本文來(lái)自微信公眾號(hào)“安在”,作者/管窺蠡測(cè)。
隨著數(shù)字化轉(zhuǎn)型不斷加速,各行各業(yè)的企業(yè)都不得不趕上數(shù)字化進(jìn)程,以更好地適應(yīng)接下去將要大力拓展的數(shù)字時(shí)代。因此,在應(yīng)用程序方面做好必要的防范,對(duì)數(shù)字化轉(zhuǎn)型而言至關(guān)重要,這不是一項(xiàng)容易的任務(wù),因?yàn)楫?dāng)下的應(yīng)用程序可以駐留在任何地方,從物理、虛擬的數(shù)據(jù)中心到混合云,再到邊緣計(jì)算等等,應(yīng)用程序可以說(shuō)是隨處可見(jiàn)。
鑒于這一系列發(fā)展,將應(yīng)用程序遷移到云中的組織會(huì)面臨更多的安全挑戰(zhàn),為此,越來(lái)越多的組織需要制定戰(zhàn)略路線圖。為了幫助企業(yè)應(yīng)對(duì)當(dāng)前和未來(lái)應(yīng)用程序在安全方面的挑戰(zhàn),國(guó)外安全專家在制定路線圖之前,提出了三個(gè)關(guān)鍵問(wèn)題并進(jìn)行了回答。
應(yīng)用程序安全解決方案和云平臺(tái)
問(wèn)題一:相關(guān)解決方案能否作為云平臺(tái)的一部分?同時(shí)它們能否在平臺(tái)中發(fā)揮作用?
隨著越來(lái)越多的應(yīng)用程序和云邊緣出現(xiàn),組織面臨著更多的復(fù)雜性和可見(jiàn)性盲點(diǎn)。因此,為了解決這一問(wèn)題,組織迫切需要一個(gè)廣泛、集成和自動(dòng)化的云平臺(tái),此平臺(tái)可為組織提供集中的管理和可見(jiàn)性,并同時(shí)能提供一致的策略,以及自動(dòng)化的響應(yīng)和操作。
就像國(guó)內(nèi)安全專家提出的那樣,如何能夠在日常的流程中將合規(guī)的要求以及安全技術(shù)和設(shè)備有效地結(jié)合起來(lái),形成統(tǒng)一的能力,依靠這種能力,在后續(xù)持續(xù)運(yùn)轉(zhuǎn)的過(guò)程中才能將不同部門及其背后的需求形成日?;墓芾?。換言之,一定要有一套流程在不同的部門中形成安全的閉環(huán),這就需要有專門的安全平臺(tái)來(lái)完善這一點(diǎn)。
如今對(duì)國(guó)內(nèi)安全業(yè)來(lái)說(shuō),平臺(tái)化是大勢(shì)所趨。所謂的平臺(tái)化策略,可以理解為像樂(lè)高一樣,把軟件產(chǎn)品模塊化、組件化、函數(shù)化,這樣就可以更準(zhǔn)確的執(zhí)行保護(hù)效果,節(jié)省人力成本的同時(shí)提高安全效率。平臺(tái)化策略雖然前期需要大量研發(fā)投入,不得不承擔(dān)“戰(zhàn)略性虧損”,但其根本上是要解決降本增效等問(wèn)題,一旦平臺(tái)研發(fā)取得突破形成成果,網(wǎng)安企業(yè)將會(huì)迎來(lái)業(yè)績(jī)的爆發(fā)和質(zhì)變。
比如當(dāng)下很火的XDR平臺(tái),它可以跨區(qū)域收集來(lái)自多種安全設(shè)施的檢測(cè)數(shù)據(jù),并對(duì)其進(jìn)行統(tǒng)一的集成、關(guān)聯(lián)和上下文等事件化分析,以全局視角進(jìn)行威脅研判,從而獲得更準(zhǔn)確和全面的檢測(cè)結(jié)果。XDR旨在高效集成產(chǎn)品,打破信息孤島,降低企業(yè)內(nèi)的無(wú)效告警和安全運(yùn)營(yíng)成本。
總的來(lái)說(shuō),云平臺(tái)安全是指從云服務(wù)商的角度,需要確保云平臺(tái)自身的安全性。這塊的安全能力和水位建設(shè)完全依賴于云平臺(tái)自身,作為云平臺(tái)使用方的甲方企業(yè)可以在云平臺(tái)選型時(shí)多方考量。同時(shí),K8S安全、容器安全、鏡像安全是企業(yè)云化后在云上最重要的基建。多數(shù)云上逃逸都是通過(guò)容器等安全漏洞,進(jìn)而控制K8S集群。鏡像安全亦是供應(yīng)鏈安全管控中的重點(diǎn)。可以從API權(quán)限、網(wǎng)絡(luò)訪問(wèn)、端口控制、特權(quán)管控等方面進(jìn)行管理。
解決方案可被靈活部署
問(wèn)題二:解決方案是否可以部署在任何必要的地方,無(wú)論是云、數(shù)據(jù)中心還是邊緣計(jì)算?
組織得確保應(yīng)用程序的安全解決方案,可以部署在組織所需的任何地方。組織可以選擇各種形式的安全解決方案,比如設(shè)備、虛擬機(jī)(VM)、托管和云原生等,這可使組織受益于一致的安全性,因?yàn)橄嗤呗员粦?yīng)用在了所需的地方。
國(guó)外安全專家建議,組織至少得考慮部署以下內(nèi)容,以實(shí)現(xiàn)盡可能廣泛的覆蓋面,既滿足當(dāng)前需求,又為未來(lái)需求奠定了基礎(chǔ):
1、為數(shù)據(jù)中心、云和邊緣計(jì)算網(wǎng)絡(luò)找到防火墻
組織要選擇一個(gè)適合的防火墻解決方案,該解決方案可以提供相同的功能和一致的策略,無(wú)論是部署在各種云中,還是部署在物理和虛擬數(shù)據(jù)中心的內(nèi)部。
2、安全的web應(yīng)用程序和API
組織要選擇合適的web應(yīng)用程序防火墻WAF,它可提供高級(jí)人工智能(AI)和機(jī)器學(xué)習(xí)(ML)功能,可幫助組織自動(dòng)發(fā)現(xiàn)和保護(hù)API,并且在應(yīng)對(duì)網(wǎng)絡(luò)機(jī)器人方面也能起到良好的作用。
3、云原生應(yīng)用程序保護(hù)
組織可以使用云原生應(yīng)用程序保護(hù)來(lái)管理風(fēng)險(xiǎn),提高風(fēng)險(xiǎn)可見(jiàn)性,并減少所有云環(huán)境中的摩擦。組織要確保該解決方案能提供優(yōu)先級(jí)選擇和可操作的見(jiàn)解,以降低復(fù)雜性并加快響應(yīng)速度。
4、保護(hù)工作負(fù)載
組織可以使用云原生來(lái)保護(hù)工作負(fù)載。對(duì)于關(guān)鍵工作負(fù)載,還可以考慮在工作負(fù)載的內(nèi)部署端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案,以實(shí)現(xiàn)更高級(jí)別的可見(jiàn)性和防范。
云消費(fèi)
問(wèn)題三:解決方案是否支持靈活的云消費(fèi)模式?
在云端部署應(yīng)用程序,并因此部署應(yīng)用程序安全解決方案,這不僅關(guān)乎技術(shù),和財(cái)務(wù)也有千絲萬(wàn)縷的關(guān)系。為了使組織能夠根據(jù)需要靈活擴(kuò)展,所使用的安全解決方案一定要能提供一系列消費(fèi)模式,比如基于期限的BYOL、按需付費(fèi)的PAYG或其他消費(fèi)模式。
關(guān)于云消費(fèi),它的概念是這樣的。云消費(fèi)(Cloud Groupbuy)是指利用云計(jì)算、電子商務(wù)等技術(shù),通過(guò)云整合團(tuán)購(gòu)網(wǎng)站、運(yùn)用云物流等手段,能使供應(yīng)鏈的團(tuán)購(gòu)端向外發(fā)展延伸,建立基于電子商務(wù)云的集中團(tuán)購(gòu)平臺(tái),從而達(dá)到構(gòu)建安全、穩(wěn)健的供應(yīng)鏈渠道,提高團(tuán)購(gòu)質(zhì)量、降低團(tuán)購(gòu)成本,最終實(shí)現(xiàn)經(jīng)濟(jì)效益的提升,是云發(fā)展商業(yè)模式實(shí)踐之一。
從云計(jì)算的現(xiàn)狀來(lái)看,根據(jù)分析公司Gartner的數(shù)據(jù)了解到,到2021年底,最終用戶在公共云服務(wù)上的支出從2020年的2700億美元增長(zhǎng)到3323億美元,增長(zhǎng)23.1%。從軟件即服務(wù)(SaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)和桌面即服務(wù)(DaaS)到自托管公共云,在不同的云消費(fèi)模式上的支出形式也不再是一刀切。
選擇在云中部署資產(chǎn),不僅意味著能夠向上和向下的部署云實(shí)例的資源能力,也意味著選擇理想硬件的能力,管理程序和云層給定的工作負(fù)載,可以更廣泛的接受任務(wù)并執(zhí)行下去。如果一家企業(yè)的云消費(fèi)有這種能力,那么可以認(rèn)為它擁有了自己的云計(jì)算。
保護(hù)云上的應(yīng)用程序
什么樣的解決方案能幫助組織實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型加速呢?最好的解決方案,是那些能提供跨云平臺(tái)和本地技術(shù)集成的安全解決方案,此外還有些較為理想的解決方案,它們基于SaaS和云原生選項(xiàng),是能直接從云市場(chǎng)部署的,同時(shí)可作為物理虛擬設(shè)備,并提供跨應(yīng)用程序擴(kuò)展網(wǎng)絡(luò)安全的能力。
能結(jié)合這些功能的解決方案將幫助組織降低操作的復(fù)雜性,還能減少部署成本,尤其是在云環(huán)境中,能提供更高的可見(jiàn)性。另一方面,它還能提供跨云、多云的一致策略,并具備集中管理、跨應(yīng)用程序和工作負(fù)載的深度可視性,當(dāng)然威脅情報(bào)也會(huì)包含在內(nèi),可見(jiàn)其能帶來(lái)多強(qiáng)大的安全有效性,正確的選擇解決方案將能使IT團(tuán)隊(duì)為組織提供一致、安全并優(yōu)化的體驗(yàn)。
既然說(shuō)到了在云上部署,需要提醒的是,目前云上用戶面臨的主要安全問(wèn)題有三類:基礎(chǔ)型攻擊、流量型攻擊及業(yè)務(wù)型攻擊?;A(chǔ)類攻擊是通過(guò)漏洞植入傳統(tǒng)木馬;流量型攻擊以DDoS攻擊為主,同時(shí)出現(xiàn)了融合DDoS攻擊、CC攻擊和Bot攻擊的復(fù)雜變種;業(yè)務(wù)型攻擊主要來(lái)源于競(jìng)爭(zhēng)對(duì)手的勒索敲詐、薅羊毛以及爬蟲(chóng)等等。攻擊者利用漏洞,以挖礦和勒索作為主要獲利手段,挖礦會(huì)占用服務(wù)器、容器性能,勒索會(huì)導(dǎo)致業(yè)務(wù)中斷和財(cái)產(chǎn)損失。
對(duì)此,我們要知道的是,云環(huán)境是特別復(fù)雜的,涉及到了大量的新知識(shí)和新觀點(diǎn),尤其對(duì)于業(yè)務(wù)完全運(yùn)行在云上的甲方企業(yè)而言。如果想熟練掌握云安全方面的知識(shí),那就既要從云平臺(tái)的維度加深對(duì)云底層的理解,又要從甲方用云的角度深入理解云上產(chǎn)品的特點(diǎn),這樣才能更好的在業(yè)務(wù)場(chǎng)景中有所應(yīng)用,并能從根本上規(guī)避或降低安全風(fēng)險(xiǎn)。
其次,完全依賴云廠商的安全能力和平臺(tái)來(lái)構(gòu)建企業(yè)自身云上安全治理是不現(xiàn)實(shí)的,所有云產(chǎn)品拿來(lái)即用的思路也是不可取的,希望組織引入第三方非云平臺(tái)安全產(chǎn)品時(shí),考慮云平臺(tái)環(huán)境的融入性和復(fù)雜度。
作為甲方安全人員要知曉的是,每家云平臺(tái)都可能存在安全漏洞,只是存在多與少、發(fā)現(xiàn)早與晚的問(wèn)題,所以若想長(zhǎng)久的保護(hù)好其上的應(yīng)用程序,首先得將自己安全第一責(zé)任人的角色定位好,然后在熟用解決方案和安全工具時(shí)緊跟趨勢(shì),將企業(yè)資產(chǎn)的優(yōu)先級(jí)規(guī)劃好,無(wú)論是上云還是在本地?cái)?shù)據(jù)中心,將安全目標(biāo)死死定在業(yè)務(wù)和核心資產(chǎn)上總是沒(méi)錯(cuò)的,這樣,即使應(yīng)用程序再?gòu)?fù)雜,云環(huán)境再高端,也總有相應(yīng)的安全基點(diǎn)可以適用于此。
國(guó)內(nèi)安全專家的建議
對(duì)于安全團(tuán)隊(duì)該如何更好的在云上為應(yīng)用程序部署安全解決方案,國(guó)內(nèi)安全專家如此建議。
某電商公司安全專家楊文斌指出,業(yè)務(wù)上云已經(jīng)非常普遍,上云的初衷是為了降本增效,且更是在內(nèi)部安全能力缺失的情況下對(duì)外部托管服務(wù)商的信任。但是隨著業(yè)務(wù)異地化,也出現(xiàn)了數(shù)據(jù)安全、供應(yīng)鏈安全等新型的業(yè)務(wù)風(fēng)險(xiǎn),需要安全團(tuán)隊(duì)認(rèn)真研究部署方案,進(jìn)行充分的風(fēng)險(xiǎn)評(píng)估,平衡利弊后再確定上云。
一方面應(yīng)對(duì)業(yè)務(wù)的重要級(jí)別和部署環(huán)境的安全級(jí)別進(jìn)行分析,制定滿足業(yè)務(wù)運(yùn)行要求和安全要求的實(shí)施計(jì)劃,特別是上云后與云服務(wù)商之間的責(zé)任邊界需要明確,各自的安全防護(hù)投入和重點(diǎn)安全資源需要做好支撐。另一方面要做好業(yè)務(wù)風(fēng)險(xiǎn)應(yīng)對(duì)管控,建立詳細(xì)的應(yīng)急預(yù)案和業(yè)務(wù)連續(xù)性策略,當(dāng)出現(xiàn)安全事件時(shí),能夠快速響應(yīng)并減少損失,更好的協(xié)同配合提高業(yè)務(wù)連續(xù)性保障。
楊文斌指出,云服務(wù)商作為第三方基礎(chǔ)設(shè)施服務(wù)機(jī)構(gòu),在為企業(yè)業(yè)務(wù)系統(tǒng)運(yùn)行提供穩(wěn)定高效服務(wù)的同時(shí),也擴(kuò)大了企業(yè)的攻擊面范圍,甚至業(yè)務(wù)的托管也衍生出了數(shù)據(jù)安全和供應(yīng)鏈安全問(wèn)題。
因此,楊文斌建議,針對(duì)云安全引發(fā)的新型安全問(wèn)題需要建立明確的政策或法律法規(guī)來(lái)引導(dǎo),約束云服務(wù)商能夠更好的提供安全可信的服務(wù),使得云服務(wù)商的責(zé)任和義務(wù)更加明確。企業(yè)可以更加放心的將業(yè)務(wù)托管到云服務(wù)商,也會(huì)激勵(lì)企業(yè)去拓展更多的云平臺(tái)業(yè)務(wù),提高業(yè)務(wù)云化水平。
業(yè)內(nèi)推動(dòng)云服務(wù)商在云安全能力建設(shè)方面更加深入,不僅需要從網(wǎng)絡(luò)安全、系統(tǒng)安全、云負(fù)載、容器等基礎(chǔ)安全方面加強(qiáng)建設(shè),同時(shí)應(yīng)更加貼合業(yè)務(wù)視角來(lái)強(qiáng)化安全能力,使得云安全能夠高效賦能云業(yè)務(wù)。
而某集團(tuán)安全負(fù)責(zé)人曾永紅表示,其實(shí)云上云下措施類似,只是要安全地開(kāi)啟,例如必須的云安全中心、WAF、云防火墻、主機(jī)安全、做好云API接口安全,監(jiān)控、預(yù)警,一樣也不能少。為此曾永紅特地分享了他近期所做的“企業(yè)網(wǎng)絡(luò)安全攻擊面管理”分析。
其中,在云安全與治理方面,曾永紅提出要識(shí)別組織的公共資產(chǎn),跨云供應(yīng)商,以改善云安全和治理,EASM可以提供全面的云資產(chǎn)清單,補(bǔ)充現(xiàn)有的云安全工具;而在數(shù)據(jù)泄漏檢測(cè)方面,曾永紅提出要監(jiān)測(cè)數(shù)據(jù)泄漏情況,如憑證泄漏或敏感數(shù)據(jù);而在供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估方面,曾永紅提出要評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見(jiàn)性,以支持評(píng)估組織的暴露風(fēng)險(xiǎn)。
分析最后,曾永紅用四字作為總結(jié):智連信用。
1、知:知己知彼,做好戰(zhàn)略風(fēng)控,統(tǒng)籌安全與發(fā)展大局,持續(xù)風(fēng)險(xiǎn)評(píng)估,個(gè)人信息和數(shù)據(jù)保護(hù),從被動(dòng)合規(guī)到主動(dòng)戰(zhàn)略風(fēng)控。
2、連:連接業(yè)務(wù),安全保障能力全面融入業(yè)務(wù)信息系統(tǒng)。
3、信:洞察變化,從零信任到積累信任,傳統(tǒng)安全向新技術(shù)、新架構(gòu)轉(zhuǎn)變,構(gòu)建新能力進(jìn)行積極防御。
4、用:知行合一構(gòu)建能力,加強(qiáng)攻擊面管理,充分利用外腦提升安全組織能力。
而某支付企業(yè)安全經(jīng)理沈勇提出,云上的應(yīng)用,在考慮安全解決方案的時(shí)候,值得注意兩個(gè)方面,首先要考慮抵御的是哪些風(fēng)險(xiǎn)?特別需要關(guān)注云環(huán)境特有和當(dāng)前最為常見(jiàn)的安全威脅,可參考CSA的top threat研究報(bào)告;其次是如何防護(hù)風(fēng)險(xiǎn),在安全方案的選擇方面,需要考慮方案對(duì)云環(huán)境的適應(yīng)性。比如,采購(gòu)并部署一套硬件Web應(yīng)用防火墻,再將其安放到公有云上web服務(wù)前是一個(gè)實(shí)現(xiàn)起來(lái)困難重重的選擇。
同時(shí),沈勇表示,接下去云安全的一個(gè)趨勢(shì)是安全即服務(wù)(SecaaS),將安全能力和服務(wù)通過(guò)服務(wù)的方式交付,特別是SaaS服務(wù),這個(gè)可使得消費(fèi)者享受專業(yè)的安全服務(wù),同時(shí)無(wú)需考慮部署,維護(hù)和擴(kuò)容縮容的復(fù)雜度和成本問(wèn)題也都能被有效的解決,綜合比較下來(lái),其部署在用戶數(shù)據(jù)中心的專用的安全系統(tǒng)能有較好提升。
某保險(xiǎn)科技企業(yè)安全專家金昊表示:“云安全這幾年談的比較多,我們企業(yè)也都是100%上云。云上安全目前來(lái)看,成熟度還是不夠,幾大公有云廠商并沒(méi)有把安全的水桶問(wèn)題完全閉環(huán),而傳統(tǒng)的安全產(chǎn)品上云也受制于云的封閉。所以作為安全團(tuán)隊(duì),必須要真正了解自己業(yè)務(wù)場(chǎng)景以及業(yè)務(wù)上云后的部署模式,還要結(jié)合合規(guī)的角度,有些業(yè)務(wù)確實(shí)無(wú)法上云的需要結(jié)合混合云場(chǎng)景去思考,目前云上比較好的安全防護(hù)主要有WAF、SLB、主機(jī)安全類產(chǎn)品,另外針對(duì)威脅情報(bào),流量風(fēng)險(xiǎn)一塊各大云廠商也有一些不同的建樹(shù),但是無(wú)法打通,各自為政。”
金昊介紹,傳統(tǒng)的云上辦公安全有零信任的解決方案。而作為安全團(tuán)隊(duì),還是必須要有云上運(yùn)維經(jīng)驗(yàn),對(duì)于云的特殊性需要有一點(diǎn)的理解。取本地化部署中可以移植的,比如堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì),都可以上云實(shí)踐,但是針對(duì)容災(zāi)場(chǎng)景,也只能借助于云廠商自身的SLA保證了。
金昊指出,接下去的云安全趨勢(shì)主要還是以傳統(tǒng)安全廠商轉(zhuǎn)型為主,而新興SDLC里面的產(chǎn)品不足以彌補(bǔ)木桶短板,當(dāng)然未來(lái)上云肯定是趨勢(shì),通過(guò)云上快速搭建安全管控平臺(tái),也可以有效管理云安全。
至于云消費(fèi)模式,目前其實(shí)每家云廠商做得都不那么好,按客戶端、按功能收費(fèi),甲方不一定真的可以買單,因?yàn)闊o(wú)法聯(lián)動(dòng),單一產(chǎn)品無(wú)法達(dá)到真正的體系化,而且云廠商原有按照各種版本收費(fèi)的思路也一直在改變,有了新功能,新功能并不是計(jì)入版本費(fèi)用,而是單獨(dú)作為增值功能,收費(fèi)卻比原產(chǎn)品還高,這有點(diǎn)本末倒置,這一類的計(jì)費(fèi)模式必須要改革,不然很難推動(dòng)云安全的甲方建設(shè)工作。
編者說(shuō)
從現(xiàn)實(shí)情況來(lái)看,我國(guó)近幾年在加快網(wǎng)絡(luò)安全的立法工作,但還沒(méi)有落地到執(zhí)行層面,因此還處在加速追趕的階段。同時(shí),我國(guó)傳統(tǒng)產(chǎn)業(yè)規(guī)模龐大,數(shù)字化進(jìn)程呈現(xiàn)行業(yè)細(xì)分的特點(diǎn),行業(yè)業(yè)務(wù)上云總體進(jìn)度較慢,每個(gè)行業(yè)的安全需求差異比較大,難以規(guī)?;瘡?fù)制,因此發(fā)展的難度也要大一些。而接下去,我國(guó)云安全的主要方向是解決政企核心業(yè)務(wù)上云所面臨的安全問(wèn)題,包括云平臺(tái)安全原生化和云安全產(chǎn)品原生化。所以,無(wú)論上云還是本地部署,其最重要的安全原則始終是圍繞業(yè)務(wù),這點(diǎn)希望業(yè)內(nèi)同僚能謹(jǐn)記在心。
參考文獻(xiàn):
《Securing Applications:Questions to Consider for Your Roadmap》
《新視角下企業(yè)云化安全管控框架OCBC》
《云消費(fèi)模式轉(zhuǎn)變:滿足企業(yè)的個(gè)性化需求是成功混合云的核心》