前言
CSA于2018年12月至2019年2月在网上,向来自不同组织规模和地点的近700名IT和安全专业人士,大约500个组织进行了关于企业上云及云上安全管理等20个问题的调查。调查发现,许多组织将越来越多的工作负载迁移到基于云的资源,包括混合环境、多云环境以及两者的组合。这些组织还致力于将来自公有云和私有云服务提供商的各种应用程序与它们自己的内部资源集成在一起。(此部分内容,详见《CSA证实混合云和多云策略将是企业未来的主要云策略》一文)。
随着云计算环境变得更加复杂,企业将面临怎样的挑战,又将如何应对呢?作者根据CSA的调查报告进行分析,得出以下的结论,与大家分享。
挑战一:安全问题挑战
在调查中,大约有81%的受访者表达了将数据转移到云计算时对安全性的担忧。可见安全是企业使用云计算道路上最大的拦路虎。
受到企业高度和中度以上关注的安全问题,包括:
注:上图翻译自CSA报告原图
用户高度重视的六大安全挑战
由于多云和混合云的复杂度增加,在安全方面,企业也遇到相当多的挑战。调查发现,企业普遍认为下述安全挑战已经需要引起他们的高度重视,下面我们按照用户的关注度级别从高到低,进行排列:
- 对错误配置和安全风险的主动检测
- 整体云资产缺乏可见度
- 合规性和审计要求
- 同时管理云和本地环境
- 管理多云环境
- 缺乏对云原生安全架构的经验
调查报告显示,企业认为,最大的挑战是如何主动检测出错误配置,识别安全风险,而整体云环境的可见性被列入第二位。
挑战二:合规性和法律方面的挑战
除了常见的合规框架(如ISO 27001、PCI-DSS、HIPAA、SOX、NIST 800-53),云服务提供商还在不断升级服务和平台,以符合新的监管政策和行业标准,如新的欧洲通用数据保护法规(GDPR)和CSA安全、信任、保证、风险(STAR)。近年来,很多政府都已经加强了对违反安全的行为的执法,并加大了惩罚力度。而我国2019年5月10日发布的信息安全技术网络安全等级条例中,也开始对云计算专门制定了等级保护要求。(此部分,详见《等保2.0对云计算的安全设计技术要求》一文)
与此同时,使用云服务的客户可能不确定谁应对此类安全违规行为负责。超过一半的受访者(57%)对合规性表示担心,近一半的受访者表示在采用公有云服务时,对法律问题感到不安(44%)。对于客户如何利用这些平台来遵守法规,以及谁应该为违反法规的行为负责,仍然存在很多不确定性。
企业需要了解行业和政府法规的政策法规要求,了解企业IT环境架构正在使用的服务和平台对法规的遵从情况,改进复杂环境中系统的安全性,达到合规要求。无疑,这将是一个非常大的挑战!
挑战三:专业的安全组织和人员培训
由于很容易访问云服务,组织中的每个单独的业务部门对其使用的服务有更多的控制权和所有权。随着这种服务使用的增加,组织必须确定哪个部门将负责安全性。关于此问题,调查报告显示:大多数受访者(79%)表示,他们的IT部门拥有这项管理权。在这些回复中,只有16%的人表明他们的IT部门有专门的云安全团队。与此同时,其余的应答者依赖于其他安全服务,如DevOps或托管服务提供者。安全服务与云服务一样容易获得,且更加迅速,应该考虑在整个组织中共享安全责任,让每个业务单元了解它们使用的每个服务的安全问题。
使用多云和混合云环境可以提供许多好处,同时也增加了保护这些环境的复杂性。随着云计算环境变得更加复杂,IT专业人员必须能够看到基于云的资源,并能够信任自己的安全人员和云服务提供商人员的专业知识。云计算的迅速普及以及技术的复杂性,造成了云安全技能方面人员的巨大缺口。
在调查报告中,也显示了这一点。其中,大约三分之一的受访者表示缺乏专业知识,四分之一的受访者表示缺乏管理云环境的员工。这项调查的一半受访者对将公有云与其现有IT基础设施集成表示担忧。此外,调查报告表明,在一个2017年的调查中发现,已经使用混合云的受访者中,61%的人表示,跨混合环境的安全一致性管理是他们组织面临的最大挑战之一。随着多云平台使用的明显增加和向公有云环境的转移,技能差距问题将越来越明显!
因此,如何快速建立专业的云安全团队,并培养云安全技能人员将是企业的一大挑战!
有趣的是,在调查报告中,很多企业不约而同表达了此方面的担心。在调查中,被调查者被问到在过去12个月是否经历过安全事件,其中报告经历过安全事件的44%的受访者,都不约而同对缺乏管理云安全的人员表示了担心!
应对策略一:使用安全管理工具和安全策略
为了更好地理解组织是如何进行这些复杂环境下的安全管理的,调查对象被问到他们使用什么网络安全控制来保护他们的公有云部署。大多数受访者报告,使用多个安全控制来管理他们的公有云部署,最流行的选择是使用云服务提供商自带的安全控制软件,此方面调查者占70%。在2017年进行的一项类似研究中,只有大约四分之一的受访者使用他们的云服务提供商的自身的安全工具。
注:上图翻译自CSA报告原图
同时,安全管理也被做为应用程序设计的基本要求。调查报告表明,59%的企业要求将安全管理作为应用程序设计的一部分。当被问及他们在公共云应用程序编程过程中,使用什么来管理安全性时,答案是多样的:其中32%,选择了编程和配置管理工具,29%选择了云原生工具,还有13%采用了云服务提供商的API开发的脚本。
早期发现潜在的安全风险仍然是安全管理的一个重要方面。用于检测和管理这些风险或漏洞的工具对于早期检测非常重要。在这项调查中,约三分之一的受访者使用云服务提供商的风险评估服务来检测和管理漏洞,而近四分之一的受访者使用指定的第三方安全工具。另有五分之一的受访者使用一般风险或脆弱性评估工具。这表明,使用上述工具的不到一半,超出了CSP所提供的范围。
应对策略二:采用合规的技术和云平台
很多公有云服务提供商已经开始提供具有附加可视性和安全性的本地工具,可以满足或已经超过其他传统的安全管理,(例如:内部系统的安全控制)。企业需要了解如何利用云平台和使用提供者工具,以便最大化云的所有好处。云服务提供商继续提供具有附加可视性和安全性的本地工具,经常满足或超过其他传统(内部和第三方)安全控制。云服务提供商平台和服务,将满足行业和政府法规的一些更严格的合规要求。
将企业的IT环境架构在合规的技术和平台上,允许企业使用云平台本身提供的相关工具,以改进复杂环境中的安全性和内置遵从性,将帮助企业的系统满足相关的法律法规要求。
应对策略三:安全责任分担和自动化手段
云服务提供商和客户IT管理团队应该能够清楚地说明他们的安全目标,并建立一个可由双方度量和共享的安全需求基线级别。这种分担责任的办法可以大大提高透明度,并有助于进一步遵守安全条例和最佳做法。在将组织的任何重要资源迁移到供应商的云之前,客户必须与云服务供应商建立信任。
除了与云服务提供商建立共享的安全责任之外,企业的每个单独的业务单元还应该对其组织建立的安全目标有一定程度的了解,确定一个负责云安全的独立部门,跨业务单元建立云安全策略,提高全体员工的教育水平和意识,完成了现代化的共享责任模式。在企业中,数据所有者被要求负责包括外部业务伙伴和内部业务单元在内的数据安全性。
由于许多功能在云中得到扩展,现有和未来的安全风险和漏洞可能也会扩展。云服务提供商在不断努力提供更多的安全特性,而企业做为最终用户,也在努力增加人员和专家,以运用这些工具进行安全管理。
由于多云和混合云本身的复杂度,在云服务操作中,需要对安全管理人员进行培训,同时尽可能的利用自动化手段,避免人工操作的失误。安全组件的自动化,有助于解决缺乏管理高端云安全技能人员的问题。
日志活动、数据聚合、威胁检测和安全策略管理,这些工具和策略,只能解决识别安全漏洞、遵从性违规、服务错误配置、服务中断和其他异常行为的一小部分安全问题。当我们希望加快使用云环境中的新技术、设备和管理用户时,自动化工具有望帮助企业及其员工跟上未来的云上安全运营的需求。
本文参考资料:
Cloud Security Complexity: Challenges in Managing Security inHybrid and Multi-Cloud Environments (2019)