng)化 (GCSA)
GIAC的GCSA認(rèn)證于2020年4月推出,專為致力于保護(hù)云和DevOps環(huán)境的開發(fā)人員�、分析師和工程師設(shè)計(jì)。它包括配置管理自動(dòng)化��、持續(xù)集成/持續(xù)交付和持續(xù)監(jiān)控以及如何使用開源工具�����、AWS工具鏈和Azure服務(wù)等主題�����。
GIAC 認(rèn)證沒有先決條件��,但它基于SANS研究所的線下或在線SEC540:云安全和DevOps自動(dòng)化課程��。這個(gè)為期五天的課程包括五個(gè)部分的主題:
開發(fā)人員介紹
云基礎(chǔ)設(shè)施和編排
云安全操作
云安全作為服務(wù)
合規(guī)性作為代碼
考試可以自行購買���,也可以在與SANS培訓(xùn)一起購買時(shí)以折扣價(jià)購買�。購買認(rèn)證嘗試附帶兩個(gè)練習(xí)測(cè)試����,它們與考試格式相同�����。
4. Mile認(rèn)證云安全官 (CCSO)
Mile的CCSO認(rèn)證包括為期五天的課程,包括講師主導(dǎo)的課程����、自學(xué)時(shí)間和實(shí)時(shí)虛擬培訓(xùn)。
CCSO由15個(gè)模塊組成:
云計(jì)算和架構(gòu)簡(jiǎn)介
云安全風(fēng)險(xiǎn)
ERM(企業(yè)風(fēng)險(xiǎn)管理)和治理
法律問題
虛擬化
數(shù)據(jù)安全
數(shù)據(jù)中心運(yùn)營(yíng)
互操作性和可移植性
傳統(tǒng)安全
BCM(業(yè)務(wù)連續(xù)性管理)和 DR
事件響應(yīng)
應(yīng)用安全性
加密和密鑰管理
身份�、權(quán)利和訪問管理
審計(jì)和合規(guī)
它還由23個(gè)實(shí)驗(yàn)室組成,包括虛擬化�����、Azure中的PaaS和SaaS的關(guān)鍵管理�。
作為Mile云安全和虛擬化職業(yè)道路的一部分,這種高級(jí)認(rèn)證非常適合在虛擬化���、云管理���、審計(jì)和合規(guī)方面尋求職業(yè)的專業(yè)人士。
5. Arcitura認(rèn)證云安全專家
Arcitura提供多個(gè)云認(rèn)證專業(yè)(CCP)認(rèn)證�。其認(rèn)證云安全專家認(rèn)證特別側(cè)重于與云平臺(tái)、云服務(wù)和其他云技術(shù)(如虛擬化)相關(guān)的安全威脅�。認(rèn)證云安全專家認(rèn)證面向IT和安全專業(yè)人員和云架構(gòu)師�,由五個(gè)模塊組成:
C90.01 基礎(chǔ)云計(jì)算
C90.02 云技術(shù)概念
C90.07 基本云安全
C90.08 先進(jìn)云安全
C90.09 云安全實(shí)驗(yàn)室
完成這五個(gè)模塊及其各自的考試將獲得認(rèn)證云安全專家認(rèn)證��。建議IT一般背景�����,按順序進(jìn)行考試��,例如�����,C90.01必須在C90.02之前完成�。
Arcitura提供三種考試形式:涵蓋所有五個(gè)模塊的單一考試:僅測(cè)試模塊7、8和9的部分考試(如果完成第1和第2模塊以進(jìn)行不同的認(rèn)證):或五個(gè)單獨(dú)的模塊特定的考試���。模塊特定的考試可通過VUE在線獲得�����。
6. 和7. CompTIA Cloud Essentials+和Cloud+
CompTIA提供兩項(xiàng)認(rèn)證�����,雖然不針對(duì)安全性���,但涵蓋云安全主題���。Cloud Essentials+面向云業(yè)務(wù)決策,而Cloud+更關(guān)注技術(shù)云實(shí)現(xiàn)���。
入門級(jí)Cloud Essentials+認(rèn)證涵蓋特定的云安全問題和措施,以及風(fēng)險(xiǎn)管理�、事件響應(yīng)和合規(guī)性。建議擁有六個(gè)月至一年的IT業(yè)務(wù)分析師經(jīng)驗(yàn)以及一些云技術(shù)經(jīng)驗(yàn)���。更深入的Cloud+ 認(rèn)證涵蓋如何實(shí)施適當(dāng)?shù)陌踩刂��,以及如何解決云中的安全問題��。建議擁有兩到三年的系統(tǒng)管理經(jīng)驗(yàn)�。
8. EXIN 集成商安全云服務(wù)認(rèn)證
EXIN提供許多安全和云課程���。其認(rèn)證集成商安全云服務(wù)認(rèn)證在符合特定云計(jì)算和安全資格時(shí)頒發(fā)��。其中包括獲得三項(xiàng)EXIN或CCC認(rèn)證:
服務(wù)管理認(rèn)證:
云計(jì)算認(rèn)證:
雖然此認(rèn)證并非純粹致力于云安全,但它確保認(rèn)證專業(yè)人員在IT安全和云環(huán)境中都非常熟練�����。
供應(yīng)商特定的云安全認(rèn)證
由于許多企業(yè)與一些特定的供應(yīng)商和技術(shù)合作����,因此其安全團(tuán)隊(duì)成員在這些領(lǐng)域持有認(rèn)證可能會(huì)取得豐碩成果。
九����、云安全發(fā)展趨勢(shì)
云安全的發(fā)展趨勢(shì)是軟件定義安全即安全虛擬化。另外����,從Gartner發(fā)布的2020年云安全技術(shù)成熟度曲線,也看一窺云安全未來的發(fā)展趨勢(shì)�����。
安全虛擬化
安全虛擬化是安全功能從專用硬件設(shè)備向軟件的轉(zhuǎn)變�,軟件可以在商業(yè)硬件之間輕松遷移或在云中運(yùn)行。
計(jì)算和網(wǎng)絡(luò)環(huán)境的虛擬化程度的提高,對(duì)靈活�����、基于云的安全性提出了更多的要求�。網(wǎng)絡(luò)和安全數(shù)據(jù)中心動(dòng)態(tài)創(chuàng)建基于軟件的網(wǎng)絡(luò)和計(jì)算功能,如虛擬機(jī)VM�,因此安全功能也必須以便攜式方式虛擬化,以便隨應(yīng)用程序和計(jì)算工作負(fù)載一起移動(dòng)����。
物理安全設(shè)備通常插入到網(wǎng)絡(luò)外圍以提供保護(hù),使經(jīng)過驗(yàn)證的用戶能夠訪問網(wǎng)絡(luò)�����。在虛擬環(huán)境中�,網(wǎng)絡(luò)�、工作負(fù)載和虛擬機(jī)器不斷被設(shè)置、銷毀�,并在數(shù)據(jù)中心或網(wǎng)絡(luò)內(nèi)遷移。此外�����,由于多個(gè)虛擬網(wǎng)絡(luò)可以跨相同的基礎(chǔ)物理基礎(chǔ)設(shè)施運(yùn)行,因此安全性必須解決每一層虛擬化問題����。例如,虛擬機(jī)具有額外的安全復(fù)雜性�����,因?yàn)樗鼈冏鳛閿?shù)字文件運(yùn)行�����,無論物理基礎(chǔ)設(shè)施如何����,都可以遷移,從而帶來安全風(fēng)險(xiǎn)���。這些趨勢(shì)推動(dòng)了更多的安全虛擬化���。
安全虛擬化使用安裝在虛擬安全網(wǎng)絡(luò)上的軟件來監(jiān)控工作負(fù)載、應(yīng)用程序和對(duì)虛擬機(jī)的訪問�。安全還可以管理訪問虛擬網(wǎng)絡(luò)和工作負(fù)載本身的安全策略。
虛擬化安全中的兩個(gè)常見概念是分割和隔離�。通過細(xì)分,特定的網(wǎng)絡(luò)資源只能訪問指定的應(yīng)用程序和用戶。除了物理安全設(shè)備之外�����,虛擬軟件還可以實(shí)現(xiàn)這一點(diǎn)����。另一個(gè)重要的方法是隔離,它允許離散的應(yīng)用程序和工作負(fù)載在同一網(wǎng)絡(luò)上獨(dú)立運(yùn)行����。這方面的一個(gè)例子是細(xì)分處理敏感信息(如信用卡數(shù)據(jù))的網(wǎng)絡(luò)部分。
隨著軟件定義網(wǎng)絡(luò)(SDN)的出現(xiàn)���,細(xì)分可以內(nèi)置于虛擬網(wǎng)絡(luò)織物中����。例如����,SDN網(wǎng)絡(luò)可以設(shè)置為具有多個(gè)安全層���,具體取決于分配給各種應(yīng)用程序的策略����。SDN安全的另一個(gè)趨勢(shì)是微分化方法,即在應(yīng)用程序和工作負(fù)載級(jí)別上添加額外的安全層��。
微分段將特定的安全策略應(yīng)用于工作負(fù)載和應(yīng)用程序���,使安全功能能夠跟蹤網(wǎng)絡(luò)周圍的工作負(fù)載����,這種方法在當(dāng)今的虛擬基礎(chǔ)設(shè)施中很常見����。
安全虛擬化是一個(gè)可能持續(xù)多年的強(qiáng)勁趨勢(shì),因?yàn)樵浦羞\(yùn)行的應(yīng)用程序越來越多��,網(wǎng)絡(luò)也越來越虛擬化����。需要安裝新的安全軟件,以監(jiān)控和管理虛擬基礎(chǔ)設(shè)施上的數(shù)據(jù)安全策略�����。
安全虛擬化將安全功能從硬件轉(zhuǎn)移到軟件分割和隔離都是安全虛擬化中使用的概念���。隨著更多應(yīng)用在云中運(yùn)行�����,虛擬網(wǎng)絡(luò)繼續(xù)增長(zhǎng)�,安全虛擬化可能會(huì)持續(xù)下去。
Gartner 2020云安全技術(shù)成熟度曲線
Gartner 提醒關(guān)注云基礎(chǔ)設(shè)施權(quán)利管理(CIEM)��、SaaS安全態(tài)勢(shì)管理(SSPM)����、安全訪問服務(wù)邊緣(SASE)。
云基礎(chǔ)設(shè)施權(quán)利管理(CIEM)
Gartner將云基礎(chǔ)設(shè)施權(quán)利管理(CIEM)定義為以身份為中心的專門SaaS解決方案��,專注于通過控制管理時(shí)間�,來管理混合和多云IaaS架構(gòu)中的應(yīng)享權(quán)利和數(shù)據(jù)管理中的云訪問風(fēng)險(xiǎn)。CIEM通常依靠分析�、機(jī)器學(xué)習(xí) (ML)和先進(jìn)的統(tǒng)計(jì)技術(shù)來檢測(cè)帳戶應(yīng)享權(quán)利中的異常情況。
SaaS 安全態(tài)勢(shì)管理 (SSPM)
Gartner將SSPM定義為持續(xù)評(píng)估安全風(fēng)險(xiǎn)和管理SaaS應(yīng)用程序安全態(tài)勢(shì)的工具���。核心功能包括報(bào)告本機(jī)SaaS安全設(shè)置的配置,并為改進(jìn)配置以降低風(fēng)險(xiǎn)提供建議�����?蛇x功能包括與行業(yè)框架的比較以及自動(dòng)調(diào)整和重新配置�。
安全訪問服務(wù)邊緣 (SASE)
Gartner預(yù)測(cè),到2024年���,至少有40%的企業(yè)將制定明確的戰(zhàn)略來采用SASE���,高于2018年底的不到1%。安全訪問服務(wù)邊緣(SASE)是當(dāng)今最被夸大的云安全領(lǐng)域之一��,Gartner提醒注意過渡營(yíng)銷信息�����。
安全訪問服務(wù)邊緣 (SASE)��,發(fā)音為"sassy"����,支持安全分支機(jī)構(gòu)和遠(yuǎn)程工作人員訪問。SASE 的云交付服務(wù)集��,包括零信任網(wǎng)絡(luò)訪問和軟件定義的 WAN����,正在推動(dòng)快速采用�。
疫情提示了業(yè)務(wù)連續(xù)性計(jì)劃的必要性�,包括靈活、隨時(shí)隨地�����、大規(guī)模安全的遠(yuǎn)程訪問��,甚至來自不受信任的設(shè)備����。SASE使安全團(tuán)隊(duì)能夠以一致的方式提供安全的網(wǎng)絡(luò)和安全服務(wù),以支持?jǐn)?shù)字業(yè)務(wù)轉(zhuǎn)型和勞動(dòng)力流動(dòng)�。
Gartner預(yù)測(cè),零信任網(wǎng)絡(luò)訪問(ZTNA)和微分段將在未來兩年內(nèi)在Hype周期和潛在的網(wǎng)絡(luò)安全市場(chǎng)合并�。隨著基于身份和角色的接入增強(qiáng)基于網(wǎng)絡(luò)的云資源和應(yīng)用程序的訪問,合并ZTNA和微分段的障礙逐漸消失����,導(dǎo)致這一市場(chǎng)領(lǐng)域的整合。Gartner指出��,ZTNA 解決了組織面臨的用戶對(duì)應(yīng)用場(chǎng)景��,而基于身份的細(xì)分則處理了組件到組件的情景���。合并它們使組織能夠?qū)崿F(xiàn)更全面的零信任安全框架��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
