開發雲端資安架構的重要概念
雲端資安架構應該基於雲端資安最佳實踐,理解和實施這些最佳實踐需要對雲端資安概念有基本的了解。 在開發雲端資安架構之前需要掌握的兩個最重要的概念是雲端共享責任模型和零信任安全原則。
在 AWS 或 Azure 等平台上租賃雲端基礎架構時,雲端供應商並未完全負責保護客戶的雲端部署。 根據所使用的服務,雲端客戶對其安全性的某些組成部分負責。 了解雲端共享責任模型以及雲端客戶在該模型下的安全責任對於開發充分解決這些責任的雲端資安架構至關重要。
傳統上,組織採用以外圍為中心的網路安全模型。 基於所有威脅都源自於網路外部且網路內部的每個人都是「可信賴」的假設,該模型試圖透過監視和過濾流經網路邊界的所有流量來保護組織的資源。
在雲端中,組織的基礎設施位於傳統邊界之外,因此該模型存在許多缺點。 零信任安全模型採用更精細的存取管理方法,限制使用者的存取權限,僅限制執行工作所需的資源。 在這方面,零信任安全模型是最佳選擇。 組織的雲端資安架構的設計不僅應該支援而且要強制執行零信任強制執行的基於角色的存取控制。
雲端資安架構的核心原則
雲端資安架構應包含有效保護基於雲端的資源免受網路威脅所需的所有工具、策略和流程。
AWS 等雲端供應商通常會提供針對其特定平台的建議。
然而,最近的報告顯示,大多數組織將使用兩個或更多雲端提供者。 因此,這些多雲組織需要開發一個能夠保護所有基於雲端的資源的雲端資安架構。
雲端資安架構需要納入某些核心原則:
- 設計安全:設計安全性涉及設計雲端架構來實施無法被錯誤配置的安全性策略繞過的保護。 例如,如果某個特定資源(如資料庫)不應該從公共 Internet 訪問,那麼它與公共 Internet 之間不應存在任何網路連結。
- 網路週邊安全:在共享責任模式下,客戶負責保護進出其基於雲端的資源的流量。 這需要保護客戶的公司網路、基於雲端的部署和公共互聯網之間的連接點。
- 分段:取得網路存取權限後,網路犯罪分子通常會橫向移動以攻擊其他電腦。 分段將網路分成孤立的區塊,限制橫向移動的可能性,從而減少安全漏洞的影響。
- 敏捷性:雲端的主要優點之一是它使組織能夠快速開發和部署新的解決方案。 雲端資安架構應確保安全性不會抑制敏捷性或在滿足發布截止日期的競爭中迷失方向。 其中一個重要組成部分是利用雲端原生安全解決方案。
- 自動化:自動化可以快速配置和更新安全控制和配置,並能夠快速偵測和回應基於雲端的基礎設施的潛在威脅。
- 雲端合規性:隨著 GDPR、CCPA、CMMC 等新法律的通過並生效,大多數組織都受到快速擴大的監管環境的影響。 由於資料和流程受到這些法律的保護並託管在基於雲端的基礎架構上,組織需要能夠有效管理雲端中合規責任的解決方案。
- 可見性:由於大多數組織都採用多雲部署,且傳統安全解決方案在雲端環境中通常無效,因此雲端可見性變得複雜。 雲端資安架構策略應包括用於維護組織整個基於雲端的基礎設施的可見性的工具和流程。
- 無邊界: 93% 的企業擁有多雲端策略,並且整合到雲端產品中的安全解決方案和配置設定因雲端供應商而異。 雲端資安架構必須考慮組織正在運行的各種雲端環境。
- 統一管理:組織的安全團隊經常缺乏人力,網絡威脅環境和企業攻擊表面的越來越複雜,使組織難以跟上其組織面臨的網絡威脅。 為了最大限度地提高企業安全團隊的效率,雲端資安解決方案應該提供統一的管理解決方案,使他們能夠集中管理保護其基於雲端的基礎設施所需的多個雲端資安解決方案。