雲安全的新型共享責任模型
從一開始,像AWS這樣的公共雲環境代表它們的使用者減輕了安全負擔。基本的共享責任模型仍然有效 – 明確表示雲提供商(即供應商)可以保護雲本身的硬體和軟體,而客戶則負責其雲中資產的安全性。當然,任何新型雲端計算的引入都會對模型的細節產生影響,使安全和運營團隊難以理解他們在這些不斷變化的環境中的新職責。
工作負載,特別是雲端計算工作負載,是為擁有、借用和開原始碼提供動力的應用程式工具。有許多不同型別的工作負載,隨著資料中心的不斷髮展,多年來出現了新的選擇。這些工作負載帶來的好處通常伴隨著新的安全和後勤挑戰。正如我們所看到的從裸機到虛擬機器(VM)的演變,然後是微服務和容器的引入,組織需要主動解決這些動態環境,以便在它們受到威脅之前有效保護這些動態環境。
這是我們在新的雲原生環境出現時親眼看到的問題。每個都為處理它們的企業帶來了新的安全挑戰和複雜性。 這就是為什麼您需要密切監控雲中新架構的安全性,如無伺服器,以及開發人員,操作人員和安全團隊可以保持警惕的三種方式 – 無論您的組織如何與雲提供商分擔安全責任。
無伺服器示例
無伺服器或功能即服務(FaaS)是構建,架構和開發雲原生應用程式的最新方式。開發團隊將應用程式程式碼作為一組功能提供,而云提供程式負責執行這些功能。這允許開發人員專注於編碼,而提供商負責配置,擴充套件和計費。
過去一年中無伺服器計算的採用呈指數級增長。雲端計算本地計算基金會(CNCF)是一個包括許多世界上最大的公共雲和企業軟體公司以及100多家創新初創公司的組織,最近對550多名社群成員進行了調查,以解決當前的雲原生技術問題。該調查發現,受訪者41%目前正在使用無伺服器技術,另有28%計劃在未來12-18個月內使用。
這種新的無伺服器計算的迅速普及引發了新的問題,即誰擁有使用無伺服器框架(客戶或雲提供商)部署的應用程式的安全性?正如前面提到的,在傳統的共享安全模型繪製雲和一個什麼樣的安全保障之間明確的界限在雲中,在無伺服器模式轉變一些責任推回給雲供應商管理,作業系統,讓負責該應用程式的客戶在他們的雲環境中執行。
對於DevOps和安全團隊來說,這似乎是個好訊息,因為他們可以更專注於構建產品和應用程式而不是安全性,知道它正在被處理。但是,使用無伺服器架構意味著組織有新的盲點,僅僅因為他們不再能夠訪問架構的作業系統,從而阻止他們在這些工作負載中新增防火牆,基於主機的入侵防護或工作負載保護工具。
由於無伺服器是一種相對較新的架構,組織和雲提供商仍在學習如何處理和保護它,而攻擊者仍在學習如何利用它。這就是為什麼保護無伺服器基礎架構超出共享責任模型概述的重要性。
合作準備整體工作負載安全性
隨著無伺服器等新計算方法的出現,適用於傳統工作負載的共享責任模型變得不那麼清晰,安全專業人員需要做好準備來保護這些新的工作負載。遵循以下指導可以幫助安全專家準備他們的服務,以安全地在無伺服器雲中執行。
1.不要相信誰擁有云環境中的安全性。現代資料中心本質上是複雜的,這導致了固有的盲點,導致資料中心的某些元素缺乏明確的所有權。相信誰擁有安全性可能會在漏洞出現時讓公司陷入困境。在漏洞出現之前定義誰擁有安全性的規則將防止成為受害者並指責手指。
2.確保在複雜的現代資料中心內完全瞭解所有型別的工作負載。 缺乏對所有型別的不同工作負載的完全可見性使得保護整個雲架構成為難以解決的問題。為了避免資料中心各個層面的漏洞,客戶團隊 – 開發人員,安全和運營團隊 – 必須假設他們的雲提供商只負責安全措施的最低要求。
3.與您的雲提供商合作,從頭開始主動為架構構建安全性。安全性是雲提供商與其客戶之間的共同任務。發現攻擊或漏洞後,不要追溯修補或實施安全措施,而是從一開始就與雲提供商合作以防止攻擊。如果存在攻擊從高級別利用雲提供程式,啟動影響整個堆疊的攻擊,這一點尤為重要。
即使無伺服器仍處於相對初期階段,它仍然存在。隨著新舊工作負載的出現和融合,在出現不可預測的漏洞之前,瞭解角色和職責並從粒度級別新增安全控制非常重要。如果沒有確保所有型別的體系結構(VM,容器和/或無伺服器)的安全性,現代資料中心將無法有效執行。傳統的共享責任模型正在不斷髮展,組織需要通過了解其重新定義的雲安全責任來保持同步,否則它們將不可避免地落後。