云安全要两厢情愿 跨界防护势在必行
什么事情都要两厢情愿才是最合适的,云安全也是,如果客户不把足够的权力开放出来让厂商来保护,固步自封谁也救不了自己,而厂商要是没有足够全面的布局,同样无法对用户数据形成有力的防护。
(图片来自empresa-journal)
上云安全风险凸显
对于企业CIO来说,云安全依然是重大挑战。不过,企业CIO对企业所采用的云应用数量并不了解。当被问及这一问题时,大多数受访者认为自身企业所采用的云应用数量最多为40个,但企业的实际应用数量已接近1000个。这种认知上的差距,可能会令员工在未采取足够政策和流程的情况下使用云端技术,增加使用云端应用程序的风险。
此外,随着将关键基础架构、应用及云主机迁移至云中,企业在规模、简便性、成本和性能方面获得巨大的优势。然而,云部署同样为企业带来诸多风险,由于缺乏适当的IT监督或安全管控,进而导致数据丢失、泄露及违反合规的风险。
数据随云而动易泄露
要知道在当今企业环境中,绝大部分的网络流量都流向了云端及互联网。无论企业用户们身处何处或采用何种设备,他们都需要直接且无中断地访问云端资源,以提高工作效率。IT部门需要采取一种简单、经济且高效的方法来确保员工能够安全的访问各项资源,同时不会危及企业的一切云端和互联网目的地。
复杂环境防护困难
云与本地、多云之间的混合业务部署为安全防范增加了复杂性。例如,不同SaaS应用在访问控制、数据控制、用户行为和数据加密等方面存在较大差异,且这一问题仍未解决。一份报告显示,有接近半数的企业用户缺乏对云基础设施安全性的控制和可视性,由此引发了担忧。
专注于应用程序的已知良好行为的概念也曾尝试落地,但挑战始终在于无法全面理解应用程序。一些解决方案已经在客户机中安装代理来完成这一任务,但基于代理的解决方案在增加复杂性的同时吸引力有限,如果恶意攻击者获得root权限(它提供了对主机的完全控制),便可以完全绕过代理。此外,随着应用程序变得更加分布式,安全性也需要向分布式转变。将东西向流量导流到硬件设备或虚拟实例中进行检查是不切实际的。
传统边界已经消失
考虑到SaaS、PaaS、IaaS等层面的云技术正在改变人们的工作方式,传统的网络边界正在逐渐消失,零信任方法的重要性也因此日渐凸显,这种方法不再一味地强调基于边界的安全性,而是致力于为员工提供更加安全的访问,无论他们位于何处或采用何种设备。
云时代安全要全局看
由此,全新的云访问安全解决方案应该是其集成式网络防御平台的一部分,用以支持企业统一实施零信任安全策略,从而确保用户能够安全地访问SaaS应用、IaaS环境中的企业应用、基于云的电子邮件和互联网。零信任访问安全解决方案只允许授权用户访问其完成任务所需的网络和云资源,并严格执行数据安全和威胁防御策略。因此,它能够在企业迁移到云端之际,为其提供有效的安全保障。
换句话说,无论用户处在私有云、公有云还是混合云的环境,企业应该打破其间的壁垒,例如在访问控制之外,该解决方案还提供独特的可视性和内容扫描功能,允许企业对发送到云和Web目的地的信息统一实施DLP策略,并对下载内容进行威胁检查。对于用户来说,可以通过任何设备对公有云应用进行实时且在线地安全控制。另外,还要使企业拥有追踪更多风险因素的能力,并通过集成式全新API接口扫描云中应用和套件库。
而在IaaS层面,安全工具应该可通过实施信息安全策略,检查上传或下载到IaaS和其他环境中的企业应用内容,并结合杀毒和沙盒技术增强威胁防御。举个例子,安全厂商的服务应该可以借助借助软件定义边界的方法提供一种简单的访问保护解决方案,只允许用户访问经过授权的特定企业应用和资源,且无论它们部署在何处。
结语
无论用户处在怎样的云环境,都应该获得应有的安全保障,而如何做到这一点?既需要用户给予足够的信任开放权限,也要厂商要打破传统网络边界,提供从云到端的安全防护措施。
来源:中关村在线