五个核心原则为混合云安全

如何构建一个混合云安全策略是有效的,可扩展的和可负担得起的。

云扩张已经成为大多数组织的事实。随着组织工作负载从本地数据中心转移到多个公共云平台,传统的边界防御边界模糊和溶解,创建云扩张和棘手的安全挑战。

保护这个新的无国界,混合云环境,你必须移动安全控制需要它们的地方,执行这些新工具和地面周围五个核心原则:统一访问管理、自动化、左移位,数据安全,零信任。

在这篇文章中,我们将总结并解释如何采用这些五项原则,我们在网络研讨会5大必备要素混合云安全。

原则1:创建一个统一的访问管理策略

在云计算中,传统的边界移动以外的企业数据中心,所以身份取代网络作为主要的信任边界。为此,一个统一的身份和访问管理(IAM)策略是确保云计算的关键。要实现这一点,你应该:

• 采用一个统一的身份策略以确保云身份不存在在不同的目录或身份验证系统
• 执行多因素身份验证(MFA)对所有访问,或至少,使用MFA特权帐户
• 使用自动化工具来监控云占不寻常的访问和实施最小特权

它是至关重要的,确保您的云账户由我中心系统跟踪和使用自动化工具,不断地扫描云账户未经授权的访问。为外部用户帐户访问基本身份验证是不够的,所以坚持MFA访问公共云。至少使用MFA特权帐户。

原则2:自动化配置和验证所有的云

“绝大多数的云安全事故源于客户的错误——远远超过从恶意的演员。”

在我多年的经验作为一个分析师和顾问企业,我发现绝大多数云安全事件源于客户配置错误或错误——远远超过来自恶意的演员。在云的世界里,让云配置正确编写安全代码一样重要。主要建议减少错误配置包括:

• 使用CSPM至少确保所有安全配置环境
• 使用一个统一的安全平台,收集数据在所有环境中,如成立一个风险管理平台

云安全自动化已经成为一个越来越重要的现代安全策略的一部分。它使组织能够减少所需的手动工作来管理他们的云环境中,同时也提高他们的安全态势和扩展能力。

这就是为什么我们看到的继续采用和发展自动化云安全的姿势像站得住脚的云安全管理(CSPM)工具。CSPM解决方案不仅仅是为了验证云运行时配置,但进化用来扫描IaC代码存储库和寻找身份和访问管理的挑战,如孤芳自赏帐号和角色。

原则3:采用DevSecOps和转移控制

“云安全不应该有自己的工具和过程分离的实体。团队应该统一在一个策略和使用工具,允许他们说同样的语言跨团队。”

安全团队和开发人员不讲同一种语言。当开发人员考虑云安全,他们考虑技术控制,开源产品Hashicorp起程拓殖和很酷的特性,可以使他们的原生云上运行的应用程序容器或Kubernetes。当安全团队思考控制,他们想知道风险,定性和定量。他们想知道控制,它们是如何监控和如何进行验证。

由于这些原因,它不是好的做法让云团队设计的安全控制。在安全团队接受现任DevSecOps实践,确保控制实现尽早开发管道。云安全不应该有自己的工具和过程分离的实体。团队应该统一在一个策略和使用工具,允许他们跨团队说同样的语言。“转变——左”你需要:

• 扫描你的错误配置的基础设施开发管道使用infrastructure-as-code (IaC)的安全工具,如Terrascan
• 规范你的基地在扫描的图像和一个独立的开发环境
• 改变你控制了你可以扩展到多个云通过抽象控件和执行之前部署到公共云平台

还值得注意的是工具整合

重要的是要使用尽可能少的工具来给你一个准确的衡量风险,和规范化跨多个本地和公共云环境危险因素。有新供应商在市场上扩散时公共云,灌装控制使用创新技术差距而主要参与者采取一种更谨慎。值得庆幸的是,情况已不再是这样。解决方案等成立一个可以保护本地和公共云的工作负载都给你一个一致的混合云安全平台。

原则4:加强数据安全

组织必须确保云数据通过加密所有数据在休息的时候。至少,你应该配置云服务提供商(CSP)的本地密钥管理系统使用customer-controlled主密钥。理想情况下,发行自己的主人加密密钥并持有本地硬件安全模块(HSM)或使用一个虚拟切削在公共云环境中。

主要对公共云数据安全最佳实践包括:

• 加密所有数据,但控制加密密钥
• 与云提供商的密钥管理系统集成
• 理想情况下,使用自己的HSM并持有钥匙本地或另一个云平台上

原则5:使用零信任统一的策略

零信任是一个过度使用的术语,但对我们来说这意味着零暗示所有的信任和完全的可视性user-entity行为post-authentication和在每个会话的生命周期。这是云计算的一个关键要求,但零信任的原则应该引入私有云环境。

受益完全从零信任:

• 采用零信任原则在公共和私有云环境中
• 逐步淘汰可信网络和“隐含信任”的想法
• 进行和零信任原则可以安全转换的驱动力,使您的应用程序更安全的跨混合云环境

结论

成功的混合云安全需要一个统一的方法。双峰它使技术债务和安全盲点在公共云的工作负载。安全领导人应该旨在消除安全问题之前部署共享基础设施,实施严格的标准在整个开发过程和在公共和私有云环境。

随着我们继续拥抱公共云是很必要的,我们发展我们的安全策略使用最好的技术尝试和测试安全操作,结合云技术的最佳安全实践。也很重要,巩固传统的孤立的工具,导致太多的控制,减缓你同时离开控制差距造成的缺乏统一的云覆盖。

与技术团队可以是一个挑战,但安全领导人必须接受过渡到进行和零信任原则。通过这五个关键原则为基础,你可以确保你的混合云应用程序更安全,更容易比在你的本地数据中心管理。

如果你正在寻找更多的信息关于上面的五个关键原则建议,请注意按需网络研讨会5大必备要素混合云安全。你也可以更多的了解站得住脚的云安全和注册一个免费试用今天。

(客人作者汤姆Croll从狮子鱼科技顾问的顾问站得住脚的。)