获得云安全福利所需的新鲜方法
根据产品和工程技术高级副总裁Varun Badhwar,Atpalo Alto Networks,Atpalo Alto网络高级副总裁Varun Badhwar的说法,使组织能够获得迁移到基于云的服务的安全福利通常要求IT团队进行一些教育。
“安全团队往往过度劳累,人员不足和不足。他们试图做的第一件事是对业务到云的迁移作出反应,以及他们反应的方式是看到他们可以利用解决问题的现有工具的原条,“他每周告诉计算机。
英国政府统计数据在网络安全漏洞调查中发表的2019年,60%的企业和49%的慈善机构 - 从超过2,000个受调查的组织 - 正在使用外部托管的Web服务来托管网站或电子邮件或传输或存储数据。
云使用是中型公司(71%)中最高,其次是小公司(63%),大公司(62%)和微型企业(59%)。
在许多情况下,Badhwar表示,云袭击了安全团队的速度比预期和更大的规模比他们所准备的更大。“简而言之,他们对改变做出反应,而不是主动准备这种变化的速度,”他说。
这种反应是以云层应用的现有架构的形式,或者可以使用哪种开箱即用的云产品,这两者都是“危险选择”。
根据Badhwar的说法,这种重新扫描意味着,而不是将迁移到云的迁移,而不是利用云,而往往会犯错误,而是与他们过去所做的那些类似的错误,并在云中具有类似的产品架构孤岛。
“使用非云原住语[工具和应用程序]意味着您将自己绑定到单个云的特定特定,几个月后,您将发现您的开发人员进入多个云,它不会提供整体他说,你需要长期需要的解决方案能力。
“这是一个长期的教育过程,希望我们帮助客户了解积极主动的机会,从开发人员心态中思考,以自动化和更云的方式思考。”
虽然正在建立云中任何未来的系统和商业模式的“云首发”公司也在努力与试图从安全的角度复制传统资产的同样挑战,但Badhwar表示,它更容易出生 - Uber,Lyft和Airbnb等云的公司,从一开始就使正确的安全投资是因为他们从未拥有过传统的数据中心和相关工具。
然而,他指出,这些组织的潜在陷阱是他们通常拥有“建立一切”的心态,并认为他们可以建立自己的安全工具。
“经常,他们在认识到解决安全问题之前,他们下降了这条路,并且它不能由几个兼职开发人员建造,因为它真的需要很多主题专业知识,很多数据和经验建立合适的技术。“
对于IT安全组织,发现自己突然不得不在云中获得操作,因为这是业务所采取的东西,Badhwar表示,最重要的挑战是建立在云中的一切都能的可见性。
“您无法确保您无法看到的内容,所以从知名度开始。解决了可见性挑战,使您可以与您的开发团队有明智的对话[所以你知道他们在云中做了什么,他们在云中有什么以及他们如何进入云,“他说。
“大多数组织已经多个组织的原因是因为开发人员正在挑选最好的平台 - 因此它是一个开发者主导的计划而不是CIO-LED主动性”Varo Badhwar,Palo Alto Networks“可见性允许您了解您希望在云中看到的各种问题,并有助于教育您的开发人员,SoC [安全运营中心]团队和分析师如何回应您期望看到的各种问题在这些环境中。
“然后,您可以谈谈测量云中的当前安全姿势,然后是需要随着时间的推移所需的控件,以实现您的组织最舒适的成熟程度。”
然而,在云中实现可见性并非没有挑战。并非所有组织都通过CIO-LED的数字转型计划来达到云。在许多情况下,开发人员在有任何转型计划之前将到云。
“大多数组织已经多罩的原因是开发人员正在挑选最好的平台 - 因此它是一个开发者主导的计划而不是CIO-LED主动性,”Badhwar说。
“在每个组织内,每个开发团队都在决定云中的服务,无论是容器,无服务器功能还是VMS [虚拟机]。他们都在杂皮地管理和管理自己的环境。这是一个难以解决的问题,“他说。
在可见性方面,Badhwar表示,第一个行动应该是在整个组织和各种业务中使用的律师。
“这就是像帕洛阿尔托网络组件一样的东西的力量在一起是如此有价值。假设您是使用下一代防火墙的客户,我们正在查看您的所有入口和出口流量。我们确切地知道用户及其交通的位置,“他说。
“我们知道正在遍历防火墙的不同AWS [亚马逊Web服务]或[Microsoft] Azure帐户的帐户ID,因此我们可以轻松地将我们所看到的云中的50个环境列表出来。或者,与云提供商交谈的“旧学校”方式,并要求与组织关联的完整帐户列表。
“我们还看到组织通过他们的结算和费用管理系统来追踪正在使用的服务和谁。所以你可以非常手动或非常自动化。“
然而,Badhwar表示,了解云中的内容是一件事,但它可能是挑战云的变化,开发人员通常在几个小时内旋转和撕毁云中的许多不同的东西。
“保持这项历史记录是从审计/事件响应的观点来看有价值,而且来自调查/事件响应的角度,因为如果我今天收到电话,请说我们在云中有一个妥协,我想知道过去三年的变化几周,“他说。
在解决知名度和改变跟踪挑战之后,Badhwar表示,下一件事要遵守。“如果您没有[常规数据保护规则] GDPR控制到位,您不会进入云端。合规可以成为一个阻挡者,所以这是一个非常快速解决的重要问题。“
随着组织的成熟随着时间的推移,Badhwar表示,组织通常在开发管道上开始建立更多地,朝着自动修复和威胁检测等事情。
该成熟过程的关键部分是实现云安全性与传统安全性完全相同。“您在云中解决的”什么“是相同的:您仍然负责网络安全,补丁管理,漏洞和用户及其凭据。
“但”如何'是不同的。云迁移第一阶段的组织 - 通常是“电梯和换档”阶段 - 关于将现有的应用程序从运行的VM运行到AWS或Azure中的VM,不会遇到大部分文化冲击。
“您在云中解决的”什么“是相同的:您仍然负责网络安全,补丁管理,漏洞和用户及其凭据。但“如何”是不同的“Varu Badhwar,Palo Alto Networks“然而,他们很快就会意识到他们已经搬到了云层以获得速度和成本的效率,这迫使他们考虑重新架构他们的应用程序,以更多的云原住。这是他们开始感受到他们在升降机上所带来的内部内部前提下的现有工具的痛苦的时候,而且换档过程不弘扬。
“一旦您将应用程序云原住,您的IP地址正在更改每小时,并且您的用户可以访问绝大多数服务。这就是“云安全的”如何'的地方。他说,工具改变,方法变化和自动化变化水平,“
在最高级别,积极主动云中的未知威胁从云提供商正在帮助客户了解共享责任模型的高度努力,以便清楚提供者的责任以及责任是什么客户。
“数据清楚地表明,云相关的违规主要是云用户在其部分共享责任模型中摇摇欲坠的错误。为了解决这个问题,例如,有很多工作可以在共享架构蓝图周围完成,“他说。
虽然仍有工作要做,但Badhwar表示,有一些良好的开源工具,例如Netflix和Capital One'Scloud Cortodian的安全猴子。
“看到金融服务公司像资本一开始开放的采购方法和工具,令人耳目一新,这是一个很大的变化。因此,这是一种综合努力:具有经验,云提供商和媒体的行业供应商,“他说。
adbwar评论英国市场,贝希瓦尔说,只有几年前,唯一的云被谈论是AWS。“过去24个月的迷人是什么令人着迷的是,蔚蓝的突出者在英国以及谷歌云中有多兴趣。
“我们开始看到英国成为多罩。但是,这说,大多数安全团队仍然对云的基本理解。他们正试图快速调整云和云安全,他们试图利用他们带来的传统数据中心带来安全性以及他们构建的内容,“他说。
“我会说,全球市场来自云采用的角度,但我认为英国有很多追究了解展示云并支持规模所需的能力大多数组织现在拥抱的云。
“我印象最深刻的印象是英国金融服务似乎是我们在北美从云采用的立场看到的。我认为这里的金融服务公司在一些主要财务之中拥抱云。“
巴德瓦尔认为,英国金融部门领导的地方,相信其他部门将遵循。
“我认为很多人都在等待欧盟的GDPR [一般数据保护规范]对云平台的意思是哪些规定,但云提供商已经做好了拥抱那些并证明了他们的数据中心的全球化,”他说。
“云提供商正在支持欧洲的许多地区,没有借口不接受云的组织。我们谈论的每个组织都已完成或正在云转换中。“
如果组织从安全的角度搬到云的情况下,Badhwar表示他们应该确保尽快建立安全监护人。
“有许多参与云部署的利益相关者,其中许多人是第三方有助于迁移过程,但如果您不管理他们在云中所做的事情,您可能会发现您已经产生了很多安全性债务是因为建造了环境的人没有以你预期的方式建造它们,“他说。
Badhwar说,在每个人都消失后解决了这个。“但是如果您提前放置守护者,请不要让您的开发人员偏离,并以与云的方式相同的方式支付安全工具,前面没有重大投资以获得正确的安全可见性和工具。所以早期,而不是稍后。“
他说,搬到云是一个提高安全性的机会,因为它给了组织一个新的开始。
“在大多数Cisos [首席信息安全官员]在大多数这些组织中处理他们的前辈们的决定以及处理很难部署的工具以及甚至更加刷新时,甚至刷新,云提供商已经向我们提供了模型非常无缝地构建安全产品。
“因此,我们构建REDLOCK的方式是所有API [应用程序编程接口],因此这意味着为客户提供迅速和运行的速度,但它也意味着如果我们从现在开始使用12个月的需求可能不会继续与我们一起续签。
“所以它挑战我们不要在我们的桂冠上休息,因为我们已经卖给了你的东西,这将是非常努力的努力。它让我们掌握在我们的脚趾上,因为它使客户有机会在成熟时不断地评估市场,因为它更重要的是,如果他们觉得他们需要不同或走向不同的道路,那就给他们一个简单的按钮。
“云正在为开始新鲜,并确保供应商保持诚实的优势,为他们提供最佳[安全]控制和技术,”Badhwar说。