在访谈中,Mitigant的首席技术官Kennedy Torkura讨论了确保云环境的清晰可见性的复杂性,为什么它会给CISO带来如此大的挑战,以及他们如何准备解决潜在问题。
(资料图片)
你能谈谈可见性在管理云安全中的作用吗?为什么它是当今CISO面临的重大挑战?
由于云基础设施的性质,对安全态势的可见性对保持领先于云攻击者至关重要。云基础设施在很大程度上是由API驱动的,由主要分布在广泛攻击面的动态资源组成。这些因素和许多其他因素的结合对有效的云安全构成了巨大的挑战。因此,确保云安全的一个核心要求是实现可靠的可见性。可以利用几种机制来增强可见性,包括实施日志记录和监控机制、启用跟踪云资源和配置中的所有更改的更改管理策略,以及实施威胁检测和事件响应策略。
DevOps的动态环境,特别是微服务和容器的引入,如何增加确保云环境的清晰可见性的复杂性?
尽管具有优势,但微服务和容器引入了几个抽象层,这增加了云原生系统的复杂性。Kubernetes安全团队使用“云本地安全的4C”的概念来解释这一现象。微服务和容器在由多种技术组成的各种抽象层上运行,这些技术包括不同类型的通信协议。安全机制通常旨在解决特定技术中的安全问题。
因此,这限制了抽象层的安全机制的有效性。最终,在云本地基础设施中,需要几种安全机制才能实现可见性。然而,这些安全机制通常是孤立运行的,因此难以提供统一的可见性。要克服这些挑战,需要在各种抽象层中跨不同的安全机制部署通信通道。此外,微服务和容器被设计为动态的,因此跟踪和确保可见性是具有挑战性的。
考虑到威胁参与者利用错误配置渗透到企业中的趋势日益增长,CISO应该采取哪些战略来降低其云环境中的这些风险?
威胁的流行率和复杂性正在迅速增加,这是许多企业非常担心的问题。没有一刀切的方法来克服这些挑战,拥有足够安全预算的成熟企业也未能幸免,因此解决方案不仅仅是拥有足够的预算来获得同类最佳的安全解决方案。基本的安全设置是降低相关风险的基础。企业需要通过培养网络安全文化来确保这一点。此外,鉴于不能保证实现100%的安全,“假定违约”的概念势在必行。
企业需要实施持续验证安全机制效率的安全机制。可以利用几种安全解决方案来持续验证安全效率,包括安全混乱工程、对手模拟和威胁追踪。我想提到的最后一点是从网络安全转向网络弹性。网络安全旨在检测和防止攻击,网络韧性推动阻止或适应攻击,同时在面临逆境时实现业务连续性。
使用多个公有云和私有云以及内部部署环境如何增加管理复杂性和运营成本?
使用多个公有云和私有云以及内部部署环境会带来各种挑战,从而增加企业的管理复杂性和运营成本。虽然多云和混合环境具有各种优势,如灵活性、可扩展性和弹性,但它们也伴随着必须仔细管理的固有复杂性。使用多个公有云和私有云,包括内部部署环境,意味着使用不同API、技术等的不同基础设施。
在这种多样化的环境中保持一致的安全态势是非常具有挑战性的。每个云的安全机制各不相同,管理这些机制所需的技能也同样不同。这种多样化环境的影响横跨人员、流程和技术,并可能造成攻击者可以利用的盲点。同样,在这种多样化的基础设施中暴露出来的攻击面也对治理构成了挑战。
你能描述一下企业在临时添加云服务时可能面临的问题吗?如何改进这种做法?
云服务为企业提供了大量价值。然而,添加更多云服务的决定不仅需要从功能角度进行治理和考虑,还需要从安全角度进行考虑。应该坚持默认安全的概念,特别是在云服务往往具有重叠功能的情况下。因此,在没有充分规划的情况下添加更多服务可能会导致冗余、资源浪费和现有攻击面的扩展。
可以通过采用几种安全实践来避免这些问题,包括安全架构和设计审查以及威胁建模练习,以证明需要这些服务是合理的。解决此问题的其他方法包括使用云服务提供商提供的服务来执行企业范围的策略。有了这样的服务,可以应用严格的治理,以避免故意或错误地使用先前未计划的云服务。
由于几乎没有IT团队拥有管理包含多个公有云、私有云和内部部署环境的混合部署所需的专业知识,CISO如何做好应对潜在问题的准备?可以进行哪些培训或技能提升?
如今,该行业面临的一个巨大挑战是缺乏足够的技能。可以采取几项措施来应对这一挑战,包括为工作人员提供教育预算和培训机会,以获得与其工作职责有关的知识和技能。有几个在线培训计划可以为企业提供云培训计划。企业可以通过订阅此类计划并鼓励员工注册和参加这些计划来利用这些机会。
此外,还可以在企业内部组织云培训,邀请外部或内部主题专家分享他们的知识。这可以是理论和实践的混合,以提升员工的云计算技能。