安全工具泛濫正在阻礙企業(yè)的云應(yīng)用遷徙

作者：安全牛 2023-03-14 11:47:22

通過將數(shù)據(jù)和安全控制能力統(tǒng)一到一個(gè)完整的平臺，企業(yè)組織可以獲得更全面的云安全風(fēng)險(xiǎn)視圖，而不是由幾個(gè)孤立的工具提供的局部安全性視圖。通過整合工具，安全團(tuán)隊(duì)還可以自動(dòng)關(guān)聯(lián)并解決云應(yīng)用生命周期中最重要的安全問題，優(yōu)化提升防護(hù)資源的分配和效果。

近日，Palo Alto Networks公司發(fā)布了《2023年云原生安全狀況報(bào)告》。報(bào)告數(shù)據(jù)顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來構(gòu)建云應(yīng)用的整體安全性，其中有1/3的產(chǎn)品專門應(yīng)用于云安全。但這種復(fù)雜性并沒有帶來可靠的安全性，反而導(dǎo)致日常安全運(yùn)營問題不斷出現(xiàn)。報(bào)告指出，盡管有超過60%的受訪企業(yè)已經(jīng)使用了云服務(wù)3年以上時(shí)間，但云安全運(yùn)營維護(hù)的復(fù)雜性正在阻礙它們進(jìn)一步將數(shù)字化業(yè)務(wù)系統(tǒng)向云上遷移。

云安全的關(guān)鍵挑戰(zhàn)

在本次報(bào)告研究中，共對全球2500家企業(yè)的高級管理者進(jìn)行了調(diào)查，受訪高管們普遍認(rèn)為，他們對其組織目前的云安全狀況并不滿意，希望能夠進(jìn)一步提高對多云應(yīng)用的可見性以及對安全事件的調(diào)查和響應(yīng)能力。

有75%的受訪者表示，企業(yè)目前應(yīng)用了過多的單點(diǎn)式安全產(chǎn)品，這樣不僅容易造成安全防護(hù)的“盲點(diǎn)”，還影響了他們優(yōu)先考慮風(fēng)險(xiǎn)和預(yù)防云安全威脅的能力。但他們難以確定在這些安全工具中，哪些是必須的，哪些是無用的。

33%的公司使用多個(gè)廠商安全產(chǎn)品來保護(hù)云應(yīng)用

報(bào)告研究發(fā)現(xiàn)：只有約10%的受訪企業(yè)表示，能夠在云安全事件發(fā)生后的一小時(shí)內(nèi)發(fā)現(xiàn)、控制和解決威脅；68%的受訪企業(yè)表示，無法在一小時(shí)內(nèi)檢測到安全事件的發(fā)生；而在那些能夠做到這一點(diǎn)的企業(yè)中，近70%的企業(yè)無法在一小時(shí)內(nèi)有效做出響應(yīng)。

42%受訪企業(yè)的平均云安全修復(fù)時(shí)間在增加

通過調(diào)研分析，報(bào)告研究人員總結(jié)了當(dāng)前企業(yè)在實(shí)現(xiàn)全面云安全性過程中的主要挑戰(zhàn)：

跨團(tuán)隊(duì)的安全管理

目前企業(yè)通常采用云服務(wù)提供商和自身之間的責(zé)任共擔(dān)模式，但這是不夠的。企業(yè)還需要向內(nèi)看，消除安全團(tuán)隊(duì)和各業(yè)務(wù)部門之間的“孤島”，因?yàn)樗鼈冏璧K了貫穿開發(fā)、運(yùn)營和安全全周期的安全防護(hù)流程。

原生化安全能力嵌入

云計(jì)算應(yīng)用需要體系化的安全防護(hù)能力，因此要在云應(yīng)用程序開發(fā)使用的每個(gè)階段（從代碼研發(fā)到運(yùn)行時(shí)）嵌入合適的云安全解決方案。

云安全工具的正確使用

由于云保護(hù)需要面對“跨代碼、工作負(fù)載、身份、數(shù)據(jù)等以及跨多個(gè)執(zhí)行環(huán)境（如容器、無服務(wù)器和虛擬化平臺）的指數(shù)級云資產(chǎn)”，因此在不同階段選擇合適的工具非常關(guān)鍵，而理想的云安全解決方案應(yīng)該是全面的、及時(shí)的、可擴(kuò)展的。

安全漏洞可見性增強(qiáng)

在本次報(bào)告中，研究人員將云安全漏洞管理稱為“維護(hù)應(yīng)用程序安全的圣杯”。而要實(shí)現(xiàn)這一目標(biāo)，就意味著首先要能夠準(zhǔn)確掌握云的規(guī)模、運(yùn)行速度和靈活性，并在此基礎(chǔ)上通過近乎實(shí)時(shí)的威脅和漏洞檢測來提升云的安全性。

云安全建設(shè)的優(yōu)化建議

報(bào)告調(diào)研發(fā)現(xiàn)，近80%的受訪企業(yè)每周都要在實(shí)際生產(chǎn)環(huán)境中部署新的軟件代碼或進(jìn)行應(yīng)用版本更新，而有近40%的受訪企業(yè)每天都要在云上提交新的應(yīng)用系統(tǒng)代碼。因此，沒有企業(yè)能承擔(dān)忽視云工作負(fù)載安全性的后果。但隨著云應(yīng)用和擴(kuò)展的發(fā)展，企業(yè)組織需要采取更優(yōu)化的云安全防護(hù)方法，實(shí)現(xiàn)跨多云環(huán)境的應(yīng)用系統(tǒng)保護(hù)。

通過對調(diào)研數(shù)據(jù)的統(tǒng)計(jì)分析，研究人員總結(jié)了企業(yè)在選擇云安全防護(hù)方案時(shí)，最關(guān)鍵的一些考慮因素：

易于使用，便于管理；
具備較先進(jìn)的防護(hù)功能；
是否會對企業(yè)現(xiàn)有業(yè)務(wù)流程和工作效率構(gòu)成影響；
較熟悉的方案生產(chǎn)商或服務(wù)商，便于溝通、協(xié)作；
有競爭力的價(jià)格和合理的方案建設(shè)成本。

為了改善對云安全防護(hù)的薄弱態(tài)勢，安全專家建議企業(yè)組織應(yīng)該積極增強(qiáng)對云應(yīng)用異常或可疑行為的識別能力，提高云資產(chǎn)的可見性，同時(shí)由單點(diǎn)式工具部署轉(zhuǎn)向平臺化的方案構(gòu)建。具體建議還包括：

將安全能力原生化

報(bào)告認(rèn)為，企業(yè)應(yīng)該在云應(yīng)用的所有階段配置安全措施。這要求安全團(tuán)隊(duì)全面云中的應(yīng)用系統(tǒng)從開發(fā)到生產(chǎn)再到部署使用的整個(gè)過程，以便為安全能力找到影響性最小的嵌入點(diǎn)。組織可以從提高云安全漏洞的可見性和管理修復(fù)開始。此外，定期開展云容器安全掃描也是獲得開發(fā)團(tuán)隊(duì)認(rèn)可支持的重要第一步。

采用新一代威脅防護(hù)技術(shù)

部署先進(jìn)的威脅防護(hù)技術(shù)可以更有效地阻止零日攻擊，并在攻擊活動(dòng)真實(shí)發(fā)生時(shí)快速遏制橫向移動(dòng)。此外，企業(yè)應(yīng)該確保“最小權(quán)限訪問”策略的有效落實(shí)。Palo Alto安全專家建議，組織應(yīng)該為云上的關(guān)鍵任務(wù)應(yīng)用部署預(yù)防性的安全措施，減少可能出現(xiàn)的安全風(fēng)險(xiǎn)損失。

防止安全工具“蔓延”

不要在云環(huán)境中為某些特定的安全應(yīng)用使用多個(gè)甚至幾十個(gè)安全工具，這樣就會導(dǎo)致所謂的工具“蔓延”情況出現(xiàn)，使云安全團(tuán)隊(duì)日常運(yùn)維工作陷入困境，并造成安全可見性的不足。報(bào)告研究人員建議，企業(yè)組織應(yīng)該每兩到五年時(shí)間，就重新評估以此云安全策略的合理性與有效性，并重新設(shè)置云安全防護(hù)的目標(biāo)。