本文来自微信公众号“安在”,作者/管窥蠡测。
随着数字化转型不断加速,各行各业的企业都不得不赶上数字化进程,以更好地适应接下去将要大力拓展的数字时代。因此,在应用程序方面做好必要的防范,对数字化转型而言至关重要,这不是一项容易的任务,因为当下的应用程序可以驻留在任何地方,从物理、虚拟的数据中心到混合云,再到边缘计算等等,应用程序可以说是随处可见。
鉴于这一系列发展,将应用程序迁移到云中的组织会面临更多的安全挑战,为此,越来越多的组织需要制定战略路线图。为了帮助企业应对当前和未来应用程序在安全方面的挑战,国外安全专家在制定路线图之前,提出了三个关键问题并进行了回答。
应用程序安全解决方案和云平台
问题一:相关解决方案能否作为云平台的一部分?同时它们能否在平台中发挥作用?
随着越来越多的应用程序和云边缘出现,组织面临着更多的复杂性和可见性盲点。因此,为了解决这一问题,组织迫切需要一个广泛、集成和自动化的云平台,此平台可为组织提供集中的管理和可见性,并同时能提供一致的策略,以及自动化的响应和操作。
就像国内安全专家提出的那样,如何能够在日常的流程中将合规的要求以及安全技术和设备有效地结合起来,形成统一的能力,依靠这种能力,在后续持续运转的过程中才能将不同部门及其背后的需求形成日常化的管理。换言之,一定要有一套流程在不同的部门中形成安全的闭环,这就需要有专门的安全平台来完善这一点。
如今对国内安全业来说,平台化是大势所趋。所谓的平台化策略,可以理解为像乐高一样,把软件产品模块化、组件化、函数化,这样就可以更准确的执行保护效果,节省人力成本的同时提高安全效率。平台化策略虽然前期需要大量研发投入,不得不承担“战略性亏损”,但其根本上是要解决降本增效等问题,一旦平台研发取得突破形成成果,网安企业将会迎来业绩的爆发和质变。
比如当下很火的XDR平台,它可以跨区域收集来自多种安全设施的检测数据,并对其进行统一的集成、关联和上下文等事件化分析,以全局视角进行威胁研判,从而获得更准确和全面的检测结果。XDR旨在高效集成产品,打破信息孤岛,降低企业内的无效告警和安全运营成本。
总的来说,云平台安全是指从云服务商的角度,需要确保云平台自身的安全性。这块的安全能力和水位建设完全依赖于云平台自身,作为云平台使用方的甲方企业可以在云平台选型时多方考量。同时,K8S安全、容器安全、镜像安全是企业云化后在云上最重要的基建。多数云上逃逸都是通过容器等安全漏洞,进而控制K8S集群。镜像安全亦是供应链安全管控中的重点。可以从API权限、网络访问、端口控制、特权管控等方面进行管理。
解决方案可被灵活部署
问题二:解决方案是否可以部署在任何必要的地方,无论是云、数据中心还是边缘计算?
组织得确保应用程序的安全解决方案,可以部署在组织所需的任何地方。组织可以选择各种形式的安全解决方案,比如设备、虚拟机(VM)、托管和云原生等,这可使组织受益于一致的安全性,因为相同策略被应用在了所需的地方。
国外安全专家建议,组织至少得考虑部署以下内容,以实现尽可能广泛的覆盖面,既满足当前需求,又为未来需求奠定了基础:
1、为数据中心、云和边缘计算网络找到防火墙
组织要选择一个适合的防火墙解决方案,该解决方案可以提供相同的功能和一致的策略,无论是部署在各种云中,还是部署在物理和虚拟数据中心的内部。
2、安全的web应用程序和API
组织要选择合适的web应用程序防火墙WAF,它可提供高级人工智能(AI)和机器学习(ML)功能,可帮助组织自动发现和保护API,并且在应对网络机器人方面也能起到良好的作用。
3、云原生应用程序保护
组织可以使用云原生应用程序保护来管理风险,提高风险可见性,并减少所有云环境中的摩擦。组织要确保该解决方案能提供优先级选择和可操作的见解,以降低复杂性并加快响应速度。
4、保护工作负载
组织可以使用云原生来保护工作负载。对于关键工作负载,还可以考虑在工作负载的内部署端点检测和响应(EDR)解决方案,以实现更高级别的可见性和防范。
云消费
问题三:解决方案是否支持灵活的云消费模式?
在云端部署应用程序,并因此部署应用程序安全解决方案,这不仅关乎技术,和财务也有千丝万缕的关系。为了使组织能够根据需要灵活扩展,所使用的安全解决方案一定要能提供一系列消费模式,比如基于期限的BYOL、按需付费的PAYG或其他消费模式。
关于云消费,它的概念是这样的。云消费(Cloud Groupbuy)是指利用云计算、电子商务等技术,通过云整合团购网站、运用云物流等手段,能使供应链的团购端向外发展延伸,建立基于电子商务云的集中团购平台,从而达到构建安全、稳健的供应链渠道,提高团购质量、降低团购成本,最终实现经济效益的提升,是云发展商业模式实践之一。
从云计算的现状来看,根据分析公司Gartner的数据了解到,到2021年底,最终用户在公共云服务上的支出从2020年的2700亿美元增长到3323亿美元,增长23.1%。从软件即服务(SaaS)、基础设施即服务(IaaS)和桌面即服务(DaaS)到自托管公共云,在不同的云消费模式上的支出形式也不再是一刀切。
选择在云中部署资产,不仅意味着能够向上和向下的部署云实例的资源能力,也意味着选择理想硬件的能力,管理程序和云层给定的工作负载,可以更广泛的接受任务并执行下去。如果一家企业的云消费有这种能力,那么可以认为它拥有了自己的云计算。
保护云上的应用程序
什么样的解决方案能帮助组织实现数字化转型加速呢?最好的解决方案,是那些能提供跨云平台和本地技术集成的安全解决方案,此外还有些较为理想的解决方案,它们基于SaaS和云原生选项,是能直接从云市场部署的,同时可作为物理虚拟设备,并提供跨应用程序扩展网络安全的能力。
能结合这些功能的解决方案将帮助组织降低操作的复杂性,还能减少部署成本,尤其是在云环境中,能提供更高的可见性。另一方面,它还能提供跨云、多云的一致策略,并具备集中管理、跨应用程序和工作负载的深度可视性,当然威胁情报也会包含在内,可见其能带来多强大的安全有效性,正确的选择解决方案将能使IT团队为组织提供一致、安全并优化的体验。
既然说到了在云上部署,需要提醒的是,目前云上用户面临的主要安全问题有三类:基础型攻击、流量型攻击及业务型攻击。基础类攻击是通过漏洞植入传统木马;流量型攻击以DDoS攻击为主,同时出现了融合DDoS攻击、CC攻击和Bot攻击的复杂变种;业务型攻击主要来源于竞争对手的勒索敲诈、薅羊毛以及爬虫等等。攻击者利用漏洞,以挖矿和勒索作为主要获利手段,挖矿会占用服务器、容器性能,勒索会导致业务中断和财产损失。
对此,我们要知道的是,云环境是特别复杂的,涉及到了大量的新知识和新观点,尤其对于业务完全运行在云上的甲方企业而言。如果想熟练掌握云安全方面的知识,那就既要从云平台的维度加深对云底层的理解,又要从甲方用云的角度深入理解云上产品的特点,这样才能更好的在业务场景中有所应用,并能从根本上规避或降低安全风险。
其次,完全依赖云厂商的安全能力和平台来构建企业自身云上安全治理是不现实的,所有云产品拿来即用的思路也是不可取的,希望组织引入第三方非云平台安全产品时,考虑云平台环境的融入性和复杂度。
作为甲方安全人员要知晓的是,每家云平台都可能存在安全漏洞,只是存在多与少、发现早与晚的问题,所以若想长久的保护好其上的应用程序,首先得将自己安全第一责任人的角色定位好,然后在熟用解决方案和安全工具时紧跟趋势,将企业资产的优先级规划好,无论是上云还是在本地数据中心,将安全目标死死定在业务和核心资产上总是没错的,这样,即使应用程序再复杂,云环境再高端,也总有相应的安全基点可以适用于此。
国内安全专家的建议
对于安全团队该如何更好的在云上为应用程序部署安全解决方案,国内安全专家如此建议。
某电商公司安全专家杨文斌指出,业务上云已经非常普遍,上云的初衷是为了降本增效,且更是在内部安全能力缺失的情况下对外部托管服务商的信任。但是随着业务异地化,也出现了数据安全、供应链安全等新型的业务风险,需要安全团队认真研究部署方案,进行充分的风险评估,平衡利弊后再确定上云。
一方面应对业务的重要级别和部署环境的安全级别进行分析,制定满足业务运行要求和安全要求的实施计划,特别是上云后与云服务商之间的责任边界需要明确,各自的安全防护投入和重点安全资源需要做好支撑。另一方面要做好业务风险应对管控,建立详细的应急预案和业务连续性策略,当出现安全事件时,能够快速响应并减少损失,更好的协同配合提高业务连续性保障。
杨文斌指出,云服务商作为第三方基础设施服务机构,在为企业业务系统运行提供稳定高效服务的同时,也扩大了企业的攻击面范围,甚至业务的托管也衍生出了数据安全和供应链安全问题。
因此,杨文斌建议,针对云安全引发的新型安全问题需要建立明确的政策或法律法规来引导,约束云服务商能够更好的提供安全可信的服务,使得云服务商的责任和义务更加明确。企业可以更加放心的将业务托管到云服务商,也会激励企业去拓展更多的云平台业务,提高业务云化水平。
业内推动云服务商在云安全能力建设方面更加深入,不仅需要从网络安全、系统安全、云负载、容器等基础安全方面加强建设,同时应更加贴合业务视角来强化安全能力,使得云安全能够高效赋能云业务。
而某集团安全负责人曾永红表示,其实云上云下措施类似,只是要安全地开启,例如必须的云安全中心、WAF、云防火墙、主机安全、做好云API接口安全,监控、预警,一样也不能少。为此曾永红特地分享了他近期所做的“企业网络安全攻击面管理”分析。
其中,在云安全与治理方面,曾永红提出要识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM可以提供全面的云资产清单,补充现有的云安全工具;而在数据泄漏检测方面,曾永红提出要监测数据泄漏情况,如凭证泄漏或敏感数据;而在供应链/第三方风险评估方面,曾永红提出要评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险。
分析最后,曾永红用四字作为总结:智连信用。
1、知:知己知彼,做好战略风控,统筹安全与发展大局,持续风险评估,个人信息和数据保护,从被动合规到主动战略风控。
2、连:连接业务,安全保障能力全面融入业务信息系统。
3、信:洞察变化,从零信任到积累信任,传统安全向新技术、新架构转变,构建新能力进行积极防御。
4、用:知行合一构建能力,加强攻击面管理,充分利用外脑提升安全组织能力。
而某支付企业安全经理沈勇提出,云上的应用,在考虑安全解决方案的时候,值得注意两个方面,首先要考虑抵御的是哪些风险?特别需要关注云环境特有和当前最为常见的安全威胁,可参考CSA的top threat研究报告;其次是如何防护风险,在安全方案的选择方面,需要考虑方案对云环境的适应性。比如,采购并部署一套硬件Web应用防火墙,再将其安放到公有云上web服务前是一个实现起来困难重重的选择。
同时,沈勇表示,接下去云安全的一个趋势是安全即服务(SecaaS),将安全能力和服务通过服务的方式交付,特别是SaaS服务,这个可使得消费者享受专业的安全服务,同时无需考虑部署,维护和扩容缩容的复杂度和成本问题也都能被有效的解决,综合比较下来,其部署在用户数据中心的专用的安全系统能有较好提升。
某保险科技企业安全专家金昊表示:“云安全这几年谈的比较多,我们企业也都是100%上云。云上安全目前来看,成熟度还是不够,几大公有云厂商并没有把安全的水桶问题完全闭环,而传统的安全产品上云也受制于云的封闭。所以作为安全团队,必须要真正了解自己业务场景以及业务上云后的部署模式,还要结合合规的角度,有些业务确实无法上云的需要结合混合云场景去思考,目前云上比较好的安全防护主要有WAF、SLB、主机安全类产品,另外针对威胁情报,流量风险一块各大云厂商也有一些不同的建树,但是无法打通,各自为政。”
金昊介绍,传统的云上办公安全有零信任的解决方案。而作为安全团队,还是必须要有云上运维经验,对于云的特殊性需要有一点的理解。取本地化部署中可以移植的,比如堡垒机、数据库审计,都可以上云实践,但是针对容灾场景,也只能借助于云厂商自身的SLA保证了。
金昊指出,接下去的云安全趋势主要还是以传统安全厂商转型为主,而新兴SDLC里面的产品不足以弥补木桶短板,当然未来上云肯定是趋势,通过云上快速搭建安全管控平台,也可以有效管理云安全。
至于云消费模式,目前其实每家云厂商做得都不那么好,按客户端、按功能收费,甲方不一定真的可以买单,因为无法联动,单一产品无法达到真正的体系化,而且云厂商原有按照各种版本收费的思路也一直在改变,有了新功能,新功能并不是计入版本费用,而是单独作为增值功能,收费却比原产品还高,这有点本末倒置,这一类的计费模式必须要改革,不然很难推动云安全的甲方建设工作。
编者说
从现实情况来看,我国近几年在加快网络安全的立法工作,但还没有落地到执行层面,因此还处在加速追赶的阶段。同时,我国传统产业规模庞大,数字化进程呈现行业细分的特点,行业业务上云总体进度较慢,每个行业的安全需求差异比较大,难以规模化复制,因此发展的难度也要大一些。而接下去,我国云安全的主要方向是解决政企核心业务上云所面临的安全问题,包括云平台安全原生化和云安全产品原生化。所以,无论上云还是本地部署,其最重要的安全原则始终是围绕业务,这点希望业内同僚能谨记在心。
参考文献:
《Securing Applications:Questions to Consider for Your Roadmap》
《新视角下企业云化安全管控框架OCBC》
《云消费模式转变:满足企业的个性化需求是成功混合云的核心》