RSA2018大会中,云安全仍是重点议题。我们看到诸如容器安全和DevSecOps等新兴技术的蓬勃发展,我们需要思考如何优化混合云的安全管理和业务编排,以及如何通过云中的应急响应流程来保证云业务系统的安全。云计算安全不停往横向与纵向发展着,绿盟科技一刻不停的努力着……
RSA 2018大会如期召开,正如RSAC的口号“Where the world talks security”,城市的各个角落都弥漫着安全的味道,从街边广告到天空中飞机拉的条幅,从路边厂商雇佣的送棒棒糖的姑娘到三人组猫王,路上参会者三三两两地交流自己工作中遇到的安全管理、开发问题,使人感觉同时安全也许就是严肃科学和搞笑嬉皮的综合体。
回到主题,尽管本次大会的热点毫无疑问的落在了区块链、AI/ML这两个即便跨界专家也能侃侃而谈的话题,但云计算依然是一个重要的讨论方向。原因正如Gartner预测的那样:到2020年[1],没有云的战略的公司就像不接入互联网的公司那么稀少,到2019年,将有超过30%的公司的政策会从“云优先”(Cloud first)转向“只有云”(Cloud only)。所以不仅大公司部署自己的混合云基础设施,大量的中小企业也开始从本地(on-premise)向公有云迁移。
本文将从云计算的SaaS、PaaS和IaaS三部分谈一下自己的感受,以下内容仅代表个人观点,甚至不一定会有直接证据支持,请读者自行斟辩。
混合云的安全管理和业务编排
上云的趋势不可逆转,大公司原本部署了私有云,当继续将业务上公有云时,为了保证两个环境中的业务互通,必然会考虑混合云的解决方案。此时安全平台是否支持混合云的部署,不同环境中的安全策略是否能够保持一致,都是需要云安全厂商需要解决的问题。
本节创新沙盒决赛公司ShieldX(同时还是Gartner 2017年的Cool Vendor)提供了面向混合云的安全平台,并且提供可编排的安全功能,覆盖了如恶意软件检测、DLP、访问控制、微分段等功能,此外还兼容第三方安全厂商,提供更多的安全功能。
相关阅读:【RSA2018】创新沙盒 | ShiedX让多云环境免受于网络威胁
PaaS:转向CaaS安全/DevSecOps
当前PaaS应用平台已经转向基于容器技术的平台,容器已经成为了新的虚拟化技术,此外如容器编排也是实现复杂功能的支撑技术。然而,容器自身无论在计算、存储还是网络方面,都需要事先评估其安全性。
DevOps已经成为了敏捷开发的标准术语,将安全嵌入到DevOps的整个生命周期称为DevSecOps,该技术被Gartner列为2017年十大新技术之一。今年的Sandbox中有一家公司Layered Insight将安全agent注入到容器镜像中,对开发者和运维者都无感知地实现了安全功能的内置。此外,本次创新沙盒决赛公司StackRox支持在常见的共有容器云或容器环境中实现DevSecOps,感兴趣的读者可参考前几天发的创新沙盒决赛中对StackRox的介绍。
相关阅读:
【RSA2018】创新沙盒 | StackRox容器安全防护平台
【RSA2018】Future Ops——网络运维与安全运维趋向融合
云安全关键问题:业务系统安全
云计算作为基础设施,其上承载了多种业务系统,业务系统的安全是云计算安全优先要考虑的问题。
例如2017的创新沙盒决赛公司VeriFlow提供了混合云环境下的流量可视化方案,使得管理员能清楚地了解整个环境中流量情况,并可对网络流量进行细粒度的控制。
相关阅读:RSA2017创新沙盒入围公司技术速览
McAfee的虚拟化云安全平台可监控网络中的流量,并将流量中的元数据提取出来,经过关联分析,可将网络流映射到用户行为,进而针对业务模型分析网络用户存在的可疑行为,实现了云计算环境中的网络侧用户行为分析(UEBA)。
云安全业务实际化难题:缺乏可视度
当国内还在谈云等保2.0时,北美已经在考虑云计算环境中遇到的真实问题,如内部恶意攻击者在VPC中窃取数据,或破坏云中正常服务;或攻击者利用突发安全漏洞横扫对外的应用,并实施下一步的攻击。如何应对快速行动的攻击者,IBM Resillent System、Splunk Phantom(2016年创新沙盒获奖公司)通过事件处理单或自动化的剧本实现闭环、敏捷的弹性服务,快速隔离攻击者,并将系统恢复到正常状态。
随着云计算系统越来越多地投入使用,用户也开始考虑在云中的安全处置流程,但其挑战也很明显:缺乏可视度(Visibility),导致检查或排错都很困难。
云中的应急响应流程
来自SAN的David Shackleford在“Incident Response in the Cloud(云中的应急响应)”中介绍了如何进行应急响应。整个流程遵循NIST 800-61R2,包括准备、检测和分析、响应,以及事后行动。
- 准备阶段
需要收集足够的信息,并了解CSP的处置流程,从而对用户的处置流程心中有数。并建立日志收集机制,有些CSP提供该机制,如AWS的CloudTrail服务,但一些CSP是没有的;
- 检测和分析阶段
从各类日志中(CSP提供的日志、登陆日志、云服务的度量(CloudWatch)等)寻找异常,如活跃异常用户、新资源生效、跨区域活动等;
- 响应阶段
主要包括隔离和恢复,在AWS上可使用ThreatResponse套件进行响应。
- 事后行动
恢复后,应继续评估是否还存在风险,从而形成应急响应的闭环。
云计算安全发展之横向与纵向
总之,云计算安全的发展存在两个维度:
- 横向,从传统的IaaS、PaaS和SaaS安全扩展到容器(CaaS)安全和DevSecOps;
- 纵向,从传统的合规性要求,转向结果导向的应急响应、UEBA和NTA,加速这些新技术在云环境中的应用和发展。
绿盟科技云安全集中管理系统
最后,上面谈到安全业务的编排和安全业务实际化,应该要来一波硬广。RSA期间,绿盟科技发布了新一代NCSS(绿盟科技云安全集中管理系统)。该产品将绿盟科技数十款安全产品转化为安全服务,并通过图形化界面提供给客户。客户根据需求选择安全服务,以及根据业务变化快速调整安全服务,并由该产品的控制器模块自动化的完成服务部署和编排,帮助客户解决云计算环境所面临的安全风险。这与云安全发展趋势相吻合,让客户像使用云计算其他服务一样使用安全服务,充分体现了云计算按需、弹性和敏捷的特点。
[1] Gartner Says By 2020, a Corporate “No-Cloud” Policy Will Be as Rare as a “No-Internet” Policy Is Today, https://www.gartner.com/newsroom/id/3354117