因為遠端工作者的大量出現和不斷變化的客戶需求造成了更高的業務敏捷性需求,也因此需要加速向雲端轉移。根據Forrester的資料,有94%的美國企業基礎架構決策者正在使用至少一種的雲端部署。雖然有推動雲端原生的趨勢,但現實是多數企業會將關鍵資料或關鍵系統放在私有雲或本地端,同時利用公共雲進行業務運作和客戶服務。
這樣的混合雲架構需要一種現代化且全面的網路安全方法來保護關鍵資料及應用程式開發,同時不會拖慢運作流程和交付速度。本篇文章將會檢視關鍵的混合雲趨勢、安全迷思,以及加強網路安全成熟度的建議。
混合雲的安全挑戰
儘管雲端服務及應用程式已經被廣泛採用,但如何在混合雲模型下管理網路風險仍存在許多不確定性。在常見的問題中,如何避免造成重大損失的資料外洩及滿足合規需求是資安長(CISO)和安全主管們最關心的問題。
資料保護
在混合雲環境,資料會在私有雲和公共雲間流動,讓資料面臨被破壞、攔截甚至丟失的風險。而且因為雲端服務面向網路,任何連上網的人都可以進行存取。因此,如果你將 Amazon S3儲存貯體設為可公開存取,則任何傳送到該儲存貯體的資料都可能被人用腳本或其他工具瀏覽,造成嚴重的安全風險。
合規性
網路間流動的資料也讓導致合規變得更加複雜。想想看這個使用案例:有一家醫院使用了電子病歷,讓被授權的使用者可以在任何地方、任何裝置上存取使用。他們還需要滿足HIPAA法規,這代表他們需要證明自己有必要的保護措施來保護電子病歷。進入這擴展的混合雲環境,很容易看到即使是輕微的設定不當也會導致罰款或訴訟。
三大混合雲安全元件
雖然管理個別的公共雲或私有雲看似比較更容易,但它們仍具備相同的安全需求。
為了簡化混合雲的安全防護作法,這邊概述了三種主要元件:管理安全、實體和技術安全,以及供應鏈安全。讓我們仔細看看如何有效地管理網路風險,並確保混合雲在各方面安全:
1. 管理安全
這方面主要關於人員和流程。它涉及了風險評估程序、資料保護政策、災難回復計劃和員工培訓。需要注意的兩個關鍵領域是:
建立新的角色和職責
在混合雲中,誰該負責什麼的模式發生了轉變。例如,在應用程式開發方面,安全性現在是一項共同責任。當一切都在本地端時,開發人員會為基礎架構開發應用程式,讓安全團隊可以更好地控制這基礎架構該有的樣子,從而建立安全基準。
而現在,開發人員不僅要編寫應用程式碼,還要定義他們正在部署的基礎架構程式碼(IaC),這將控制權更多地轉移給了開發人員。輸入:DevOps或DevSecOps,可以看到安全性被實作在整個DevOps生命週期,從規劃到編碼到測試到部署,而不會減慢任何流程。
加強存取控制
根據Verizon,有82%的資料外洩跟人為因素有關。因此,用零信任架構加強使用者存取控制是個很好的策略。零信任遵循“從不信任,始終驗證”的做法,只有在驗證使用者或裝置後才會給予對應的應用程式權限。使用過程中也會持續監控以了解使用者或裝置行為的變化,如果風險超出預定標準,則可以加以終止。
2. 實體和技術安全
對於本地端和私有雲,你仍對保護內部基礎架構有著完全責任。最好能夠遵循網路安全最佳實作,如實體鎖、攝影機、ID認證和生物特徵認證等。大體而言,要做到有效技術安全的挑戰在於缺乏對所有雲端環境的能見度。企業經常同時使用多種雲端技術;IBM預言,在2023年,一般企業將使用多達10種雲端技術。而且,任何時候需要混合使用公共雲、私有雲和本地端資產都會讓取得和保持完全的能見度更加困難,但這對進行有效偵測及回應來說是必要的。企業在不同雲端環境使用不同端點產品會讓這個問題變得更加複雜。
如果你採用單點產品作法,能見度將會受到嚴重影響,使得關鍵系統容易受到攻擊並面臨更高風險。但不要驚慌,你無需拆除更換整套安全方案。由第三方整合支援的全方位網路安全平台做法可以和你現有的安全方案完美配合,提供保護混合雲所需的全面能見度。
3. 供應鏈安全
在DevOps軟體開發中,有許多第三方元件和工具被用來加快流程並滿足市場需求。不過使用這些工具也為網路犯罪分子創造了新的攻擊媒介。根據Venafi最新的一項調查,有82%的受訪者表示自己的組織容易受到針對軟體供應鏈的網路攻擊。
CISA ICT SCRM Essentials建議採取六個關鍵步驟來建立有效的供應鏈風險管理實作:
- 識別(Identify):確定誰需要參與
- 管理(Manage):根據產業標準和最佳實作(如NIST所發布的那些)來制定供應鏈安全政策和程序
- 評估(Assess):了解你所採購的硬體、軟體和服務
- 知道(Know):詳細列出供應鏈來更好的了解自己採購了那些元件
- 驗證(Verify):決定自己的組織將如何評估供應商的安全文化
- 評量(Evaluate):建立時間表和系統來檢查供應鏈是否有照準則實行
保護混合雲的安全功能
有很多關於純雲端和原生於雲的企業炒作,但現實情況是,除了新創企業,大多數企業(任何規模)都會無限期地採用混合雲。因此,確保你所選的廠商可以透過全方位網路安全平台同時支援雲端和本地端解決方案是相當重要的。
許多廠商聲稱擁有網路安全平台,但往往只是以折扣價向你出售一籃子的產品。真正的全方位網路安全平台會收集並關聯公共雲和本地端環境內的資料,為威脅監控、偵測及回應建立單一的管理平台。而且平台也應該隨著你的雲端之旅發展一起成長,與業務目標保持一致。
在評估安全平台時,需要注意以下功能:
雲端原生安全防護
尋找自動化的雲端安全防護功能,能夠節省時間,同時提高效率和滿足合規需求:
- 對開放的Amazon S3儲存貯體、資料庫和網路端口進行錯誤設定檢查
- 在運行中監控和保護你的雲端工作負載
- 自動偵測容器、虛擬機(VM)或無伺服器運算功能中的漏洞
- 針對CVE、密碼、敏感資料和惡意軟體進行暴露掃描
- 基礎架構程式碼(IaC)掃描
安全存取服務邊緣(SASE)
SASE支援了零信任策略,它包含兩個獨立領域的功能,涵蓋了底層網路基礎架構和網路安全應用,提供橫跨網路基礎架構的一層服務。它由三個核心元素組成:安全網頁閘道(SWG)、雲端應用安全代理(CASB)和零信任網路存取(ZTNA)。
CASB解決方案位在使用者和雲端應用程式之間,能夠自動監控和評估風險,並且透過API來應用安全策略以解決能見度和控制問題。和SWG結合時,可以防止不安全網路流量進入內部網路,提供更精細的保護。CASB可以確認流量是否有風險或惡意,監控使用者和應用程式間的網路流量,並且在偵測到潛在風險時透過SWG實施更深入的控制。與ZTNA的進一步整合將現有的SaaS安全控制從CASB延伸到私有應用程式。做到了跨越私有雲和公共雲的集中保護。
延伸式偵測及回應(XDR)
XDR超越了端點偵測及回應(EDR),能夠跨越端點、雲端、網路、電子郵件和使用者來收集和關聯深度威脅活動資料。它能夠彙整所有的資料,提供關鍵警報及網路攻擊事件的視覺化時間軸。讓資安監控中心(SOC)能夠深入了解使用者是如何被感染、第一個進入點、攻擊如何散播及許多其他有用的資料,好用來限制攻擊範圍。