自动化势在必行:为什么云工作负载安全成为热点
作者:星期四, 五月 19, 20160

随着越来越多企业将包含敏感数据的工作负载放上云端,快速维护云端工作负载的安全成为安全和风险(S&R)专家的重中之重。然而,安全不仅只保护工作负载,还必须支持开发运维,满足自动化的需求。

Cloud Workload Security(云工作负载安全,简称CWS)方案能帮助安全和风险(简称S&R)专家保障云工作负载安全,同时支持开发运维和自动化。Forrester预测,随着云的成熟,如今尚未成熟且分散的CWS市场会显著提升能力、实现标准化。

本文将从3个方面阐述CWS方案的必要性和市场指导建议,并与《一篇文章读懂企业如何升级到云安全体系》作为姊妹篇,共同为企业云安全保驾护航。

一、云工作负载安全的实现无法依赖传统安全厂商和云平台

尽管传统安全厂商和云平台也提供了部分安全服务,但由于如下原因,他们无法实行云工作负载安全的实现工作:

  • S&R专家无法更新IaaS工作负载中的本地安全方案,由于本地和云基础架构有所不同,本地安全解决方案在云平台上并不可行。
  • S&R专家无法利用IaaS供应商管理平台进行安全管理,IaaS供应商平台一般不提供最基本的网络安全管控、合规审计、访问控制等功能,也难以完成打补丁和加固等常见的安全任务。
  • S&R专家无法从IaaS供应商那里寻求多种云的安全支持,因为单独的IaaS供应商不支持跨平台安全,并且成本和复杂程度很高,所以很难为用户行为建模、或为每个云建立基线行为规范,如此,发现网络攻击的可能性也大大降低了。
  • S&R专家只能依赖IaaS供应商提供全部安全保障。后者通常提供:

1)管理程序和主机根访问控制;
2)边界网络安全;
3)DDos保护;
4)存储安全。

但不提供:

1)IDS/IPS;
2)漏洞扫描;
3)配置管理;
4)杀毒和终端保护;
5)补丁和加固;
6)安全监测和日志分析。

而且从扩展性、能力、时间和成本等方面考虑,企业内部也很难独立建立CWS架构。

二、CWS方案如何应对云上的安全挑战

CWS方案一般融合了这些能力:1)提供单独的虚拟管理平台;2)提供单独的策略管理接口;3)提供标准审计服务。CWS还会提供很多IaaS安全管控措施(见图1),详细如下:

  • IaaS工作负载中的管理员访问管理。CWS方案能够对访问账户和权限提供工作负载层面上的管理。无论工作负载在哪里运行,都能让用户利用现有IAM存储对工作负载的访问进行强认证。
  • 基于文件活跃性的反恶意软件保护。CWS方案可以监控日志中的可疑行为;追踪用户行为;部署传统反恶意软件终端agent;在虚拟机上部署agent监测文件事件,检测可疑行为。
  • 持续监控管理配置。CWS方案保证在创建体系和服务时,不会将信任证植入配置管理工具中;通过将云服务载入CWS方案来检查平台,自动学习安全配置以及工作负载上服务的结构和特点;管理员可以为工作负载预置系统或自定义配置;检测工作负载的配置。
  • 利用密码学校验和检查文件完整性。CWS agent使用密码扫描重要的工作负载文件,以免产生突发变化。文件完整性监控一般还包括补丁监控。
  • 基于主机的防火墙和软件定义的网络化。CWS方案为Linux和Windows系统中的IaaS和PaaS工作负载提供基于主机的防火墙,为本地防火墙增加重要的功能,如集中化策略管理、策略配置试探程序、访问管理等。
  • 进出站API合并。CWS方案可以调用其他SA, IAM, IaaS工作负载管理、虚拟化系统及其管理接口的API;为入站合并和CWS策略管理公开自己的API。
  • 集成开发运维配置管理系统。CWS方案在IaaS工作负载的建立和配置过程中,直接集成了这些开发运维工具来管理安全配置参数,从而使安全成为工作负载的固有部分。
  • 监测网络流量的IPS和配置变化。CWS方案检测入侵行为的方式是:监测进出工作负载的网络流量;检测工作负载上的任意程序变化和配置变化;监测分析工作负载的活动日志。
  • 日志检查。CWS方案有自己的日志分析引擎,并能集成现有客户的SIM系统或安全分析系统。CWS方案会详细检查IaaS和PaaS工作负载的日志,以确定可疑事件。当事件被定义为有风险时,集成现有的SA方案:1)本地基于主机的防火墙日志;2)AWS的SNS网络服务。

CWS高级架构

CWS高级架构

三、CWS方案选取建议

S&R专家需要CWS来提供全面的云安全。然而,许多CWS厂商刚刚起步,或者推出的方案比较新。如果要评估CWS方案,建议:

  • 为云扩展而设计。管理云工作负载配置和安全不是要放过漏洞、避免大规模安全配置错误。要求厂商为你提供个性化指导意见:如果你部署了覆盖1000个工作负载的方案,会发生什么?
  • 在任何环境下都能工作,必须确保本地、私有云、SaaS、PaaS和IaaS环境下工作负载的安全。提到云安全时,避免厂商锁定是S&R专家部署CWS方案的众多原因之一。CWS至少该覆盖AWS、Azure、IBM SoftLayer、Rackspace和VMware管理程序。
  • 作为服务交付。CWS策略服务器的本地维护成本较高,不仅包括固定的许可证费用,更重要的是还要承担昂贵的维修人员的费用。Forrester预计,将CWS作为服务来部署将会减少30%-50%的云安全相关的劳动力成本。
  • 在单一方案中提供广泛而集中的管控措施。在云安全领域中,CWS方案的功能应该尽可能广泛,至少包括:1)文件、配置的管理和完整性监控;2)网络安全;3)打补丁;4)入侵检测;5)日志文件分析;6)虚拟化管理程序安全;7)认证集成开发运维工具如Chef\Puppet等

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!