随着越来越多的IT 系统迁移到云,传统的安全最佳实践继续受到挑战,但Snyk首席架构师Josh Stella指出,组织可以采取一些步骤来转变其云安全并更快地交付创新。
Stella 指出,云计算代表了安全团队在构建和管理新应用程序时角色和职责的“范式转变”。
云的共享安全模型要求亚马逊网络服务 (AWS)、谷歌云和微软 Azure 等云服务提供商 (CSP) “对其物理基础设施的安全负责”,而“他们的客户负责安全使用云资源,”他说。
“正确实现云安全”的公司都具有五个特征:他们了解自己的环境、专注于安全架构、增强开发人员的安全性、建立在策略即代码 (PaC) 的基础上以及维护流程纪律——意思是“始终如一”衡量重要的事情,例如安全技术和流程是否通过自动化安全检查和批准来降低错误配置率并提高开发人员的工作效率,”Stella 解释说。
他补充说,组织的一个关键理解是,在数据中心工作的许多安全工具和最佳实践“无法保护您的云环境和数据”。
Stella 表示,网络犯罪分子越来越擅长使用自动化技术来检测诸如云配置错误、应用程序漏洞和源代码中的 API 密钥等弱点。
“一旦他们选择了目标,他们就会使用云控制平面搜索数据,”他指出。“迄今为止,发生的每一次重大云泄露事件都发生了控制平面妥协。”
Stella 指出,云安全团队通常每天都会发现并修复数十个错误配置问题,但错误配置只是黑客可以采取的威胁控制平面的众多途径之一。
他说:“只关注发现和消除单一资源的错误配置是在向风车倾斜,因为黑客最终会溜走。”
Stella 补充说,只关注其他途径,如妥协指标 (IOC) 也是有风险的,因为云漏洞可能在“几分钟内”发生,甚至在拥有最好的监控、分析和警报工具的团队有能力做出反应之前.
不要抛弃一切
由于应用程序安全性与以往一样重要,依赖 span 或 tap 来检查流量的网络监控工具不再像以前那样必要,因为云提供商通常不提供直接网络访问。
“您需要填补的主要云安全漏洞与资源配置和环境架构有关,”Stella 补充说,“好消息是,正如云是可编程的并且可以自动化的,您的云环境的安全性也是如此。”
尽管许多传统的安全工具在云中已经过时,但 Stella 说这并不意味着组织需要放弃他们一直在使用的所有东西。“相反,要了解哪些仍然适用,”他建议道。
Stella 指出,组织还应部署自动化,使开发人员能够在云中安全地构建和操作,并在攻击者发现漏洞之前找到并修复漏洞。
“您的应用程序团队可以更快地交付创新,您的云工程师可以更多地专注于创造价值,您的安全团队可以利用他们拥有的资源做更多事情,”他说。