為什么云意味著對(duì)安全的新思考方式

隨著基于互聯(lián)網(wǎng)的平臺(tái)的新特性逐漸消失，越來(lái)越多的組織每年都會(huì)轉(zhuǎn)向云來(lái)托管和交付應(yīng)用程序。 但一位專(zhuān)家說(shuō)，IT部門(mén)必須放棄對(duì)安全的舊想法，采用新的設(shè)計(jì)和原則。

如果他們不這樣做，Securos is的顧問(wèn)、云管理軟件初創(chuàng)公司的聯(lián)合創(chuàng)始人邁克·羅斯曼(Mike Rothman)周三警告說(shuō)，他們將遇到很多麻煩。

“如果你不能從云優(yōu)先的角度開(kāi)始思考問(wèn)題，事情就不會(huì)變得容易，”他說(shuō)。

他說(shuō)，與內(nèi)部數(shù)據(jù)中心模型不同，在云中，IT不控制數(shù)據(jù)中心。 事實(shí)上，羅斯曼指出，你只有代碼：云只是一個(gè)你連接的接口。

不耐煩的組織只想直接將工作負(fù)載提升到云，包括它們的架構(gòu)。 他說(shuō)，這是一個(gè)很大的錯(cuò)誤，特別是如果在室內(nèi)使用平板網(wǎng)絡(luò)。

他指出，云中的平坦網(wǎng)絡(luò)使攻擊者很容易得到任何東西。

因此，轉(zhuǎn)儲(chǔ)平面架構(gòu)。

“分割是你的朋友；賬戶(hù)隔離是最好的做法，”他說(shuō)。 他補(bǔ)充說(shuō)，隔離使攻擊面最小化。

另一個(gè)例子：在數(shù)據(jù)中心中，沒(méi)有存儲(chǔ)應(yīng)用程序代碼的管理平面。 云中有.. 如果攻擊者進(jìn)入管理平面，他們可以訪(fǎng)問(wèn)所有應(yīng)用程序，并可以消滅公司。 所以保護(hù)這架飛機(jī)是至關(guān)重要的。

“我們搬到云端的想法是開(kāi)始思考我們?nèi)绾问褂迷普Z(yǔ)，而不是舊的東西，因?yàn)樗鞘孢m的，”他說(shuō)，“我們必須開(kāi)始分離我們過(guò)去所做的事情，而不是我們需要做的事情。

提高企業(yè)安全的“秘密要素”就在你的眼皮底下：更好地利用硬件的日志。

一些CISO被他們的組織引入云端，他們決定他們必須利用權(quán)力。

羅斯曼說(shuō)，云也意味著工作得更快。 傳統(tǒng)組織可能每年對(duì)軟件進(jìn)行兩次修改。 一些基于云的公司——比如亞馬遜A WS——每周可以更新幾次代碼。 “我們有我們以前沒(méi)見(jiàn)過(guò)的速度”。

“云母并不意味著不是遺產(chǎn)，”他補(bǔ)充道。 “這意味著你要么從頭開(kāi)始構(gòu)建，要么毫無(wú)妥協(xié)地重新構(gòu)建。

他承認(rèn)，并非所有的工作量都可以重新分類(lèi)。 一個(gè)關(guān)閉其數(shù)據(jù)中心但被一個(gè)不可或缺的遺留應(yīng)用程序困住的組織將不得不找到一些“多云”的工作解決方案，包括在應(yīng)用程序周?chē)⒁粭l護(hù)城河。

否則，云本地規(guī)則。 這意味著認(rèn)識(shí)到，進(jìn)入云意味著默認(rèn)情況下的隔離，利用架構(gòu)進(jìn)行安全，為廣泛使用自動(dòng)化做好準(zhǔn)備，因?yàn)榛A(chǔ)設(shè)施可以擴(kuò)展和收縮，API將被廣泛用于連接機(jī)器。

“那些從開(kāi)發(fā)者的思維中理解和思考安全的人是絕對(duì)關(guān)鍵的，”他說(shuō)。 “快速失敗的整個(gè)創(chuàng)業(yè)心態(tài)在安全方面是絕對(duì)關(guān)鍵的，因?yàn)檫@就是我們的開(kāi)發(fā)人員和運(yùn)營(yíng)人員將要做的。 我們也得接受。

“順便說(shuō)一句，這意味著我們必須管理預(yù)期——這是我們長(zhǎng)期以來(lái)一直蹩腳的期望。 我們不能保證一切，它移動(dòng)得太快了。 我們將嘗試減少攻擊面，我們將嘗試盡可能多地自動(dòng)化，這樣我們就可以盡可能快地移動(dòng)，但那里會(huì)有一些失敗。

他還表示，開(kāi)發(fā)應(yīng)用程序的藝術(shù)，在代碼發(fā)布之前的每一步都要考慮到安全性，以進(jìn)行徹底的測(cè)試，這是至關(guān)重要的。 “架構(gòu)加上DevOps是云安全。

他說(shuō)，云打開(kāi)了許多機(jī)會(huì)，比如利用自動(dòng)化和編排。 想象一下創(chuàng)建“護(hù)欄”，這是最佳實(shí)踐-安全或操作-可以使用自動(dòng)化強(qiáng)制執(zhí)行。 例如，一個(gè)應(yīng)用程序，它檢查您的組織的AmazonS3存儲(chǔ)桶上的所有應(yīng)享權(quán)利，并自動(dòng)關(guān)閉那些打開(kāi)互聯(lián)網(wǎng)的權(quán)限。 他說(shuō)，自動(dòng)化也可以用來(lái)隔離受感染的服務(wù)器，或者切斷90天內(nèi)沒(méi)有使用的訪(fǎng)問(wèn)密鑰。

羅斯曼在接受采訪(fǎng)時(shí)說(shuō)，云中的安全可能比前提環(huán)境更好

“如果你做得對(duì)的話(huà)。 如果你嘗試應(yīng)用大量傳統(tǒng)的安全控制，在你的數(shù)據(jù)中心以平庸的方式工作，它就不會(huì)結(jié)束得很好。 但是，如果您從帳戶(hù)隔離、網(wǎng)絡(luò)隔離、在部署管道的測(cè)試中構(gòu)建最佳實(shí)踐，將安全性視為另一種代碼，并擁有不可變的基礎(chǔ)設(shè)施，這樣您就不會(huì)只是登錄服務(wù)器——當(dāng)服務(wù)器漂移或更改服務(wù)器時(shí)，您就會(huì)得到它們——您可以構(gòu)建比傳統(tǒng)數(shù)據(jù)中心土地更安全的設(shè)計(jì)模式。

這不是說(shuō)它會(huì)是完美的。 “如果我們想談?wù)撃切┟黠@可以避免的、操作流程不佳的事情，云與傳統(tǒng)的基礎(chǔ)設(shè)施沒(méi)有什么不同。 如果你在自己的房子里不擅長(zhǎng)安全，你就會(huì)在云中的安全上感到蹩腳.如果你有什么東西，你有一個(gè)更少的網(wǎng)絡(luò)，你在一個(gè)更高的緊繩（在云中），只是因?yàn)橹挥幸粋€(gè)配置錯(cuò)誤，你可以打開(kāi)一堆數(shù)據(jù)給每個(gè)人。 但這并不是一個(gè)固有的問(wèn)題（云的問(wèn)題）-你實(shí)際上必須在亞馬遜做些什么才能向互聯(lián)網(wǎng)打開(kāi)一個(gè)S3桶“。

“默認(rèn)情況下，它們不對(duì)世界開(kāi)放.這就是為什么我們不只關(guān)注作為關(guān)鍵安全控制的體系結(jié)構(gòu)，還要確保在護(hù)欄和自動(dòng)化方面有適當(dāng)?shù)淖詣?dòng)化，以確保許多最佳實(shí)踐不會(huì)被不了解更好的人或犯錯(cuò)的人所違反。