一些组织已经相信云中的工作负载本质上比本地工作负载更安全。云服务提供商 (CSP) 承担安全责任的概念强化了这一想法。
然而,虽然安全的云工作负载是可能的,但人们不应自动假设这一点,因为有重要的步骤来确保其安全性。
云安全是我们共同的责任
迁移到云并不会减轻组织的网络风险,也不会将风险转移给 CSP。相反,它需要一个明确定义角色和职责的共享安全模型。
虽然共享安全模型确实使云安全的某些方面变得更加容易,但管理复杂的网络威胁参与者利用的风险并不是其中之一。
对于大多数安全运营团队来说,监控本地工作负载更加容易。他们可以看到进入和离开环境的内容,他们拥有数据,他们可以了解异常情况,并且可以在不涉及第三方的情况下通过更深入的调查对它们进行分类。
在混合和多云环境中执行此操作更加复杂。它需要一种超出 CSP 通常提供的新方法,而这种方法通常不够强大,也不适合安全第一的组织。
根据NIST SP 800-171 零信任架构的定义,零信任架构 (ZTA) 的出现使保护云中数据的任务进一步复杂化。
错误配置会放大风险
涉及云环境的许多安全问题都是由向外界公开大量数据的错误配置引起的。网络对手不断扫描互联网寻找这些事故,并准备在发现后采取行动。
因此,组织可能会因配置错误而远离公众访问。可能没有安全和治理背景的新一类云管理员使这种风险更加复杂。
在本地部署中,大多数组织通常采用包括外围控制的深度防御策略,这可以在一定程度上缓解错误配置风险。
随着组织迁移到云,通信服务提供商正在部署许多功能来更好地管理错误配置和其他类似风险。然而,CSP 通常不会降低与有动机的对手和内部威胁相关的风险。
每个组织仍然有责任保护自己的数据免受这些复杂对手的攻击。这一现实与组织向 ZTA 过渡的全行业运动相吻合,消除了隐性信任,并确保整个组织的纵深防御。
可见性是云环境中抵御网络威胁的最佳防御措施
联邦政府正在带头推动加速向零信任的迁移。这不仅是巨大的技术挑战,也是政策、流程、劳动力、法律和文化的挑战。
组织需要预见的一个主要技术问题是,迁移到利用多种云和 SaaS 产品的复杂且分段的环境将为安全团队带来盲点,因为他们将无法再看到网络对手在分段内的横向移动,容器和虚拟平台。
在寻求防御的任何环境中,网络流量的可见性是安全的先决条件。利用跨所有云服务提供商和本地环境的一致网络可见性,可以实现有效的网络防御。
有关网络通信的遥测分析对于确保您的分析平台提供高度保证至关重要,以便您可以在威胁行为者采取行动之前检测到攻击。
事实上,网络流量的可见性被认为是零信任的一项要求,如 NIST SP 800-207 中所述,并在最近的 CISA 零信任成熟度模型 v2.0 中得到强化。
传统可观测性解决方案还不够
不幸的是,如今,超过60%的 IT 领导者认为,当今的可观测性解决方案只能满足狭窄的需求,并且无法提供当前运营状况的完整视图。
因此,成功保护数据、验证防御措施是否有效以及在某些安全控制被破坏时提供保险机制的唯一方法是在混合云基础设施中获得深入的可观察性。
借助深度可观测性,组织可以满足更广泛的安全需求,并增强依赖指标、事件、日志和跟踪 (MELT) 的传统可观测性功能,以及基于网络的实时智能和见解,以降低混合和多云基础设施中的安全风险。
此外,只有具有这种深度可观察性,组织才能从本地系统和云服务、核心和边缘组件以及网络安全功能的可观察性中找到最大价值,以消除网络盲点,为零信任奠定坚实的基础并避免盲目行动踏上各自的云之旅。
原文始发于微信公众号(网络研究院):在云中实现零信任
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论