2020年新冠疫情加速了“云计算与安全”、“网络与安全”的融合趋势。“云优先”时代,企业越来越依赖云计算。但是对于大多数企业来说,业务上云并不意味着安全上云,“靠山山倒”,要想确保云服务的安全,仅仅依靠或信赖云服务商是远远不够的。企业还需要完成传统网络安全思维的转变:“云安全始于云原生思维方式,这种思维方式不再面向网络,而更多地面向身份、数据和应用程序。”
2021年,云与安全,网络与安全将如何进一步融合演进?企业如何应对这场宏大而深刻的变革?以下我们整理了多位云安全专家和分析师的观点供大家参考:
1. SaaS默认设置的风险
大多数云安全问题都可归入三类:云风险管理、基础架构即服务(IaaS)安全和软件即服务(SaaS)控制。IaaS通常受开发人员控制,相应的安全供应商数量较少。而业务线通常控制着SaaS,并且可以从更多的安全提供商中进行选择。
安全专家Riley指出:“不幸的是,许多IT专业人员宁愿无视新兴的SaaS市场,尽管在大多数情况下,SaaS代表的计算领域比私有云中的IaaS更为重要。”SaaS市场的庞大规模应引起安全团队的关注,因为他们通常无法控制员工下载那些应用以及如何使用这些应用。
所有云服务都可以在外部共享对象,但是默认配置是个例外。
Riley指出,数量惊人的SaaS应用程序不仅允许外部共享,而且默认可以打开。对于用户而言,这属于设计缺陷还是人员弱点存在争议。企业可以修改默认配置,但是前提是必须有这样做的意愿。
Riley认为:争论云服务的初始默认配置应该是什么没有意义。企业终究要面对云服务的风险,安全团队必须意识到这一点并采取相应措施。关闭开放式的文件共享是企业可以采取的最有效的云安全初始措施。
2. SaaS重在维护
Riley认为:SaaS是公共云服务的主体,也是企业最难控制的形式,这使得SaaS运维业务成为“最重大的安全挑战”。尽管大多数云应用都有一定的抵御攻击的能力,但它们却不像内部运行的应用程序那样可控。
使该问题进一步复杂化的是,大多数业务部门对如何维护云应用程序都不了解。在业务部门的眼里,云应用“就像一尊雕像,应该放在架子上欣赏。”“而专业人士都知道云应用程序更像是动物,需要持续护理的,有生命会呼吸的生命体。”
SaaS应用程序在其整个生命周期中都需要关注和维护。许多组织甚至不知道他们在使用哪些SaaS应用程序,最终为功能重叠的服务支付了不止一次的费用。
SaaS上的非IT支出也在持续增长,从而产生了一系列IT最终必须解决的问题。例如,营销团队可能想要使用一个很酷的新SaaS应用程序,该应用程序无法与企业使用的协作平台集成。在这种情况下,业务和安全需要找到折衷方案,选择能与现有业务工具集成并且可以由云访问安全代理(CASB)监控的营销工具。
3. IaaS安全市场持续增长
企业正在从基于操作系统的计算模型过渡到专注于应用程序的模型。Riley认为,如今大多数开发、测试或生产环境中至少有一个基于Linux容器的应用程序。
他补充说:“这意味着什么?您的云安全策略应该进行调整,以提供一致的可见性和对工作负载的控制。”虚拟环境带来了新的安全复杂性,尤其是漏洞管理和网络安全方面。
Riley指出:云安全状态管理(CSPM)市场中的工具可以评估云控制平面的状态,并提出降低风险的更改建议,这些功能包括访问管理配置、存储配置、连接性和控制台控制。对于大型的基于云的工作负载部署,CSPM功能应该是强制性的,因为它们是错误捕捉器。
几家传统的端点保护供应商已经为云工作负载保护平台(CWPP)开发了特定的产品。新兴公司已经开始开发具有基于身份细分,应用程序控制,完整性保护和活动监视等功能的工具。去年,Gartner估计CWPP市场规模为12.5亿美元。预计到2023年,这一领域将达到25亿美元。
Riley指出,云安全性转变“始于云原生思维方式,这种思维方式不是面向网络,而更多地面向身份、数据和应用程序。”
4. 网络安全的未来在云中
安全访问服务边缘(SASE)的采用日趋广泛。随着越来越多的企业采用类似Microsoft 365和Salesforce这样的SaaS应用程序,企业正在购买更多的云(交付)安全服务,在物理安全设备上的支出则不断缩水。
Gartner分析师预计,到2023年,企业将在SaaS应用上花费800亿至1000亿美元,这将导致对WAN的重新设计和架构。
Orans说,围绕“上云”的讨论很多。这些讨论通常聚焦如何将工作负载从私有数据中心转移到公共云。尽管这些过渡至关重要,但企业将更多的钱都花在了SaaS应用程序上,这是“改变网络安全的关键驱动力”。
5. SD-WAN应用随着云的普及而增长
追踪SD-WAN市场的分析人士预测,到2024年SD-WAN将会强劲增长。
安全专家Orans指出:“当我询问如何采用这些基于云的安全服务时,我听到最多的是,结合WAN架构,将安全从数据中心转移到云计算。”
SASE正在推动网络安全市场趋同。网络即服务和网络安全即服务是经常同时进行的两个项目。当用户转移到云交付的安全Web网关或CASB服务时,通常也意味着SD-WAN项目的完成。
网络与安全的融合对于不同的人可能有着不同的含义。Orans指出,一些网络安全厂商正在购买SD-WAN厂商,因此一些收购正在巩固市场。伙伴关系还将网络和网络安全供应商聚集在一起。对于许多企业而言,将安全性转移到云中时,最重要的决策是选择云安全Web网关或云代理。
6. 重新思考云SOC
安全分析师Sadowski指出:到2025年,安全运营中心(SOC)的传统功能将与现在大不相同。随着安全性变得更具可编程性,企业将在各个部门之间重新分配传统的SOC功能。结果,安全的所有权将发生变化。例如,新冠疫情和远程办公加速了“固有的中心化安全模式的消失。”“现在,网络安全不是以日志管理为中心,而是以威胁检测和响应为中心。”
而SaaS应用程序的广泛使用给威胁检测和响应带来了新的问题:“当企业中的某人购买了SaaS应用程序,不告诉任何人并且正在生产环境中运行,SOC如何为这类影子SaaS应用程序的威胁检测和响应负责?”Sadowski问道。
显然,企业仍然需要威胁检测和响应,但是有些事情需要改变,云混合SOC最终将成为首选的SOC。Sadowski说:“安全将来自于云,服务于云,这是一个重大的改变,将迫使人员、流程和技术保持一致。”
安全不是外科手术,安全团队不应指望“独角兽”解决方案或云安全领域的专家。在重新考虑SOC方法时,企业可以建立一个没有SOC“中心”的分布式团队,并开发以云为中心和业务为中心的安全技能。企业依然需要安全团队,还应打造一个流动性强的按事件处理的团队,他们将整合不同的技能来解决问题。
7. 避免云SOC技术堆栈的复杂化
对于SOC的发展趋势,Sadowski认为,企业应该在投资新工具的之前考虑充分利用其现有工具。企业应该彻底盘点其安全运营职能和工具,包括热门的威胁检测和响应工具在内的所有不同工具和职能。
大型云服务提供商(CSP)已开始提供云检测和响应(CDR),但仅在该CSP内以及针对CSP。以Microsoft Azure ATP和Amazon GuardDuty为例,CDR工具可以访问海量遥测数据,提供包括分析、本机响应功能以及发送警报和上下文的功能,所有这些都可以通过API来完成。
Sadowski建议企业使用云服务商工具中的CDR功能,坚持要求云服务商提供全套API,并定义一种层级化的方法来聚合、分析和处理所有本地和微观事件。企业应该避免过快过多买入新的安全工具或功能,导致SOC的复杂化。
Sadowski指出:“不要积累太多的技术债务,因为它确实在快速发展。”“安全技术正在加速发展…因此,请密切关注并保持领先。”
8. 您真的需要SIEM吗?
企业是否必须拥有SIEM?还是可以使用可管理安全检测和响应服务(MDR)?安全专家Sadowski认为,SOC堆栈的焦点是安全事件和事件管理(SIEM)工具。但是企业需要考虑所需要的威胁检测类型。很多企业专注于勒索软件等“商品化攻击”威胁,而不是特定于业务的威胁,因此不必摄取业务应用程序日志。但是,某些企业需要高级功能,例如检测特定威胁和监视来自业务应用程序的事件的功能。
对于准备上马SIEM的企业,还必须考虑他们是否有资源来管理SIEM。SIEM需要有人来运行,调整和监视,云端的SaaS SIEM也是如此。
对于担心缺乏足够资源应对常规威胁的组织,Sadowski建议选择MDR。那些担心常规威胁并拥有资源的企业可以将SIEM视为备选,如果选择(或者配合)端点检测和响应(EDR),网络检测和响应(NDR)以及合同生命周期管理(CLM)可能会发挥更好的作用。
Sadowski指出,那些担心高级威胁并拥有资源的企业应该投资SIEM。即使是没有资源的企业,SIEM仍然是应对高级威胁的首选,但可考虑共同管理的SIEM和可管理安全服务(MSS)。
9. 复杂性推动云安全整合
深受多云环境复杂性和安全问题困扰的企业正在通过减少使用的供应商数量来简化其环境。
安全专家Orans指出:“假设您有多个通过云交付服务的安全供应商,一个用于安全Web网关,一个用于零信任,一个用于CASB,甚至还有更多,公司必须确定如何获取这些服务所需的流量,这通常需要在每个用户设备上安装一个代理,随着代理数量的增加,这可能会变得复杂。”
现在,企业正在坚持一种或两种基于云的安全服务,通常是安全Web网关供应商和/或单独的CASB供应商。两个市场正在融合,因此企业最终可能会选择让一家供应商提供上述两种服务。