本文來自微信公眾號(hào)“網(wǎng)絡(luò)研究院”。
對(duì)于許多企業(yè)來說,將應(yīng)用程序遷移到公共云是一個(gè)有吸引力的提議,可以帶來很多好處。
它可以加快上市時(shí)間,企業(yè)可以在幾秒鐘內(nèi)啟動(dòng)新實(shí)例或停用它們,從而使開發(fā)人員能夠通過快速部署來加速開發(fā)。這支持更大的靈活性,并提供顯著的成本節(jié)省和更好的協(xié)作。
它還非常適合市場(chǎng)不斷發(fā)展的公司,因?yàn)樗С衷鰪?qiáng)的可擴(kuò)展性,同時(shí)為企業(yè)提供高級(jí)安全性和數(shù)據(jù)丟失防護(hù)。
根據(jù)Fortinet的2022年云安全報(bào)告,39%的受訪者將一半以上的工作負(fù)載放在云端,而58%的受訪者計(jì)劃在未來12至18個(gè)月內(nèi)這樣做。
然而,隨著企業(yè)IT基礎(chǔ)設(shè)施不斷遷移到云以及客戶創(chuàng)建以應(yīng)用程序編程接口(API)為中心的應(yīng)用程序并集成到第三方服務(wù)中,攻擊面不斷擴(kuò)大,為威脅行為者竊取或破壞敏感數(shù)據(jù)和資產(chǎn)創(chuàng)造了更多機(jī)會(huì)。
云攻擊面的快速擴(kuò)張已經(jīng)導(dǎo)致許多勒索軟件泄露,許多安全團(tuán)隊(duì),尤其是使用遺留系統(tǒng)的安全團(tuán)隊(duì),正在努力應(yīng)對(duì)新出現(xiàn)的高級(jí)威脅。
因此,云安全正迅速成為企業(yè)領(lǐng)導(dǎo)者的首要任務(wù)。事實(shí)上,根據(jù)Fortinet的最新報(bào)告,95%的組織對(duì)公共云環(huán)境中的安全狀況有中等到極度的擔(dān)憂。
目前阻礙云采用的一些最重要的不可預(yù)見因素包括缺乏可見性、高成本、失去控制和一般安全風(fēng)險(xiǎn)。
云安全技能短缺、遺留的SecOps和組織結(jié)構(gòu)挑戰(zhàn)也是云安全性和敏捷性的抑制因素,增加了云轉(zhuǎn)型的復(fù)雜性。
將應(yīng)用程序遷移到云的企業(yè)必須了解應(yīng)用程序開發(fā)周期以及如何為其附加安全性。
盡早將安全和安全護(hù)欄納入應(yīng)用程序開發(fā)生命周期對(duì)于降低風(fēng)險(xiǎn)至關(guān)重要,更好地了解威脅形勢(shì)、關(guān)鍵工作負(fù)載、應(yīng)用程序和平臺(tái),并圍繞這些應(yīng)用程序提供更好的安全性、可用性和彈性。
在整個(gè)開發(fā)周期中將安全性構(gòu)建到基于云的應(yīng)用程序中稱為云應(yīng)用程序安全性。
它由一個(gè)由策略、流程和控制組成的系統(tǒng)組成,用于保護(hù)整個(gè)云環(huán)境中的數(shù)據(jù)信息,同時(shí)保持所有基于云的資產(chǎn)的全面可見性并限制僅授權(quán)用戶的訪問。
近年來,隨著數(shù)字環(huán)境的不斷發(fā)展以及企業(yè)將大量數(shù)據(jù)快速遷移到云基礎(chǔ)設(shè)施中,云應(yīng)用程序安全變得更加重要。
云應(yīng)用程序安全最佳實(shí)踐需要一種全面的方法來保護(hù)應(yīng)用程序及其運(yùn)行的基礎(chǔ)設(shè)施的安全。
在實(shí)現(xiàn)足夠的安全性方面,前五名云應(yīng)用程序最佳實(shí)踐是:
1.建立云應(yīng)用安全策略
例如,存儲(chǔ)敏感客戶數(shù)據(jù)的云應(yīng)用程序(例如醫(yī)療記錄或在線銀行應(yīng)用程序)具有更嚴(yán)格的監(jiān)管合規(guī)性。云安全策略必須在不同應(yīng)用程序之間保持一致,并強(qiáng)制執(zhí)行身份驗(yàn)證標(biāo)準(zhǔn),例如多因素身份驗(yàn)證(MFA)和具有明確定義的角色和規(guī)則的強(qiáng)大訪問管理。
2.加密敏感數(shù)據(jù)
加密可降低云應(yīng)用程序泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn),從而提供額外的保護(hù)層。數(shù)據(jù)存儲(chǔ)在云中后對(duì)其進(jìn)行加密,確保即使數(shù)據(jù)丟失或被盜,未經(jīng)授權(quán)的第三方也無法讀取其內(nèi)容。
3.實(shí)施威脅監(jiān)控和日志記錄
一旦應(yīng)用程序遷移到云端,實(shí)施威脅情報(bào)以持續(xù)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)威脅非常重要。威脅監(jiān)控提供實(shí)時(shí)更新和警報(bào),幫助開發(fā)團(tuán)隊(duì)在威脅影響最終用戶之前快速響應(yīng)威脅。它還使企業(yè)能夠更好地防止未來的安全漏洞。
4.自動(dòng)化安全測(cè)試
自動(dòng)化安全測(cè)試是一個(gè)過程,工具通過該過程掃描應(yīng)用程序是否存在弱點(diǎn),以防止威脅行為者利用某些漏洞。在整個(gè)持續(xù)集成和持續(xù)交付(CI/CD)過程中自動(dòng)掃描漏洞,為開發(fā)團(tuán)隊(duì)提供易受攻擊代碼的早期預(yù)警,并降低CI/CD管道每個(gè)階段的安全風(fēng)險(xiǎn)。
5.零信任
并非所有違規(guī)行為都來自第三方。內(nèi)部威脅給企業(yè)帶來重大風(fēng)險(xiǎn),無論是惡意的還是其他的。云應(yīng)用程序安全的零信任方法限制訪問控制,使員工能夠訪問執(zhí)行特定任務(wù)所需的數(shù)據(jù)。通過對(duì)基于云的應(yīng)用程序進(jìn)行零信任訪問控制,企業(yè)可以提高整個(gè)企業(yè)應(yīng)用程序和網(wǎng)絡(luò)生態(tài)系統(tǒng)的可見性,并限制數(shù)據(jù)泄露的可能性。
傳統(tǒng)的安全控制已不足以緩解和保護(hù)應(yīng)用程序免受公共云環(huán)境中的新威脅。這使得應(yīng)用程序在開發(fā)階段更容易受到網(wǎng)絡(luò)攻擊。
利用公共云作為軟件開發(fā)過程一部分的組織現(xiàn)在必須設(shè)計(jì)并附加全面的安全解決方案,以防范云環(huán)境中的威脅。
還必須實(shí)施安全措施,以降低應(yīng)用程序級(jí)別日益復(fù)雜的攻擊的風(fēng)險(xiǎn),這些攻擊可能會(huì)利用系統(tǒng)錯(cuò)誤配置、未修補(bǔ)的軟件和不安全的API。
組織應(yīng)尋求實(shí)施具有通用零信任方法的融合安全平臺(tái),以保護(hù)本地?cái)?shù)據(jù)中心和云環(huán)境,包括為云中誕生的應(yīng)用程序提供多層安全性。
這種融合將在單一管理平臺(tái)下為所有基于云的應(yīng)用程序和部署環(huán)境提供實(shí)時(shí)可見性、控制和安全性。
隨著越來越多的企業(yè)將應(yīng)用程序遷移到云,他們必須將重點(diǎn)從云基礎(chǔ)設(shè)施安全擴(kuò)展到云應(yīng)用程序安全,其中的重點(diǎn)是擁有完整的可見性并了解應(yīng)用程序性能以及云環(huán)境中針對(duì)這些應(yīng)用程序演變的威脅。