構建雲原生安全的六個重要能力

語言: CN / TW / HK

雲端計算因其與生俱來的可擴充套件性和靈活性,以及高效能運算能力,獲得了大量企業使用者的青睞,成為企業關鍵任務負載的首選項。雲原生安全作為一種新興的安全理念,不僅解決雲端計算普及帶來的安全問題,更強調以原生的思維構建雲上安全建設、部署與應用,推動安全與雲端計算深度融合。以下是需要關注的六個雲原生安全重點能力,這些領域對於安全專業人員、軟體開發人員和資訊科技專家來說非常重要。

1. 身份和訪問管理

如今的資訊科技世界需要身份和訪問管理(IAM)。企業使用IAM系統,通過為人員及其裝置建立身份,可以輕鬆管理和跟蹤每個身份,並僅授予相關許可權以支援他們的工作。在雲上實施IAM有助於確保企業開發人員、客戶、供應商和其他合作伙伴高效、安全地訪問服務和資料。

特別是使用多因素身份驗證和行為分析(例如預期登入時間和位置),可以幫助企業通過IAM識別個人和裝置之間的可疑活動,利用人工智慧和自動化IAM來幫助企業更快地識別這些問題。隨著企業面臨的監管壓力越來越大,這些自動化解決方案將越來越有可能發揮更大作用。

此外,裝置和雲的通訊(無論是通過藍芽還是 Wi-Fi)越來越多。未實施IAM的裝置很容易受到攻擊,從而導致資料被盜、企業形象受損或發生違規行為。

2. 供應鏈安全

與IAM和第三方訪問相關的是供應鏈安全。通常,供應鏈由許多供應商和第三方組成。供應鏈安全的關鍵問題之一是供應鏈具有很大的攻擊面,這意味著需要在供應鏈中建立安全性來保護它們。由於現代供應鏈日趨複雜和一體化,這一問題將進一步加劇。

當攻擊者成功入侵供應鏈時,他們可能會訪問整個供應鏈中的資料。這意味著他們可以注入惡意程式碼或篡改硬體並訪問私人資料。如果供應商的系統不安全,那麼授予這樣的供應商訪問企業系統勢必會帶來嚴重危害。

解決此問題的最簡單方法之一是取消供應商對資料的訪問許可權。實際上,大多數供應商可能也並不需要訪問雲上企業資料。通過消除該攻擊向量,企業可以消除攻擊者使用供應商系統訪問資料的能力。在所有供應商中實施標準化的基線安全模型,將幫助企業在基於雲的環境中變得更加安全。

3. API安全

API安全與供應鏈安全密切相關。通常,供應商可能會利用API與企業應用程式整合。API對於現代雲應用程式至關重要。微服務也依賴API相互互動並執行工作。一些工作負載可能有數千個API,但API本身可能並不安全,它們可能會成為一種負擔。因為在攻擊者看來,API是一個特別誘人的目標,因為它們的漏洞通常有據可查且可以公開訪問。攻擊者可以使用開放文件對API進行逆向工程,以進入企業系統並在不被發現的情況下竊取資料。

提高API安全性是雲原生安全的重要發展趨勢,企業安全團隊應努力將API安全性整合到Web和基於雲的應用程式開發過程中。API安全性也應該是自動化的,因為自動化API安全性可減少人為錯誤,並最大限度地降低工作量。目前,市場上有許多可用的API安全工具都可以與企業的CI/CD管道整合,並在軟體開發生命週期中增強可見性和安全性。

4. 祕密憑證管理

基於雲的應用程式使用許多工具、微服務和特權賬戶來支撐其執行。在許多情況下,每個區域都需要從應用程式到應用程式,以及從應用程式到資料庫通訊所需的金鑰和密碼。但是,如果缺乏強大的祕密憑證管理策略,管理員和開發人員在面對安全事件時可能就會感到措手不及。祕密憑證可以涵蓋普通、特殊的密碼規則,以及安全金鑰、令牌、訪問程式碼,甚至是物理祕密。雖然通用業務計劃對於支援和發展業務而言至關重要,但包含技術資訊保安性的安全計劃(例如金鑰和密碼管理)將能夠有效地降低風險。

在管理祕密時,請務必記住,第三方軟體可能需要訪問這些祕密才能正確整合到企業的工作流程中。因此,即便企業內部所有工具都是安全的,不安全的第三方工具也同樣會釀造巨大的安全威脅。此外,DevOps工具可以訪問多種資源和編排軟體,這也可能帶來巨大的安全問題。試想一下,如果攻擊者成功訪問DevOps工具,他們將很容易接觸到敏感資訊。因此,企業的所有團隊都應接受有關處理金鑰和密碼的最佳實踐培訓。

祕密管理可能很複雜,但企業內所有人員都必須瞭解其重要性,企業應利用工具來管理其祕密,併為其基於雲的工作負載提供安全性。值得注意的是,祕密憑證管理應該是自動化的,而非手動的,因為手動生成密碼可能會導致人為錯誤,併為網路犯罪分子留下可以利用的安全漏洞。另外,管理員應該建立複雜的金鑰或密碼,因為網路犯罪分子能夠很容易猜到簡單的金鑰或密碼。

5. 雲安全態勢管理

雲配置錯誤是資料洩露的主要原因之一。雲安全態勢管理(CSPM)是確保雲配置正確的有用工具,它將掃描企業的雲配置和應用程式元件,並突出顯示任何可能導致資料洩露的錯誤配置,CSPM通過自動化手段正確配置雲中的服務和資源,有效阻止攻擊者侵入系統,幫助企業保護系統安全。

6. 社會工程安全

在安全方面,一個經常被忽略的存在就是社會工程。在社會工程場景中,攻擊者會操縱他們的目標輸入可能導致資料洩露的資訊。網路犯罪分子甚至可以直接通過企業的系統工程師或軟體開發人員,瞭解現有的安全協議,再使用這些資訊來查詢系統中的安全漏洞。為避免這種情況,請考慮為員工制定社交媒體政策。

社交媒體政策需要明確規定:企業資訊不得釋出在個人社交媒體賬戶上。此外,還需要為組織內的各個級別員工建立資訊和培訓計劃,以便他們瞭解在公司內部和外部共享資訊的風險;隔離和分類團隊間的資訊,以幫助企業確定安全漏洞的來源等。

請記住,企業可以使用任意數量的自動保護和預防工具,但如果有人洩露了他們的密碼,檢測“冒名頂替者”的任務可能會非常困難。

小結

雲安全正在不斷演進,更新的技術將進一步增強安全性。但是,通過踐行最佳安全實踐並建立整合的安全策略,企業將更加安全。繼續監控行業發展趨勢並實施上述一些策略,將能夠解決基於雲的組織所面臨的諸多現代威脅。