一個(gè)基于多云的企業(yè)該如何進(jìn)行安全控制

AppsFlyer每天會(huì)通過(guò)多個(gè)云托管服務(wù)來(lái)處理其80TB的數(shù)據(jù)。它通過(guò)密切關(guān)注身份治理和訪問(wèn)控制擴(kuò)展了它的安全需求。

CISO們所面臨的大網(wǎng)絡(luò)安全挑戰(zhàn)之一是，當(dāng)他們的組織將工作負(fù)載轉(zhuǎn)移到云上時(shí)，該如何維護(hù)數(shù)據(jù)保護(hù)和隱私。特別是，他們?cè)撊绾卧诩冊(cè)骗h(huán)境中管理安全控制?

由于新冠病毒疫情的大流行以及隨之而來(lái)的向在家辦公模式的轉(zhuǎn)變，在組織向云服務(wù)遷移的背景下，這一點(diǎn)將變得更加重要。正如研究公司IDC在2020年10月的一份報(bào)告中指出的那樣，這一流行病“已在很大程度上被證明了是云采用以及云擴(kuò)展的加速器，并將繼續(xù)推動(dòng)向以云為中心的IT的更快轉(zhuǎn)變。”

IDC預(yù)測(cè)，到2024年，全球在云服務(wù)、支撐云服務(wù)的硬件和軟件組件，以及圍繞云服務(wù)的專(zhuān)業(yè)和管理服務(wù)機(jī)會(huì)上的支出將超過(guò)1萬(wàn)億美元，并保持16%的兩位數(shù)復(fù)合年增長(zhǎng)率。

在可預(yù)見(jiàn)的未來(lái)，各種形式的云將在整個(gè)IT行業(yè)發(fā)揮越來(lái)越大的作用，甚至是占據(jù)主導(dǎo)地位，IDC全球研究部的集團(tuán)副總裁Richard Villars表示。到2021年底，大多數(shù)企業(yè)都將建立一種機(jī)制，以加快向以云為中心的數(shù)字基礎(chǔ)設(shè)施和應(yīng)用服務(wù)的轉(zhuǎn)變，他說(shuō)。

鑒于云服務(wù)的重要性在與日俱增，企業(yè)需要弄清楚該如何在這種不斷變化的環(huán)境中有效地保持高水平的安全性。

移動(dòng)營(yíng)銷(xiāo)分析和歸因平臺(tái)提供商AppsFlyer提供了一個(gè)很好的例子來(lái)說(shuō)明該如何做到這一點(diǎn)。

在大型多云環(huán)境中擴(kuò)展安全性

該公司的IT環(huán)境是100%云原生的，沒(méi)有本地服務(wù)器。其平臺(tái)使用包括了AWS、Google Cloud、Microsoft Azure和阿里云在內(nèi)的提供商的多種云服務(wù)。其云環(huán)境覆蓋了五個(gè)國(guó)家，擁有15000多臺(tái)服務(wù)器，每天需要處理超過(guò)80TB的數(shù)據(jù)。AppsFlyer是美國(guó)以外大的AWS部署公司之一，擁有數(shù)以萬(wàn)計(jì)的資源。

“由于AppsFlyer是一家基于云的公司，我們所面臨的大威脅和擔(dān)憂就是如何擴(kuò)展安全性，以管理和驗(yàn)證我們環(huán)境中的所有不同組件，包括身份、基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)和周?chē)囊磺校?rdquo;Guy Flechter說(shuō)，他在公司擔(dān)任CISO，直到最近才離開(kāi)為一家初創(chuàng)公司工作。

“這一點(diǎn)很重要，因?yàn)槲覀冃枰軌蛑С纸M織內(nèi)的所有安全需求，包括工程團(tuán)隊(duì)和DevOps團(tuán)隊(duì)，等等，”Flechter說(shuō)。“如果我們無(wú)法擴(kuò)展我們的安全性，我們最終將被迫告訴我們組織內(nèi)的一些團(tuán)隊(duì)，我們無(wú)法支持某些計(jì)劃。”

身份治理和訪問(wèn)權(quán)限是優(yōu)先事項(xiàng)

AppsFlyer的安全團(tuán)隊(duì)將身份治理和訪問(wèn)權(quán)限管理作為了2020年的優(yōu)先事項(xiàng)。對(duì)于開(kāi)發(fā)人員、DevOps和數(shù)據(jù)科學(xué)家來(lái)說(shuō)，目標(biāo)是確保實(shí)施最小權(quán)限訪問(wèn)，并且其策略能夠適合每個(gè)用戶(hù)的配置文件。

然而，在大型云環(huán)境中很難管理訪問(wèn)權(quán)限的使用。此外，AppsFlyer還希望能夠?qū)徍耸谟杌A(chǔ)架構(gòu)的所有訪問(wèn)權(quán)限，以限制對(duì)重要資源的高風(fēng)險(xiǎn)訪問(wèn)，強(qiáng)化環(huán)境，并刪除未使用的用戶(hù)、角色和權(quán)限。

大的挑戰(zhàn)之一是提供可見(jiàn)性，因?yàn)樵浦杏刑嗟囊苿?dòng)部件，很容易就啟動(dòng)更多的資源和基礎(chǔ)設(shè)施，F(xiàn)lechter說(shuō)。“例如，開(kāi)發(fā)人員可以添加新的實(shí)例和存儲(chǔ)桶，以及分配不同的訪問(wèn)權(quán)限和權(quán)利，”他說(shuō)。

為了應(yīng)對(duì)各種挑戰(zhàn)，AppsFlyer部署了一個(gè)來(lái)自Ermetic的權(quán)限管理系統(tǒng)。“在我們選擇Ermetic之前，我們根據(jù)安全需求對(duì)云基礎(chǔ)架構(gòu)授權(quán)管理產(chǎn)品進(jìn)行非常全面的評(píng)估，”Flechter說(shuō)。“該產(chǎn)品需要支持多個(gè)云提供商。我們希望該解決方案能夠支持運(yùn)營(yíng)，而不僅僅是提供可見(jiàn)性。它需要幫助我們彌補(bǔ)安全漏洞。最后，我們還希望能夠從工具內(nèi)部修復(fù)問(wèn)題，并與其他自動(dòng)化工具進(jìn)行集成。”

“我認(rèn)為安全工具只有在能夠同時(shí)支持運(yùn)營(yíng)流程的情況下才是有效的，”Flechter說(shuō)。“如果它只提供了良好的可視性，那么它就只是一個(gè)不錯(cuò)的儀表板。還需要平臺(tái)提供所需的操作能力，以支持根據(jù)其提供的可見(jiàn)性來(lái)執(zhí)行活動(dòng)。”

AppsFlyer開(kāi)始時(shí)是逐步將該平臺(tái)推廣到其不同的云環(huán)境中的，一次一個(gè)。連接到每個(gè)云平臺(tái)都很容易，因?yàn)樗鼈兌贾С諥PI集成來(lái)獲得讀取權(quán)限，F(xiàn)lechter說(shuō)。每次連接只需要不到15分鐘。

“一旦我們開(kāi)始從Ermetic中獲取了數(shù)據(jù)，我們馬上就發(fā)現(xiàn)了我們環(huán)境中的安全漏洞，并開(kāi)始修復(fù)這些漏洞，”Flechter說(shuō)。該平臺(tái)不需要任何微調(diào)就能開(kāi)始發(fā)現(xiàn)風(fēng)險(xiǎn)，他說(shuō)。

該系統(tǒng)可以根據(jù)資產(chǎn)的敏感性和風(fēng)險(xiǎn)，對(duì)需要首先解決的問(wèn)題進(jìn)行優(yōu)先排序。一個(gè)例子是訪問(wèn)一個(gè)對(duì)外界開(kāi)放的AWS S3 bucket。bucket是AWS的Simple Storage Service產(chǎn)品中所提供的公共云存儲(chǔ)資源“它將被標(biāo)記為更高優(yōu)先級(jí)的過(guò)度許可，即使該許可本身不是特權(quán)或行政許可的，”Flechter說(shuō)。

AppsFlyer安全團(tuán)隊(duì)會(huì)使用該平臺(tái)審核所有第三方對(duì)其環(huán)境的訪問(wèn)，并刪除所有不再使用的SaaS應(yīng)用程序，包括一些安全和優(yōu)化工具。該團(tuán)隊(duì)還審查了有權(quán)訪問(wèn)敏感數(shù)據(jù)的應(yīng)用程序，并刪除了不必要的權(quán)限。

構(gòu)建完整的云安全產(chǎn)品組合

授權(quán)管理系統(tǒng)只是AppsFlyer安全計(jì)劃的一個(gè)組成部分。該公司還在使用來(lái)自Broadcom的Symantec Secure Access Cloud來(lái)對(duì)AWS中的資源進(jìn)行身份驗(yàn)證和授權(quán)。“它使我們能夠保持安全和細(xì)粒度的訪問(wèn)管理，使用軟件定義的邊界來(lái)執(zhí)行零信任原則，”Flechter說(shuō)。

AppsFlyer還使用了Rezilion提供的云工作負(fù)載保護(hù)工具，使公司能夠縮小攻擊面，防范惡意活動(dòng);而Salt Security API保護(hù)平臺(tái)則可以保護(hù)連接到AppsFlyer云資源的API，并阻止試圖操縱公司云服務(wù)API的攻擊;還有Amazon的威脅檢測(cè)工具GuardDuty。GuardDuty可以持續(xù)監(jiān)視惡意活動(dòng)和未經(jīng)授權(quán)的行為，以保護(hù)AWS中所存儲(chǔ)的帳戶(hù)、工作負(fù)載和數(shù)據(jù)。

隨著安全技術(shù)組合的到位，AppsFlyer現(xiàn)在可以在不同的帳戶(hù)和不同的云提供商之間全面了解其云環(huán)境，這在以前是沒(méi)有的。“我們也有能力自動(dòng)修復(fù)安全漏洞，并繼續(xù)擴(kuò)展到其他領(lǐng)域，如事件響應(yīng)，”Flechter說(shuō)。

修復(fù)云安全的盲點(diǎn)

該公司也可以更經(jīng)濟(jì)高效地識(shí)別和修復(fù)云安全盲點(diǎn)，F(xiàn)lechter說(shuō)。“我們可以滿懷信心地知道，在每一個(gè)云環(huán)境中，我們的風(fēng)險(xiǎn)到底在哪里，需要解決哪些問(wèn)題，而且我們已經(jīng)擁有了哪些解決這些問(wèn)題所需的自動(dòng)化，”他說(shuō)。“我們可以深入到一個(gè)特定的環(huán)境，但事實(shí)上，我們也可以在一個(gè)地方看到所有四個(gè)云環(huán)境的全局視圖，這對(duì)我們來(lái)說(shuō)是非常寶貴的。”

大的好處之一是AppsFlyer現(xiàn)在對(duì)身份和權(quán)限有了更深入的了解。“我們可以立即查明未使用的權(quán)限，并將其刪除，”Flechter說(shuō)。“這使我們能夠以自動(dòng)化的方式持續(xù)地實(shí)施零信任訪問(wèn)。我們的安全態(tài)勢(shì)管理比以前好多了。”

新聞名稱(chēng)：一個(gè)基于多云的企業(yè)該如何進(jìn)行安全控制
轉(zhuǎn)載源于：http://www.muchs.cn/news24/201024.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、軟件開(kāi)發(fā)、外貿(mào)網(wǎng)站建設(shè)、動(dòng)態(tài)網(wǎng)站、網(wǎng)站排名、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)