混合雲環境不僅提升資安團隊複雜度、降低能見度,還需要採用不同的事件紀綠與監控處理方式。
文/Bob Violino‧譯/Nica
對越來越多的企業組織而言,IT環境已含括公有雲服務、私有雲與在地自建的混合基礎架構,而後者在混用環境裡所佔比例越來越低。
過去兩年,雲端服務使用激增,這樣的趨勢沒有減緩的徵兆。2021年四月由研究調查公司Gartner所作的預測指出,全球在公有雲服務上的花費,2022年將成長23%。
[ 2022年度CIO大調查報告下載 ]
報告指出,容器化、虛擬化與邊緣運算這類新興技術,將更接近主流並刺激雲端支出。SaaS訂閱式軟體仍保有最大市場區隔。
企業選擇混用滿足企業目標,而不是只佈署一種雲端服務。混合雲端模式可為企業營運帶來絕佳彈性。企業可依需求上下調整容量,可以在大量雲端服務上移進移出資料與工作負載。混合雲也帶來網路資安風險:擱置不處理將引發重大損失。
本文將介紹資安主管與團隊在處理混合雲模式將面臨的五大挑戰,並說明如何解決。
一、複雜度增加、能見度減少
隨著企業佈署更多公有雲服務並增加私有雲能力,從管理與資安角度來看,企業IT環境更加複雜了。若不採取行動監控服務的使用狀況,企業無法瞭解這個環境下發生的一切。
「混合雲環境自然引發更多複雜度,它就是有這麼多『門窗』要鎖上、有更多安全性維護 ─ 修補程式等等要實施。」研究調查公司International Data Corp. (IDC)專用暨混合雲基礎架構/服務研發主管Chris Kanaracus表示。「我們見過太多『像是』公有雲儲存容器設定不當的人為失誤引發資料外洩,而受到高度矚目的媒體故事。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
定義標準、認證與最佳實作,協助保障雲端運算環境安全的的雲端安全性聯盟(CSA)便舉出:不當組態與不適切的變更管控,加上有限的雲端使用能見度,已成為2020年雲端運算的頭號威脅。
大量雲端服務意謂著企業組織處理安全性的方式需要改變。「雖然選擇混合雲環境為企業組織帶來選擇與彈性,但這也代表IT領導者必須重新評估安全性實作,研究必須如何調整。」線上數據搜尋工具Elastic的CISO Mandy Andress如此表示。「你無法保護看不到的東西」這句話在混合雲架構上尤其適用。「混合公有與私有雲或基礎架構,會增加複雜度、提高企業風險。」取得能見度與控制,對保障分散式系統安全而言,至關重要。
二、知識與技術的鴻溝
已有充份數據資料證明網路資安技能嚴重短缺。許多企業組織苦於尋找填補各種角色的人才,但確認並雇用對雲端也瞭解的安全性專家,又是另一項全然不同的挑戰。這種雲端資安知識差距,可能令企業面臨風險,必須在為時已晚前找到方法填補缺口。
方式之一就是提供內外部訓練。諮詢顧問公司Deloitte風險與財務諮詢網路雲端主管暨負責人Vikram Kunchala表示,在業務線、網路領導者與團隊、培訓與人力資源間,協調一致的處理方式,開發課程與多型態訓練方式,持續提升可支援複雜混合雲環境的技能。
重點在於,許多非技術型企業與非雲端服務廠商,也在競爭相同雲端人才資源,Kunchala表示。「因此,僱用人才是項挑戰,『企業』不應僅仰賴這個選項。開發訓練課程,讓現有員工提升技能或取得全面技能,可以在這方面有所幫助。」
強而有力的治理是混合雲環境另一項關鍵,Kunchala表示。具備定義完善的職責基準與營運模式能減輕疑慮,實現有效管理。「監控指標,可以為各個資安團隊效能與控制實施的有效性提供能見度。」
CISO與其他資安領導者「必須考量人力資源與技能使用的效率。」Andress表示。「混合雲環境下,資安團隊可能必須學習兩個或兩個以上的雲端服務資安功能。」
三、資安責任移轉
環繞著邊界安全性、基礎架構與虛擬化的管控責任,移轉到公有雲體系裡的雲端廠商,因此瞭解資安共享責任模式的改變非常重要,Kunchala表示。「企業組織試圖將私有雲控制與技術堆疊擴展至公有雲,這種作法在某些情況下行不通。」他表示。「沒有清楚定義混合雲系統下的『職責安排基準』與/或操作模式,等於留下空間給未緩解威脅與未處理功能,阻礙企業組織擴展與滿足營運目標。」
儘管瞭解與遵循因使用雲端服務而來的共享職責模式很重要,但並非所有企業都這麼做。「公有雲公司使用的共享職責模式,是許多企業仍設法努力謹記在心的事。」Kanaracus表示。
四、網路保護配置不當
網路安全是企業組織不斷受到質疑的重點領域,因為廠商支援私有雲的現有工具,在公有雲上可能不適用,Kunchala表示。「企業組織利用容器順利在混合雲裡轉換與管理,但並未充份瞭解服務網格與API安全性這類細微差異『可能』導致容器可能感染,進而遭到不當利用。」
大部份以公有雲為基礎的資安工具廠商會支援私有雲環境,Kunchala表示。「但傳統廠商專為企業在地私有雲所建置的工具程式,可能就無法擴展或提供針對公有雲的完整功能。」他表示。「廠商分析很重要,而且應該將完整需求與所有已確認方案執行一遍。」
五、分散的事件紀錄與監控功能
在混合雲環境下,事件記錄來源散佈在整個企業內部自建系統、公有雲系統、廠商工具與雲端原生服務,Kunchala表示。「識別事件記錄遠端遙控『並』建置監控指標是關鍵。」企業需要有針對營運與功能級別的關鍵績效指標(KPIs),以及向執行層報告的關鍵風險指標(KRIs),他表示。
「然而,事件記錄與監控功能的成熟需要一至兩年的時間,必須採取許多執行步驟與處理事件記錄的工具,進而為多重來源建立關係,得出定義指標。」Kunchala表示。終極目標是依執行高層所需,開發客製化報告控制面版,協助高層瞭解雲端服務的殘留風險與影響,他表示。同時,營運團隊也能獲得全面性的進階持續性威脅完整能見度。
(本文授權非營利轉載,請註明出處:CIO Taiwan)