Infosec的领导者通常对他们为保护组织而建立的基础设施感到自豪。但是最近在多伦多的一个云安全会议上,几位专家一致认为这是加拿大采用公共云的最大障碍之一。
VMware云专家Adam Osterholt在趋势微云大会上表示:“客户试图进入云计算,并将他们在prem上使用的所有流程和技术都拖进来。”
“我无法告诉你,我与客户进行了多少次讨论,他们最初想把这些工作负载转移到云上,但所有的流量都回到了安全基础设施上。”
他说,许多人没有看到云提供的安全优势,比如实现实例级安全的能力。“如果你一开始就不好好利用这一点,你就真的错过了很多价值。”
一个星期六的早上,一位惊慌失措的顾客打电话给Brett Gillett:刚刚收到的月账单……
对于资源比企业少的中小型企业来说,“云是伟大的均衡器,”云安全联盟加拿大分会主席、渥太华Trustsec咨询服务公司首席执行官Matt Hoerig表示赞同。在云计算中,较小的组织可以购买一种计量安全模型,为它们提供企业级的保护。
微软加拿大技术中心的解决方案销售主管Gladstone Grant说,一个好的云提供商仍然要与客户密切合作,以确保他们理解安全是一个共同的责任。
但他也表示,为云开发应用程序的组织必须加强其应用程序开发的安全性。这可能意味着采用DevSecOps流程,其中安全性被嵌入到代码开发的每个步骤中。
企业战略集团(Enterprise Strategy Group)网络安全高级分析师道格•卡希尔(Doug Cahill)在另一场会议上呼应了这一抱怨,即开始转向云计算的组织的infosec领导人仍然受制于on-prem安全。
”我听到很多来自客户的事情之一是缺乏一个网络挖掘:“我想插入我的下一代防火墙、代理,我的网络id…的云服务提供商也在公共云环境中,但在一个不同的方式,workload-centric。例如,对于防火墙,可能存在基于主机级别的网络安全组,或者存在基于主机的入侵检测。”
卡希尔说,另一个问题是IT相信云基础设施是不可变的——它是有弹性的,是随需应变的,是自动伸缩的,所以打补丁应该不成问题。但是,他说,在云环境中,补丁无法在生产应用程序中完成。它必须更新工作负载的最终配置,然后将其重新投入生产。
临时的解决方案可以是“虚拟补丁”,在应用程序更新之前,通过基于主机的入侵检测系统监视网络行为,以发现可能的漏洞。
在一次采访中,卡希尔说,新加入公共云的人最大的问题之一是没有意识到有一个共同的责任:云提供商通常负责物理数据中心安全、物理网络安全和虚拟机监控程序安全。客户负责数据、应用程序和操作系统安全,以及身份和访问管理。
所以,例如,如果顾客注册基础设施即服务(IaaS),它必须首先控制所需的用户帐户数量/创建,然后了解服务提供者将使用- api将访问,什么工作负载运行。这定义了攻击面。有了这些知识,infosec团队可以应用安全控制(如访问管理)来降低风险。
区块链在云安全方面可能扮演的角色在另一次会议上由达乌德·汗(Dawood Khan)提出,他是企业区块链解决方案开发公司Capital区块链Inc.的联合创始人,也是TransformationWorxs的创始人,该公司帮助企业了解技术。
作为一个云中的分布式数据库,区块链“改变了企业的运营方式、他们的政策、他们的政策、他们提供服务的方式、他们为这些服务收费的方式、以及客户付款的方式。”
例如,他提到了一家初创公司,该公司收取一定的费用,获取一个组织的个人信息,然后将这些信息分解、加密并存储在参与者的电脑上。当用户需要数据时,服务会重新组装数据。
虽然区块链可以以多种方式用于身份验证和数据存储,但Khan在一次采访中承认,它并不是所有安全问题的解决方案。但他认为,对于存储的数据(这增加了数据泄露的风险)和审计交易来说,这是理想的选择。