探索中国CIO人才现状 | 第四季调研报告
基于云架构下的企业安全能力成熟度演进六部曲
2017-10-19  来源:CISO发展中心

确实如下文所提到的一样,如果企业的业务在逐步地迁入并使用公有云中时,对任何一个CISO们来说都是非常头疼的事,不仅仅是因为云技术本身带来了新的安全威胁或风险,更为重要的是企业的安全使命和架构将发生越来越大的改变,当然这取决于业务的公有云广度和深度的情况(如:从最基础的IT 基础设施云化到以业务数据的全生态供应为基础的企业核心业务云化),下文提到的6个安全阶段是当前典型的基于云架构下的企业安全能力成熟度的演进路线,但其背后也在揭示企业在云化的演进道路中,需要我们CISO们去思考的三个重要挑战:

1、CISO们的职能定位有什么不同的转变?

2、如何能构建基于无边界的智能协同式安全架构?

3、安全收益如何能更好地被感知和认可?

——阿里巴巴商家事业部首席安全官邓二平

CISO发展中心理事

【CISO发展中心编译】企业组织倾向于完全遵照标准来保护基于云的业务,并将云和现有的安全控制集成起来。

图片1

我和我的同事Doug Cahill在过去的几年里一直在关注云安全的发展。我们注意到的是,许多组织在接受公有云服务的时候都会遵照一定的行为规律。依序可以分为以下6个阶段:

1. 抵制云阶段。在此阶段,CISO们抵制云计算,他们声称其业务在公有云中将得不到充分的保护。这种观念在发展较为缓慢和非常保守的公司仍然可以见到,但云计算已经在大多数的大型企业得到了应用。换句话说,对于CISO们来说,没有一个out条款,更确切地说,无论他们是否喜欢都必须弄清楚如何保护基于云的业务。

2. 用传统办法对付云安全阶段。当组织与公共云计算相融合时,安全团队倾向于使用与内部使用的相同的安全监控和执行工具来尝试和保护基于云的业务,如防火墙,代理,防病毒软件,网络分析等。根据ESG的2016年研究结果,92%的企业组织在一定程度上将其现有的安全工具用于云安全。

这里的问题是显而易见的:传统的安全技术是为物理设备、内部部署日志、以系统为中心的软件以及入口/出口网络流量设计的,而不是为公有云的特质而设计的。这种不匹配通常导致彻底的失败——所以,32%的企业已经放弃了传统的安全技术,因为它们无法有效地运用于云安全。

3. 云监控阶段。一旦企业超越了利用已有的安全手段进行云安全测试这个阶段后,他们就会认同之前的管理名句:即你无法管理你无法测量的东西。在此阶段,安全团队会部署监控工具,以便全面了解基于云的应用程序、数据和工作负载,以及所有基于云的资产之间的关系。这可能是很有帮助的,因为很少有组织对云中所运行的内容有明确、简洁和完整的了解。

4. 云安全发展阶段。拥有基于云的资产的全景图,智能安全团队可以确保每一步安全行动与云计算的所有者们——软件开发人员、DevOps人员和数据中心运营人员保持一致。目标是什么呢?就是协调安全技术与开发模型,配置和业务流程工具(如Chef和Puppet),这样安全性才可以跟上云计算的步伐和其动态的特性。

需要注意的是,这一阶段与纯粹的云安全监控和策略执行有一定的差距,但领先的组织声称,建立协作和安全最佳实践是有价值的。

5. 云安全控制阶段。接着,安全团队与云开发人员和运维人员一起将安全控制添加到配置和操作中。安全性倾向于从工作负载细分开始,然后转向更高级的控制(基于主机的安全性、威胁检测、欺骗等)。

值得注意的是,一些新出的云安全工具正将控制阶段和监视阶段桥接起来。它们监视云,配置所有资产,然后根据应用程序类型、数据敏感度或逻辑连接来建议相应的策略。这些工具真的能够帮助加速云安全策略管理。

6. 中央管理策略阶段。我们只是从先进的企业那里看到了这一点,但这可能是未来的一个迹象。一旦组织习惯了软件定义的云安全技术的灵活性和动态性,他们将转向:

1)聚合云安全工具。例如,他们可以选择一种工具(而不是两种专用工具)来进行微分割和基于主机的控制。这减少了复杂性,并提供了中心策略和控制。

2)用软件定义的工具代替传统工具。例如,我们已经看到有些企业放弃了数据中心内的传统防火墙,转而支持软件定义的微分割工具。这种策略可以节省数百万美元的资本成本,同时集中所有细分策略。我看过一些企业网络细分项目,其目标是使用软件定义的微分割来替代防火墙规则、基于交换机的ACL等。是不是很牛?的确如此,但成功的项目可以简化安全操作,节省大量的钱。

基于我们学到的内容,总结如下:

企业组织明智的做法是避免进入死胡同,并直接跳到第3阶段(云监控阶段)。这样可以免受数月的挫折感,而且可以帮助安全团队迅速与云计算的所有者们保持一致。对于技术提供商而言,目标应该是一个统一的云安全技术组合,并具有强大的企业级的中央管理能力。

参考来源:CSOonline   , 原文作者:Jon Oltsik