對(duì)于云安全這個(gè)新興概念,從咨詢機(jī)構(gòu)、云平臺(tái)到安全廠商,行業(yè)內(nèi)各家機(jī)構(gòu)眾各有解讀。但很少?gòu)钠髽I(yè)角度出發(fā),清楚指明安全部門對(duì)云安全這種全新解決方案的真實(shí)需求是如何產(chǎn)生的,以及如何規(guī)劃云安全架構(gòu),如何和原有安全功能進(jìn)行協(xié)同。
最近,Gartner的一篇分析報(bào)告提出了一種全新的安全解決方案——云工作負(fù)載安全平臺(tái)(Cloud Workload Protection Platforms,簡(jiǎn)稱為CWPP),該方案非常適合當(dāng)前業(yè)務(wù)快速增長(zhǎng),采用混合云,并在實(shí)施統(tǒng)一安全策略時(shí)遇到困惑的企業(yè)安全參考。
下面通過(guò)CWPP的必要性、核心能力和架構(gòu)注意項(xiàng)三個(gè)部分分析這個(gè)云安全體系。
一、當(dāng)前不同架構(gòu)的云采用給企業(yè)安全帶來(lái)的挑戰(zhàn):
1、服務(wù)器工作負(fù)載對(duì)安全保護(hù)需求有本質(zhì)上的區(qū)別
相對(duì)于終端產(chǎn)品來(lái)說(shuō),服務(wù)器有不同的生命周期,終端用戶會(huì)定期接觸未知的執(zhí)行代碼,服務(wù)工作負(fù)載通常只限于一套專門的運(yùn)行功能。在虛擬機(jī)環(huán)境下,一般是一個(gè)應(yīng)用對(duì)應(yīng)一臺(tái)虛擬機(jī)。在container環(huán)境下,會(huì)到一個(gè)進(jìn)程或者一個(gè)應(yīng)用服務(wù)的維度上。因此,使用默認(rèn)否認(rèn)的應(yīng)用控制模型比用在終端用戶面對(duì)的終端更有效。
云計(jì)算類型的應(yīng)用應(yīng)該更加靈活,保護(hù)需求會(huì)根據(jù)需求授權(quán)模型擴(kuò)大或者縮小范圍。例如,靜態(tài)加密數(shù)據(jù)應(yīng)是公有云服務(wù)器的最佳強(qiáng)制實(shí)踐,而這個(gè)功能很少用于本地的數(shù)據(jù)中心。最后,大多數(shù)公司除了私有云架構(gòu)以外,還要為兩個(gè)IaaS供應(yīng)商制定兩套標(biāo)準(zhǔn),提出支持混合和異構(gòu)云環(huán)境的安全方案需求。
2、不斷改變的威脅環(huán)境
另一個(gè)趨勢(shì)是人們?cè)絹?lái)越關(guān)注服務(wù)器負(fù)載保護(hù),主要指高級(jí)的定向攻擊,即繞過(guò)傳統(tǒng)的、本地基于簽名的保護(hù)。一般來(lái)說(shuō)這些攻擊都是利益驅(qū)使的,從目標(biāo)服務(wù)器和應(yīng)用負(fù)載中得到敏感數(shù)據(jù)和事務(wù)記錄,高級(jí)的攻擊會(huì)導(dǎo)致服務(wù)器工作負(fù)載保護(hù)出現(xiàn)一些變化:如保護(hù)模型不再依靠簽名(初期保護(hù)策略主要依靠應(yīng)用程序控制,攔截其他所有惡意或非惡意代碼);要求隔離網(wǎng)絡(luò)流量和可視化(關(guān)鍵是要求更加精細(xì)地劃分?jǐn)?shù)據(jù)中心流量,幫助企業(yè)了解應(yīng)用程序流程并實(shí)現(xiàn)可視化)。
3、變化的業(yè)務(wù)和IT需求
隨著云計(jì)算平臺(tái)的快速傳播,(其中最著名的就是AWS和Azure),在共有云IaaS上保護(hù)服務(wù)器工作負(fù)載的需求蓬勃發(fā)展起來(lái)。
圖1 大部分企業(yè)都將具備本地和云端的工作負(fù)載
如圖1所示,未來(lái)五年間,大部分企業(yè)都將具備本地和云端的工作負(fù)載,因此,保護(hù)每個(gè)控制臺(tái)的本地物理、虛擬服務(wù)器、公有云IaaS的服務(wù)器保護(hù)方案十分有必要,這些保護(hù)方案要具備一致的安全策略。
4、對(duì)部署速度的要求
在很多情況下,模板和腳本實(shí)例化了云服務(wù)器工作負(fù)載,這需要安全保護(hù)廠商開(kāi)放他們的保護(hù)能力,通過(guò)API自動(dòng)配置。為自動(dòng)化和自適應(yīng)的安全監(jiān)控創(chuàng)造一種需求——隨著工作負(fù)載的創(chuàng)建或者銷毀而相應(yīng)增加或減少,通過(guò)API實(shí)施全面可編程的保護(hù)架構(gòu)。
5、合法和合規(guī)性環(huán)境
很多服務(wù)器的保護(hù)需求都受到法律法規(guī)框架的影響,有的法律法規(guī)會(huì)直接提出這方面要求。舉個(gè)例子,保護(hù)PCI相關(guān)的工作負(fù)載有很多要求——特別是要求文件完整性監(jiān)控,主機(jī)入侵檢測(cè),補(bǔ)丁管理和網(wǎng)絡(luò)隔離等。
二、CWPP五大核心能力
云計(jì)算工作負(fù)載對(duì)安全有著不同的要求,混合私有云和公有云的云計(jì)算模型使這些不同之處更加復(fù)雜化,CISO們應(yīng)該為保護(hù)混合云計(jì)算負(fù)載部署專門的安全產(chǎn)品。Gartner推薦公司使用以風(fēng)險(xiǎn)為基礎(chǔ)的分層安全策略。
下圖展示了用于服務(wù)器負(fù)載保護(hù)的安全控制優(yōu)先級(jí),塔基包括了關(guān)鍵的基本能力,越往上功能越不重要。我們需要注意的是,其中一些功能可能會(huì)由OS供應(yīng)商、云IaaS供應(yīng)商提供,或者通過(guò)IT運(yùn)營(yíng)工具來(lái)實(shí)現(xiàn)。另外,服務(wù)器托管的虛擬桌面架構(gòu)是一種不同的用例,要使用更加傳統(tǒng)的用戶終端保護(hù)策略。
圖2 用于服務(wù)器負(fù)載保護(hù)的安全控制優(yōu)先級(jí)
圖2底部方框里列出了一些基本的運(yùn)維能力,真正實(shí)現(xiàn)服務(wù)器安全一定要以良好的運(yùn)維規(guī)范為開(kāi)端,如:
(1)限制訪問(wèn)服務(wù)器,服務(wù)器工作負(fù)載要限制物理或虛擬訪問(wèn)。
(2)限制在服務(wù)器運(yùn)行任意代碼的能力,移除或禁用本地瀏覽器和email客戶端。
(3)嚴(yán)格控制管理員訪問(wèn)服務(wù)器工作負(fù)載。多元認(rèn)證或者其他形式的強(qiáng)認(rèn)證要取代簡(jiǎn)單的用戶名/密碼機(jī)制;管理認(rèn)證應(yīng)該使用PAM系統(tǒng)。
(4)變更管理。通過(guò)與PAM結(jié)合,服務(wù)器鏡像變化應(yīng)遵守一個(gè)明確的、與工單系統(tǒng)相連的變更管理控制流程。
(5)日志管理。把服務(wù)器工作負(fù)載OS和應(yīng)用日志集中在一個(gè)日志管理系統(tǒng)或SIEM系統(tǒng)中,同時(shí)管理PAM日志。在虛擬化和云端環(huán)境,還要管理管理員行為日志。
在此基礎(chǔ)上,我們列出了CWPP服務(wù)器保護(hù)策略的五個(gè)核心能力:
1、配置和漏洞管理。移除非必要的組件,如Telnet,F(xiàn)TP和其他服務(wù)。我們要在初期就根據(jù)行業(yè)標(biāo)準(zhǔn)指南加固鏡像,可以由IT運(yùn)營(yíng)部門管理這一層面,但信息安全要根據(jù)公司標(biāo)準(zhǔn)方針確保加固、配置系統(tǒng)。再根據(jù)公司的補(bǔ)丁政策,完成系統(tǒng)補(bǔ)丁,定期持續(xù)更新系統(tǒng)。一些服務(wù)器保護(hù)解決方案可以徹底評(píng)估系統(tǒng)配置和漏洞,由各自的agent提供可視性。利用腳本和模板的自動(dòng)化云工作負(fù)載提出了新的打補(bǔ)丁方式,但線上系統(tǒng)不能打補(bǔ)丁。
2、工作負(fù)載分割和網(wǎng)絡(luò)流量可視化。嚴(yán)格的工作負(fù)載安全的基礎(chǔ)是隔離和分化與外部資源溝通的能力。一些工作負(fù)載的保護(hù)方案自身具備防火墻能力,而其他保護(hù)方案會(huì)管理windows和linux系統(tǒng)內(nèi)置的防火墻。解決方案應(yīng)該支持?jǐn)?shù)據(jù)中心東西流量的微型分割需求。另外,一些解決方案提供可視化和監(jiān)控通信流量,可視化工具讓運(yùn)維和安全管理員可以了解流量類型、設(shè)置策略、監(jiān)控偏差。最后,一些廠商提供工作負(fù)載之間的網(wǎng)絡(luò)流量加密選擇來(lái)保護(hù)動(dòng)態(tài)數(shù)據(jù),并在工作負(fù)載之間提供加密隔離。
3、系統(tǒng)完整性監(jiān)控和管理。這項(xiàng)功能包括兩個(gè)領(lǐng)域:第一個(gè)是在BIOS,管理程序和虛擬機(jī)系統(tǒng)鏡像加載前進(jìn)行評(píng)估,一般會(huì)通過(guò)物理系統(tǒng)中硬件層面的可信任措施實(shí)現(xiàn)評(píng)估。第二個(gè)是在工作負(fù)載自啟后,實(shí)時(shí)的監(jiān)控核心系統(tǒng)文件完整性。高級(jí)解決方案還會(huì)監(jiān)控windows注冊(cè)表、啟動(dòng)目錄、驅(qū)動(dòng)和引導(dǎo)加載程序,文件完整性監(jiān)控是高級(jí)EDR方案的前身。
4、應(yīng)用程序控制(白名單)。之前討論過(guò),虛擬機(jī)和公有云IaaS中大多數(shù)工作負(fù)載只能運(yùn)行一個(gè)應(yīng)用。使用白名單以控制在服務(wù)器運(yùn)行什么文件,這是一個(gè)強(qiáng)大的安全保護(hù)策略,默認(rèn)阻止所有顯示為文件的惡意軟件。許多CWPP解決方案或?qū)iT的單點(diǎn)解決方案會(huì)提供內(nèi)置的應(yīng)用控制功能。還有一種方案,使用內(nèi)置的OS應(yīng)用控制功能,如Windows, SELinux系統(tǒng)的軟件限制策略和應(yīng)用程序控制策略(Applocker)或Linux系統(tǒng)的AppArmor。
5、滲透阻止和內(nèi)存保護(hù)。應(yīng)用控制解決方案不會(huì)一直可靠,應(yīng)該跟預(yù)防漏洞利用和內(nèi)存保護(hù)功能相結(jié)合,這些功能可以是OS,應(yīng)用控制方案或第三方的保護(hù)措施,預(yù)防這些情況:白名單應(yīng)用被攻擊而產(chǎn)生漏洞,輸入的代碼在內(nèi)存中直接運(yùn)行,且本身不是單獨(dú)的執(zhí)行(或可控)文件。另外,保護(hù)和內(nèi)存保護(hù)方案不用傳統(tǒng)的、基于簽名的殺毒方案就能防御攻擊,在沒(méi)有補(bǔ)丁的情況下,還能減少管控。
除了上述5個(gè)核心能力,我們還有進(jìn)一步保護(hù)服務(wù)器工作負(fù)載的其他方法,額外的保護(hù)需要很多基礎(chǔ)因素,包括合規(guī)性要求,被保護(hù)的工作負(fù)載敏感性,服務(wù)器是否能定期打補(bǔ)丁,企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度等。
三、規(guī)劃和實(shí)施架構(gòu)注意項(xiàng)
無(wú)論是自己研發(fā)還是和第三方云安全廠商合作,企業(yè)在評(píng)估各種解決方案時(shí),需要重點(diǎn)考慮架構(gòu)的幾點(diǎn)要求:
1、支持混合云環(huán)境,這是最重要的一點(diǎn),大量云服務(wù)廠商提出的安全方案都可以運(yùn)行在混合云環(huán)境中。對(duì)那些仍然使用物理服務(wù)器的公司,要求他們提供支持混合云環(huán)境的服務(wù)。
2、支持服務(wù)器操作系統(tǒng),大多數(shù)廠商都支持windows和Linux系統(tǒng),如果廠商支持Linux系統(tǒng),為你的企業(yè)布局尋求特定支持及32/64位支持,判斷產(chǎn)品是否同時(shí)具備windows功能。如果廠商支持Windows系統(tǒng),要弄清支持哪個(gè)版本,還是32/64位都支持;很少有供應(yīng)商支持HP-UX,IBM AIX或Oracle Solaris系統(tǒng);有一些供應(yīng)商專門支持那些不再受支持的服務(wù)器系統(tǒng),如Windows2000和2003服務(wù)器。
3、支持容器,基于主機(jī)的agent要分辨單獨(dú)的Linux容器,包括網(wǎng)絡(luò)分段,再根據(jù)實(shí)際情況實(shí)施相應(yīng)策略。這對(duì)那些使用容器支持微服務(wù)架構(gòu)和快速發(fā)展DevSecOps工作流的公司來(lái)說(shuō),這個(gè)新要求非常重要。
4、全面支持API,安全保護(hù)要越來(lái)越能自動(dòng)適應(yīng)DevSecOps工作流的工作負(fù)載,通過(guò)API,利用高自動(dòng)化開(kāi)發(fā)環(huán)境中的腳本、方法和模板,使控制臺(tái)自動(dòng)配置安全策略,不再像以前那樣通過(guò)”人為介入“執(zhí)行昂貴的、緩慢的手動(dòng)配置。
5、對(duì)系統(tǒng)空間和性能的影響,CWPP的整套功能可能會(huì)對(duì)系統(tǒng)空間和功能產(chǎn)生較大影響,例如,以數(shù)據(jù)包深度檢測(cè)為基礎(chǔ)的HIPS可能會(huì)占用大量資源,如果可以的話,數(shù)據(jù)加密應(yīng)該使用硬件加速能力,如因特爾的AES-NI。以簽名為基礎(chǔ)的反惡意軟件掃描在爬取、掃描文件系統(tǒng)時(shí),也會(huì)對(duì)安全系統(tǒng)的性能產(chǎn)生影響。
6、“無(wú)agent”保護(hù),在虛擬系統(tǒng)環(huán)境中,很多供應(yīng)商都會(huì)連接其vSphere管理程序API,進(jìn)行無(wú)agent反惡意軟件掃描。作為無(wú)agent集成管理程序的另一種模式,Bracket Computing使用的是創(chuàng)新性的”外包裝“方式,可以在無(wú)agent的情況下,保護(hù)每個(gè)工作負(fù)載。
7、虛擬化和云服務(wù)提供商的原生集成和支持,在云基礎(chǔ)環(huán)境中,為了實(shí)現(xiàn)有效保護(hù),CWPP應(yīng)該充分理解并能整合平臺(tái)的原生附加能力,這樣才能在這些標(biāo)記的基礎(chǔ)上執(zhí)行安全策略。在創(chuàng)建新的工作負(fù)載時(shí),集成云廠商的API可能無(wú)需設(shè)置安全保護(hù),就可以聯(lián)絡(luò)控制臺(tái)。最后,充分理解本地云供應(yīng)商的不同分類有助于我們界定細(xì)分策略。
8、控制臺(tái)管理能力,在所有服務(wù)器工作負(fù)載中,要強(qiáng)制實(shí)施對(duì)不同職責(zé)管理員的全面訪問(wèn)控制,一些供應(yīng)商會(huì)提供”云控制臺(tái)“,因此無(wú)需本地管理服務(wù)器。
9、合規(guī)性報(bào)告,對(duì)于有明確法規(guī)要求的企業(yè)來(lái)說(shuō),當(dāng)審計(jì)人員要求出示合規(guī)證據(jù)時(shí),提供詳細(xì)的合規(guī)報(bào)告能力就可以減少工作量(比如要求提供PCI 和HIPAA合規(guī)報(bào)告)。
10、安全自啟能力,內(nèi)置安全agent的系統(tǒng)配置速度很快,但可能無(wú)法在運(yùn)行時(shí)執(zhí)行安全策略。Agent應(yīng)該準(zhǔn)備使用模板和upon boot,這樣才能根據(jù)工作負(fù)載的環(huán)境(例如工作負(fù)載的位置或者在標(biāo)記的基礎(chǔ)上),安全地獲取、下載和應(yīng)用合適的策略。
11、靈活的價(jià)格模型,理想的解決方案可以讓企業(yè)混合幾種授權(quán)模型,以發(fā)揮最大的作用。大多數(shù)廠商是根據(jù)每年每臺(tái)虛擬機(jī)的訂閱模式來(lái)收費(fèi),還有一些根據(jù)每臺(tái)中央處理器插槽收費(fèi),對(duì)于高度靈活的工作負(fù)載來(lái)說(shuō),定價(jià)模式有一個(gè)更好的選擇,那就是根據(jù)虛擬機(jī)的實(shí)際使用時(shí)長(zhǎng)或其他基于使用情況的標(biāo)準(zhǔn)來(lái)制定。
12、審計(jì)和日志記錄,要記錄控制臺(tái)上所有管理行為和事件,并將這些日志傳輸?shù)街饕腟IEM系統(tǒng)中。
13、威脅情報(bào)/社區(qū)情報(bào),廠商的研究實(shí)驗(yàn)室要提供全面的威脅情報(bào),將攻擊模型和趨勢(shì)的變化告知安全運(yùn)營(yíng)官,理想情況下,廠商要直接提供保護(hù)方案。廠商的客戶群體要允許參與人分享這種可視性和情報(bào)信息,以更好地防御威脅。
統(tǒng)計(jì)顯示,到2019年,60%的服務(wù)器工作負(fù)載將會(huì)以應(yīng)用控制來(lái)替代殺毒軟件,而在2016年,這一比例還只有20%。隨著云計(jì)算采用的不斷深化,企業(yè)IT系統(tǒng)會(huì)更加復(fù)雜,企業(yè)將更深刻地認(rèn)識(shí)到云安全體系化升級(jí)勢(shì)在必行。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:一篇文章讀懂企業(yè)如何升級(jí)到云安全體系
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839519271.html