為什么云意味著對安全的新思考方式

2020-04-21 16:55:57 編輯：來源：

導(dǎo)讀隨著基于互聯(lián)網(wǎng)的平臺的新特性逐漸消失，越來越多的組織每年都會轉(zhuǎn)向云來托管和交付應(yīng)用程序。但一位專家說，IT部門必須放棄對安全的舊想法，采用新的設(shè)計和原則。如果他們不這樣做，Securos is的顧問、云管理軟件初創(chuàng)公司的聯(lián)合創(chuàng)始人邁克·羅斯曼(Mike Rothman)周三警告說，他們將遇到很多麻煩。 “如果你不能從云優(yōu)先的角度開始思考問題，事情就不會變得容易，”他說。他說，與內(nèi)部數(shù)據(jù)中

隨著基于互聯(lián)網(wǎng)的平臺的新特性逐漸消失，越來越多的組織每年都會轉(zhuǎn)向云來托管和交付應(yīng)用程序。但一位專家說，IT部門必須放棄對安全的舊想法，采用新的設(shè)計和原則。

如果他們不這樣做，Securos is的顧問、云管理軟件初創(chuàng)公司的聯(lián)合創(chuàng)始人邁克·羅斯曼(Mike Rothman)周三警告說，他們將遇到很多麻煩。

“如果你不能從云優(yōu)先的角度開始思考問題，事情就不會變得容易，”他說。

他說，與內(nèi)部數(shù)據(jù)中心模型不同，在云中，IT不控制數(shù)據(jù)中心。事實上，羅斯曼指出，你只有代碼：云只是一個你連接的接口。

不耐煩的組織只想直接將工作負(fù)載提升到云，包括它們的架構(gòu)。他說，這是一個很大的錯誤，特別是如果在室內(nèi)使用平板網(wǎng)絡(luò)。

他指出，云中的平坦網(wǎng)絡(luò)使攻擊者很容易得到任何東西。

因此，轉(zhuǎn)儲平面架構(gòu)。

“分割是你的朋友；賬戶隔離是最好的做法，”他說。他補充說，隔離使攻擊面最小化。

另一個例子：在數(shù)據(jù)中心中，沒有存儲應(yīng)用程序代碼的管理平面。云中有.. 如果攻擊者進(jìn)入管理平面，他們可以訪問所有應(yīng)用程序，并可以消滅公司。所以保護(hù)這架飛機是至關(guān)重要的。

“我們搬到云端的想法是開始思考我們?nèi)绾问褂迷普Z，而不是舊的東西，因為它是舒適的，”他說，“我們必須開始分離我們過去所做的事情，而不是我們需要做的事情。

提高企業(yè)安全的“秘密要素”就在你的眼皮底下：更好地利用硬件的日志。

一些CISO被他們的組織引入云端，他們決定他們必須利用權(quán)力。

羅斯曼說，云也意味著工作得更快。傳統(tǒng)組織可能每年對軟件進(jìn)行兩次修改。一些基于云的公司——比如亞馬遜A WS——每周可以更新幾次代碼。 “我們有我們以前沒見過的速度”。

“云母并不意味著不是遺產(chǎn)，”他補充道。 “這意味著你要么從頭開始構(gòu)建，要么毫無妥協(xié)地重新構(gòu)建。

他承認(rèn)，并非所有的工作量都可以重新分類。一個關(guān)閉其數(shù)據(jù)中心但被一個不可或缺的遺留應(yīng)用程序困住的組織將不得不找到一些“多云”的工作解決方案，包括在應(yīng)用程序周圍建立一條護(hù)城河。

否則，云本地規(guī)則。這意味著認(rèn)識到，進(jìn)入云意味著默認(rèn)情況下的隔離，利用架構(gòu)進(jìn)行安全，為廣泛使用自動化做好準(zhǔn)備，因為基礎(chǔ)設(shè)施可以擴展和收縮，API將被廣泛用于連接機器。

“那些從開發(fā)者的思維中理解和思考安全的人是絕對關(guān)鍵的，”他說。 “快速失敗的整個創(chuàng)業(yè)心態(tài)在安全方面是絕對關(guān)鍵的，因為這就是我們的開發(fā)人員和運營人員將要做的。我們也得接受。

“順便說一句，這意味著我們必須管理預(yù)期——這是我們長期以來一直蹩腳的期望。我們不能保證一切，它移動得太快了。我們將嘗試減少攻擊面，我們將嘗試盡可能多地自動化，這樣我們就可以盡可能快地移動，但那里會有一些失敗。

他還表示，開發(fā)應(yīng)用程序的藝術(shù)，在代碼發(fā)布之前的每一步都要考慮到安全性，以進(jìn)行徹底的測試，這是至關(guān)重要的。 “架構(gòu)加上DevOps是云安全。

他說，云打開了許多機會，比如利用自動化和編排。想象一下創(chuàng)建“護(hù)欄”，這是最佳實踐-安全或操作-可以使用自動化強制執(zhí)行。例如，一個應(yīng)用程序，它檢查您的組織的AmazonS3存儲桶上的所有應(yīng)享權(quán)利，并自動關(guān)閉那些打開互聯(lián)網(wǎng)的權(quán)限。他說，自動化也可以用來隔離受感染的服務(wù)器，或者切斷90天內(nèi)沒有使用的訪問密鑰。

羅斯曼在接受采訪時說，云中的安全可能比前提環(huán)境更好

“如果你做得對的話。如果你嘗試應(yīng)用大量傳統(tǒng)的安全控制，在你的數(shù)據(jù)中心以平庸的方式工作，它就不會結(jié)束得很好。但是，如果您從帳戶隔離、網(wǎng)絡(luò)隔離、在部署管道的測試中構(gòu)建最佳實踐，將安全性視為另一種代碼，并擁有不可變的基礎(chǔ)設(shè)施，這樣您就不會只是登錄服務(wù)器——當(dāng)服務(wù)器漂移或更改服務(wù)器時，您就會得到它們——您可以構(gòu)建比傳統(tǒng)數(shù)據(jù)中心土地更安全的設(shè)計模式。

這不是說它會是完美的。 “如果我們想談?wù)撃切┟黠@可以避免的、操作流程不佳的事情，云與傳統(tǒng)的基礎(chǔ)設(shè)施沒有什么不同。如果你在自己的房子里不擅長安全，你就會在云中的安全上感到蹩腳.如果你有什么東西，你有一個更少的網(wǎng)絡(luò)，你在一個更高的緊繩（在云中），只是因為只有一個配置錯誤，你可以打開一堆數(shù)據(jù)給每個人。但這并不是一個固有的問題（云的問題）-你實際上必須在亞馬遜做些什么才能向互聯(lián)網(wǎng)打開一個S3桶“。

“默認(rèn)情況下，它們不對世界開放.這就是為什么我們不只關(guān)注作為關(guān)鍵安全控制的體系結(jié)構(gòu)，還要確保在護(hù)欄和自動化方面有適當(dāng)?shù)淖詣踊源_保許多最佳實踐不會被不了解更好的人或犯錯的人所違反。

標(biāo)簽：云安全