Jeff Moncrief - 2018年11月6日
在过去的3-5年中,公共云基础架构产品市场发生了重大变化。随着这种变化的发生,我们作为信息安全工作者也必须从根本上改变我们对这些新服务如何作为一个新的可能变量被开发,运用到构筑未来的公共云基础措施的新景观的观点和看法。
作为一名每天都与许多顾客交流的售前安全工程师,我一直都都全身心的投入到客户们的公共云策略中。其中有很多历史遗留的工作涉及到公共云相对比较崭新的领域,需要结合公共云的新变化来完成。因此,顾客们希望能通过测试和实验,对这些工作领域加以保护。
无论一个组织是从最基础的本地云,还是在转换到公共云过程中的某个地方,他们都必须认识到基础架构格局已经从传统的内部数据中心发生了巨大变化。这种变化包括安全性。从短短几年前开始,即使是公共云功能本身也从有服务器到无服务器和容器化的微服务发生了巨大的变化。
在当今所有主要提供商的公共云大环境中,InfoSec团队必须意识到他们需要保护的云资产已经远远超出了由各自云提供商托管的传统虚拟机。引入时间点按需计算、无服务器数据库、机器学习服务、面向公众的存储桶以及像Kubernetes这样的弹性容器化环境已经引入了大量新的可被攻击点,如果没有正确的保护措施,可能会全部被用作客户云环境的载体。
将公共云提供商提供的无服务器功能扩展与DevOps的发展文化转变以及Shadow IT的崛起相结合,组织面临的风险非常明显。他们的关注点不仅应该是他们所知道的云工作负载,还应该是他们完全视而不见的云工作负载。
攻击者通过面向公众的应用程序漏洞或外围防火墙间隙进入网络的传统观念必须转变为许多服务和入口点进入组织的公共云网络。现在,InfoSec团队必须将注意力集中在非传统的攻击媒介上,例如:受损的API访问密钥、弱权限的文件存储桶、扩展的凭证访问表面区域、或者可以轻松暴露给Internet的数十种公共云独特服务之一没有防火墙或ACL来保护他们免受敌人攻击。公共云中的Kubernetes集群可以很容易地从几个节点的可能易受攻击的表面区域(每个节点都有几个)扩展到具有数百或数千个面向互联网的容器的大型集群,只需几分钟。
如果组织希望有机会保护这个快速扩展的公共云环境,那么他们必须对底层基础设施具有可见性。您不能依靠代理或人工的监督来确保工作负载和资产被核算和担保。虚拟机蔓延、无服务器计算应用程序以及DevOps/Shadow IT的表面区域决定了组织别无选择,只能利用公共云的底层网络基础设施作为万能安全传感器网格。如果一个组织能够确保他们能够看到所有内容,并且消除所有可能的盲点,尽管具有规定的格局,那么他们可以看到、保护和监视云环境中的所有东西。
但是怎么做呢?这就是思科Stealthwatch Cloud 在为组织提供这个必不可少的全面可见性层方面发挥不可或缺的作用的地方。该解决方案利用无代理API集成和云本地网络流日志摄取,来提供在任何公共云环境或服务(无论是服务器、无服务器还是容器)中发生的每个事务的完整记录。Stealthwatch Cloud生成每个已知或未知的云实体的深入取证历史,了解每个云实体的已知良好行为,然后就数百个可能使组织面临违约风险的折衷或策略违反的指标发出警报。
原创翻译,若有不妥敬请指正
