本文要點
- 利用雲供應商的一些服務產品,並且要認識到安全性的基本要素依然是不變的,包括網絡隔離、補丁和更新、監控和告警、認證和授權、加密以及反惡意軟件。
- 良好的安全性要從一開始就建立起來,而不能事後彌補。
- 開發人員需要像黑客一樣思考,並進行積極地輸入驗證以及主動的安全分析。
- 如果你還不瞭解補丁程序管理這樣的基礎知識,那麼請不要迷戀高級的安全工具。
開發人員和IT領導者都說安全是最高優先級的事情。但是,不斷有調查顯示,說起來容易,做起來難。2019 DevSecOps社區報告(2019 DevSecOps Community Report)指出,將近一半的受訪者表示沒有時間將安全實踐嵌入到其軟件開發的生命週期中。GitLab的2019全球開發者報告(2019 Global Developer Report)強調,有49%的安全專業人員無法讓開發人員優先考慮漏洞修復。 Enterprise Strategy Group的最新研究指出,有83%的受訪者擔心濫用特權帳戶,而35%的受訪者認爲多重安全控制導致IT複雜性增加。
爲了闡明在雲時代有效的安全性實踐,InfoQ與數據恢復和數字取證公司Gillware的CISO Christopher Gerg進行了交流。
InfoQ:隨着組織不斷將架構擴展至公有云,他們分別應該繼續做、開始着手做和停止做哪些事情呢?
Gerg:我鼓勵遷移至雲中,在某些場景下,這會大幅降低成本。但是,我們也需要注意一些事情:
請記住,歸根到底,這是其他人的計算機,運行在別人網絡基礎設施的數據中心中。合規性和數據機密性可能是一個挑戰。例如,如果你是與HIPAA相關的組織,那麼不僅需要在存儲(靜態)數據時要對其進行加密,而且在雲環境的服務器之間傳輸數據時也需要對其進行加密。除此之外,服務器和服務應該採用相同的方法,以儘可能可靠的方式對用戶進行身份驗證,並對他們開展業務所必需訪問的服務和數據進行授權,但是不能給他們更多的權限(“最低權限”原則”)。雲供應商在確保功能可用以及服務器環境的硬件和物理部分的細節方面做得很好,但是無論是在“雲”中還是在數據中心中,保護數據和服務的方式都是完全相同的。
只需要爲使用的資源買單。這有助於幫你確定優先遷移哪些工作負載。如果你有一個大型的數據分析任務,需要運行幾天的時間,那麼可以增加該任務的資源,並且根據一定的規則在不需要這些資源的時候將其關閉。這是使用雲來託管服務器和服務能夠帶來收益的起點。你還可以考慮使用容器化和健壯的編排機制,比如Kubernetes,按需增加處理能力(並在需求減少的時候,將容量調至較低的等級)。
使用雲供應商所提供的服務,而不是僅僅將你的虛擬機放到雲供應商之上。讓我們繼續對容器化服務和編排的討論,要運行你的業務,沒有必要運行完整的服務器。這確實需要一些重新思考,但“無服務器(serverless)”或容器化服務允許我們將抽象層在技術堆棧中再往上繼續提升,它讓使用更少的資源變得更加容易,因此爲相同(或可能更多)的功能所支付的費用會更少。
安全規則並沒有變化。網絡隔離、補丁和更新、監控和告警、認證和授權、加密以及反惡意軟件等等,依然非常重要。如果你想要遷移到雲中,那麼需要對雲供應商如何保護你的服務和數據做出穩健的分析。不要想當然地認爲他們會爲你把所有的事情都做好。
InfoQ:你提到雲用戶要使用供應商所提供的服務,但是又提醒他們和以往相比重要的“安全規則並沒有什麼變化”。你是否見過有的公司在確定這些服務該負什麼責任方面所面臨的挑戰?有些雲服務會爲基礎設施打補丁,有些則沒有。有些攻擊面比其他人更寬。你建議公司該如何調和這些差異?
Gerg:當然,我並沒有說使用雲服務就一定很容易。最終,還是需要你理解自己的責任是什麼,服務供應商的責任是什麼(或者說,使用相關的服務時,你需要做什麼配置變更)。有時候,使用服務並不是可行方案,因爲它無法支持你的合規義務或無法令人滿意地解決你的風險關切。你不能“把它扔那裏就拉倒”,並假定它得到了正確的處理。你需要對服務如何工作有良好的理解。 一個很好的例子就是不同的雲提供商提供都託管了Kubernetes服務。AWS的解決方案在許多方面與 Google雲提供的解決方案就是不同的,這些解決方案對“服務器”之間加密數據的合規性義務會具有潛在影響。
InfoQ:在DevOps風格的產品團隊中,你建議公司該如何嵌入或利用InfoSec技巧呢?
Gerg:儘早並且要經常這樣做。在幫助DevOps組織集成信息安全方面,Gene Kim的DevOps Handbook是絕佳的參考資源。這裏的底線是,良好的安全性需要從一開始就考慮進來,而不是事後再去解決。每個方面都需要考慮相關工作的信息安全:在開發規劃的需求定義階段需要信息安全專家參與,將信息安全檢查作爲代碼評審的一部分,將安全檢查列表作爲發佈過程的一部分。自動化工具可以在這方面提供幫助:靜態代碼分析、集成代碼分析工具、集成安全檢查的自動QA測試等。
InfoQ:關於安全性,軟件開發人員需要在哪些方面做的更好一些?
Gerg:首先,不要相信“用戶”告訴你的任何內容,輸入校驗至關重要。另外,像黑客一樣進行思考。主動地故障排除非常有用,要思考“這樣做可能會破壞哪些地方”,“如果我採取這種變更,接下來會發生什麼?”。關注OWASP的十大安全風險(以及owasp.org上其他的應用安全資源)是一個很好的起點。DevOps相關人員的應用安全培訓是高優先級的事情。
InfoQ:在安全實踐方面,有幫助開發人員正確完成任務的工具或服務嗎?有沒有像API這樣的服務能夠提供默認的防護,即便開發人員不對每個服務進行安全防護,也能保證下游服務的安全?
Gerg:確實有一些非常好(而且在很大程度上是自動化的)工具,它們能夠幫助開發,其中包括靜態代碼分析工具、應用掃描工具(如Appscan)、自動化QA測試工具,甚至幫助緩解某些應用安全風險的Web應用防火牆。
InfoQ:企業需要更好地應對哪些網絡安全領域?應該如何開始?
Gerg:避免“MBM(Management by Magazine)這樣的水準”(Management by Magazine指的是領導讀到了某篇好文章或某本好書,就強行要求在組織內部採用的情況,參見該文——譯者注)。過多關注誘人的工具會讓你忘記基礎。我看到有很多組織擁有一些功能極其強大(且成本高昂)的信息安全工具,但沒有一種機制讓工作站和服務器保持補丁和更新的最新狀態。對信息安全的支出(時間和金錢)採用基於風險的方式是最好的方法。建議聘請第三方專家幫助處理此過程。
InfoQ:我們討論了在安全領域,企業需要在哪些方面做得更好,但是,是不是有些地方是企業在解決基礎問題之前過度投資或超前投資的?
Gerg:我認爲,組織過於鍾愛誘人的工具,看起來這些工具能夠成爲解決所有需求的安全解決方案。一個很好的例子是各種SIEM、SOAR和USM工具,我並不是說它們不能完成要做的事情,而是說如果你不對自己的工作站打補丁或者將管理員密碼設置爲“password123”,那麼就不要花費成千上萬美元在SIEM/SOAR/USM解決方案上面。
InfoQ:公有云是讓企業更安全了,還是更不安全了?
Gerg:信息安全與CIA三要素密切相關,即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。不管服務器/服務/數據位於何處,在很大程度上,組織仍然有責任有效控制保密性和完整性。雲供應商最擅長的是可用性。他們的持續在線時間是非常強大的,跨地域複製實現冗餘的能力非常出色。他們確實有有助於提升機密性和完整性的機制,但我們需要一些規劃和規則才能使其生效。現在,有一種強烈的傾向,認爲只要把東西扔進"雲"中就萬事大吉了,而忘記了要保護的東西,因爲並沒有一個讓我們一勞永逸的方案。
作者簡介
Christopher Gerg 是一位網絡安全專家,擁有超過20年的經驗。他是Gillware的CISO和網絡風險管理副總裁。Gerg通過務實地評估組織並提供直接建議來簡化信息安全、合規性和網絡風險管理的複雜性,從而提升安全性。在業餘時間,Gerg 喜歡和家人一起旅行,爲切爾西足球俱樂部加油。
原文鏈接:
Improving Security Practices in the Cloud Age: Q&A With Christopher Gerg