企业上云的关键安全问题和应对之道

现在企业都希望可以通过云的能力,来提升自己的业务能力,artner预测:到2025年,将有85%的企业和组织采用云优先原则,云计算已经成为企业和组织IT战略的一部分,企业对于上云已经不陌生。

在企业上云过程中,如果不能保证安全和可靠,那往往会带来无尽的隐患。一个错误配置的服务器可能会给你的公司带来财务或声誉损失,这需要几年的时间才能挽回。虽然这个过程充满挑战,我们依然有信心去安全的完成云迁移,首先我们需要认识到几个最关键的云安全挑战,并制定合理的策略来把风险降到最低。

今天我们一块来了解5个最紧迫的云安全挑战及其应对之道。

云迁移安全

企业上云的关键安全问题和应对之道

据Gartner称,到2022年,向云计算的转变将产生大约1.3万亿美元的IT开支。现在,绝大多数企业工作负载都运行在公共、私有或混合云环境中。

然后,盲目的迁移是充满危险的,会是整个企业的关键资产都处于潜在的威胁之中,那么为了应对云迁移过程中的风险,我们应该按一下的思路来应对:

  1. 合理的划分迁移阶段。云迁移最大的禁忌就是“大跃进”式的做法,我们在迁移之前应当合理的规划企业业务,指定逐步迁移的策略,先迁移一些非关键业务,通过这部分业务的迁移提升整个IT团队对云的适应度,之后再逐步的把核心业务迁移上云。
  2. 保证业务连续性。迁移的过程要保证原有业务和原有数据的连续和一致,这就需要在迁移的同时合理规划一套保障体系,灰度发布、流量管理可以很好的应对这个问题。
  3. 深入理解云供应商。云供应商都有着自己的安全实践,但是并不是他们提供的安全实践,就是最好的安全实践,要避免完全信任,深入研究责任边界、安全机制,建立自主把控能力。
  4. 建立持续云上安全检测机制。对已经上云的资源,要采取持续的安全合规检测,对云上使用资源持续发现问题,第一时间更正,一些重点企业更要保证云上资源是持续合规的。

云上配置安全

企业上云的关键安全问题和应对之道

对于云安全来说,安全产品和安全体系已经相对成熟,对于各个环节的安全能力都会有对应的产品提供支持。但是对于云上各种部分的使用配置,确实安全管理中最容易出问题的一个环节。一个错误的配置,往往可以是整个安全体系的努力付诸东流。

对于云上配置的安全管理,我们需要做到:

  1. 持续管理,我们需要定期,实时的去检测整个云上全部用户资源的配置正确性,及时发现问题。
  2. 快速通知,通知安全管理人员和资源关联者发现的问题所在,要求他们快速处理。
  3. 准确建议,根据检测的结果,给出修复的建议,让使用者可以依照已经快速解决问题。

身份和访问管理安全

企业上云的关键安全问题和应对之道

有效管理和定义各种网络用户的角色、特权和责任是维护强大安全性的重要目标。这意味着在适当的上下文中向适当的用户授予对适当资产的适当访问权限。

随着企业中员工的不断流动和角色的变化,对其进行身份和访问管理也变成了一个大工程,特别是在云环境中,数据可以从任何地方访问。幸运的是,技术提高了我们跟踪、调整角色和最小化风险的方式实施政策的能力。

今天的企业并不缺少用于身份和访问管理的端到端解决方案。然而,重要的是要明白,光靠这些工具并不能解决问题。人类的产品管理永远无法提供完美的产品管理保护。为了帮助支持智能身份和访问管理,必须采用分层和主动的方法来管理和减轻不可避免地出现的安全漏洞。

通过只允许执行任务所需的最小访问量来实践最小特权原则等,将大大增强云上的安全态势。

开源软件安全

企业上云的关键安全问题和应对之道

开源软件的发展得益于互联网技术的发展,随着云计算、移动互联网的发展,OpenStack、k8s、Ceph等开源技术纷至沓来。这些开源项目催生了ASF、OIF、CNCF等基金会,致力于开源项目的孵化和运营。随着开源软件托管和协助平台的普及,开源全球化协作和共创的沟通成本急剧下降,开源项目数量持续提升,据测算,2026年全球开源项目数量将超过3亿。

开源软件安全风险主要包括安全漏洞风险和供应链风险。软件都是人写的,而人都会犯错,开源软件中必然存在bug,存在安全性或功能性漏洞。开源软件涉及源代码共享,很多配置信息中会涉及账号密码等敏感信息,如果不对代码进行审核检查,可能会造成大量敏感信息与数据随着代码的共享而泄露。

在今后的企业中,尤其是使用云技术的企业,对内部开源软件的管理是必不可少的,通过建立统一的管理中心。企业可以构建内部SBOM中心,建立SBOM自动检测和持续管理能力,从源代码、镜像、软件制品等多个维度出发,全面的提升开源安全和软件供应链安全管理,让企业使用到的软件都是安全和可靠的。

API安全

企业上云的关键安全问题和应对之道

API是成功实现云集成和互操作性的关键。然而,不安全的API也是对云安全性的最重大威胁之一。威胁者可以利用开放的通信渠道,并通过破坏API来窃取有价值的私人数据。这种情况多久发生一次?考虑一下这一点:Gartner预测,到2022年,不安全的API将成为最常用于目标企业应用程序数据的载体。

随着API变得越来越重要,入侵者将继续使用诸如利用身份验证不足或在开放源代码中植入漏洞之类的策略,从而造成破坏性供应链危害的可能性。为了最大程度地减少这种情况的发生,开发人员应在设计API时考虑适当的身份验证和访问控制,并寻求在企业安全环境中保持尽可能多的可见性。这将允许快速识别和补救此类API风险。

云安全的启示:

只要您了解、预见并解决迁移和运营带来的最重大挑战,云安全就是可以实现的。合理的规划、建设和支持,一步步的构建企业云上安全能力,这是确保组织顺利向云上迁移的有力保障。

关于HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式对云原生环境进行全面安全检测。我们以混合云安全合规基础,帮用户实现云上持续性合规管理,同时支持K8S容器云安全检测和上层的软件安全检测。

企业上云的关键安全问题和应对之道

发表评论

相关文章