随着越来越多的组织将云策略扩展到私有云、公共云、本地数据中心和边缘站点,将多云作为数字转型倡议的一部分,新的安全挑战不断涌现,必须在安全倡议的每个阶段加以考虑。
在云中操作具有多个优势,任何组织,无论是公共机构、私营企业还是政府机构,都至少在一定程度上使用某种类型的云来完成其部分业务功能。
根据f5《2023年应用策略状况报告》,85%的组织使用多种架构运行应用程序,并在分布式环境中部署这些应用程序。在云中操作涉及多个安全挑战,而在多云环境中,复杂性进一步增加,需要将在不同环境中运行的应用程序连接起来,可能需要遵循不同的安全策略、治理和合规要求。
除了多云使用带来的安全和复杂性挑战之外,单体应用程序也正在逐渐被微服务所取代,微服务提供了更大的灵活性和简便的提供和撤销功能。这进一步增加了已经存在的挑战,包括扩展的网络攻击面、对应用程序健康和性能的端到端可见性减少,以及操作复杂性的增加。
不同架构设计带来的挑战
每个环境中的差异使得在不同环境中应用一致的安全策略变得更加困难。私有云、公共云或边缘计算环境中的工作负载安全、应用程序安全和API安全的要求不一定是协调一致的。
在不同云环境中实现安全策略的协调仍然是许多组织面临的挑战,对监控和可见性产生更大的影响。
使用分布式云技术,有时也被称为超级云,正在逐渐流行起来。
正如康奈尔大学的研究人员所描述的,“超级云是一种云架构,可以在不同的可用区或云提供商之间作为应用程序迁移服务。超级云提供了分配、迁移和终止资源(如虚拟机和存储)的接口,并提供了一个统一的网络来将这些资源连接在一起。超级云可以跨越所有主要的公共云提供商,如亚马逊EC2、微软Azure、谷歌计算引擎、Rackspace等,以及私有云。”
云安全模型
公共云提供商采用共享的安全模型,其中提供商负责“云的安全性”,而用户负责“云中的安全性”。
这个模型意味着云提供商负责平台的安全,包括硬件和所有的虚拟化组件。用户负责自己的安全策略和治理模型,并为他们的应用程序、数据和API保护设置适当的控制。这还包括配置管理以进行DDoS防护、Web应用程序防火墙(WAF)、客户操作系统和客户数据存储管理。
在这个模型中,数据、应用程序、API和工作负载的安全挑战都落在用户的肩上。为了弥补私有云、公共云、混合云和多云之间的知识差距,所需要的学习曲线可能很陡峭,这可能导致潜在的弱点。根据Gartner的最新研究估计,到2025年,99%的云安全故障将是用户的责任。这可能归因于在不同环境中强制执行安全策略的困难,以及无法将云治理、风险管理和监控整合到现有的信息安全生命周期方法中。
从传统的单体应用向微服务应用和数据的转变带来的挑战
传统上,网络防火墙、入侵检测系统(IDS)和Web应用程序防火墙被用于为企业基础设施提供安全保护,但其效果因地而异。然而,在微服务架构中,这种防御机制的适应性面临着组织面临的最大挑战之一,因为在这种架构中,新的应用程序可以动态地进行配置或取消配置。随着微服务架构带来的复杂性增加,对新的工作负载和应用程序应用一致的企业安全策略变得更加困难。
大多数任务需要自动化完成,并需要实施云原生工具(如Kubernetes集群),以实现新应用的自动部署、编排和执行新服务的安全策略。
适当运行云原生工具(如Kubernetes)需要受过培训的云计算和安全专业人员,这本身也是组织面临的另一个重要挑战。
在云计算和信息安全专业人员技能缺口带来的挑战 大多数组织在其技术投资战略中都采用了多云为默认选择,2023年云技术的投资增长了49%。Gartner还预测,2023年IT支出将增加到4.6万亿美元,但这种IT投资的增长面临一个重要挑战,即缺乏受过培训的专业人员来管理、操作和保护日益复杂的基础设施。
多云已经成为组织的明显IT策略。然而,大多数专业人员缺乏管理这些跨公共云、私有云、本地数据中心和边缘计算工作负载的现代解决方案所需的云计算专业知识。正如我们之前提到的,多云环境创造了一个复杂的网络安全环境,而大多数组织并没有准备好应对。
网络安全和云计算是技术技能缺口中最大的两个领域。然而,尽管在技术方面的投资增加,特别是在云技术方面,但组织在填补技术技能缺口方面的培训投资并不足够。
解决技能缺口的一种方法是组织在培训和教育方面进行投资,为现有员工提供学习平台的使用权限,以及沙盒环境,在这些环境中他们可以练习云计算和安全技术,从而更好地为生产环境和现实生活中的云计算和安全挑战做好准备。
下图是Pluralsight调查结果显示的各行业的技能缺口情况:
作为服务的安全性(SECaaS)挺身而出
转向公共云计算提供了一个优势,即无需担心物理基础设施的安全性(即云计算的安全性),但在多云模型中,私有云的基础设施安全仍然是组织的责任。此外,无论是在公共云还是私有云中,应用程序仍然容易受到常见威胁的攻击。勒索软件攻击、针对应用程序和API端点的DDOS攻击、对以前未知漏洞的零日利用、凭证填充或重放攻击仍然是一个挑战,而攻击数量也在增加。根据Cybersecurity Ventures的数据,每39秒就会发生一次数据泄露,每14秒就会发生一次勒索软件攻击。
为了在与网络犯罪分子的竞赛中保持领先地位,组织开始寻求安全作为服务(SECaaS)提供商的帮助,以确保其数字资产的安全性。根据f5《2023年应用策略状况报告》的数据,这样做的原因是因为需要快速响应和缺乏内部技能,如下图所示。
总结
随着多云作为默认的IT战略在大多数组织中占据主导地位,这种新方法引入的复杂性带来了更多的安全挑战。云基础设施通过诸如Kubernetes等云原生工具进行自动化,用于工作负载和应用程序的部署和编排。然而,以安全的方式实施这种策略需要熟练的专业人员,但在云和安全领域,熟练的专业人员的可用性增长的速度并不足以填补技能差距。
组织需要更多地投资于提升现有员工的技能,以帮助缓解技能差距的挑战。其他组织则转向安全作为服务(SECaaS)提供商,以满足在恶意行为者利用漏洞之前迅速修补漏洞的需求。
作者:Pascal Tene
更多技术干货请关注公号“云原生数据库”
squids.cn,基于公有云基础资源,提供云上 RDS,云备份,云迁移,SQL 窗口门户企业功能,
帮助企业快速构建云上数据库融合生态。
