自动化势在必行:为什么云工作负载安全成为热点
随着越来越多企业将包含敏感数据的工作负载放上云端,快速维护云端工作负载的安全成为安全和风险(S&R)专家的重中之重。然而,安全不仅只保护工作负载,还必须支持开发运维,满足自动化的需求。
Cloud Workload Security(云工作负载安全,简称CWS)方案能帮助安全和风险(简称S&R)专家保障云工作负载安全,同时支持开发运维和自动化。Forrester预测,随着云的成熟,如今尚未成熟且分散的CWS市场会显著提升能力、实现标准化。
本文将从3个方面阐述CWS方案的必要性和市场指导建议,并与《一篇文章读懂企业如何升级到云安全体系》作为姊妹篇,共同为企业云安全保驾护航。
一、云工作负载安全的实现无法依赖传统安全厂商和云平台
尽管传统安全厂商和云平台也提供了部分安全服务,但由于如下原因,他们无法实行云工作负载安全的实现工作:
- S&R专家无法更新IaaS工作负载中的本地安全方案,由于本地和云基础架构有所不同,本地安全解决方案在云平台上并不可行。
- S&R专家无法利用IaaS供应商管理平台进行安全管理,IaaS供应商平台一般不提供最基本的网络安全管控、合规审计、访问控制等功能,也难以完成打补丁和加固等常见的安全任务。
- S&R专家无法从IaaS供应商那里寻求多种云的安全支持,因为单独的IaaS供应商不支持跨平台安全,并且成本和复杂程度很高,所以很难为用户行为建模、或为每个云建立基线行为规范,如此,发现网络攻击的可能性也大大降低了。
- S&R专家只能依赖IaaS供应商提供全部安全保障。后者通常提供:
1)管理程序和主机根访问控制;
2)边界网络安全;
3)DDos保护;
4)存储安全。
但不提供:
1)IDS/IPS;
2)漏洞扫描;
3)配置管理;
4)杀毒和终端保护;
5)补丁和加固;
6)安全监测和日志分析。
而且从扩展性、能力、时间和成本等方面考虑,企业内部也很难独立建立CWS架构。
二、CWS方案如何应对云上的安全挑战
CWS方案一般融合了这些能力:1)提供单独的虚拟管理平台;2)提供单独的策略管理接口;3)提供标准审计服务。CWS还会提供很多IaaS安全管控措施(见图1),详细如下:
- IaaS工作负载中的管理员访问管理。CWS方案能够对访问账户和权限提供工作负载层面上的管理。无论工作负载在哪里运行,都能让用户利用现有IAM存储对工作负载的访问进行强认证。
- 基于文件活跃性的反恶意软件保护。CWS方案可以监控日志中的可疑行为;追踪用户行为;部署传统反恶意软件终端agent;在虚拟机上部署agent监测文件事件,检测可疑行为。
- 持续监控管理配置。CWS方案保证在创建体系和服务时,不会将信任证植入配置管理工具中;通过将云服务载入CWS方案来检查平台,自动学习安全配置以及工作负载上服务的结构和特点;管理员可以为工作负载预置系统或自定义配置;检测工作负载的配置。
- 利用密码学校验和检查文件完整性。CWS agent使用密码扫描重要的工作负载文件,以免产生突发变化。文件完整性监控一般还包括补丁监控。
- 基于主机的防火墙和软件定义的网络化。CWS方案为Linux和Windows系统中的IaaS和PaaS工作负载提供基于主机的防火墙,为本地防火墙增加重要的功能,如集中化策略管理、策略配置试探程序、访问管理等。
- 进出站API合并。CWS方案可以调用其他SA, IAM, IaaS工作负载管理、虚拟化系统及其管理接口的API;为入站合并和CWS策略管理公开自己的API。
- 集成开发运维配置管理系统。CWS方案在IaaS工作负载的建立和配置过程中,直接集成了这些开发运维工具来管理安全配置参数,从而使安全成为工作负载的固有部分。
- 监测网络流量的IPS和配置变化。CWS方案检测入侵行为的方式是:监测进出工作负载的网络流量;检测工作负载上的任意程序变化和配置变化;监测分析工作负载的活动日志。
- 日志检查。CWS方案有自己的日志分析引擎,并能集成现有客户的SIM系统或安全分析系统。CWS方案会详细检查IaaS和PaaS工作负载的日志,以确定可疑事件。当事件被定义为有风险时,集成现有的SA方案:1)本地基于主机的防火墙日志;2)AWS的SNS网络服务。
CWS高级架构
三、CWS方案选取建议
S&R专家需要CWS来提供全面的云安全。然而,许多CWS厂商刚刚起步,或者推出的方案比较新。如果要评估CWS方案,建议:
- 为云扩展而设计。管理云工作负载配置和安全不是要放过漏洞、避免大规模安全配置错误。要求厂商为你提供个性化指导意见:如果你部署了覆盖1000个工作负载的方案,会发生什么?
- 在任何环境下都能工作,必须确保本地、私有云、SaaS、PaaS和IaaS环境下工作负载的安全。提到云安全时,避免厂商锁定是S&R专家部署CWS方案的众多原因之一。CWS至少该覆盖AWS、Azure、IBM SoftLayer、Rackspace和VMware管理程序。
- 作为服务交付。CWS策略服务器的本地维护成本较高,不仅包括固定的许可证费用,更重要的是还要承担昂贵的维修人员的费用。Forrester预计,将CWS作为服务来部署将会减少30%-50%的云安全相关的劳动力成本。
- 在单一方案中提供广泛而集中的管控措施。在云安全领域中,CWS方案的功能应该尽可能广泛,至少包括:1)文件、配置的管理和完整性监控;2)网络安全;3)打补丁;4)入侵检测;5)日志文件分析;6)虚拟化管理程序安全;7)认证集成开发运维工具如Chef\Puppet等
关键词: