跳到内容

在混合世界中保护基础设施的4种方法

在这个快速变化的混合世界中,安全组织需要迅速调整他们的方法,以确保基础设施的安全. 

保护数据中心等IT基础设施, 数十年来,网络和个人电脑一直是安全团队的支柱.

然而, 时代在改变, 随着越来越多的组织采用云计算和新的工作方式. 许多大型IT组织现在都在复杂的公共云中运行, 多云和混合环境, 与软件开发团队一起应用持续集成/持续交付(CI/CD)技术来快速推出新代码.

与此同时, 2019冠状病毒病危机导致大约一半的员工从安全的办公环境转移到员工家中, 在不太安全的家庭网络上混合个人设备和公司资产.

这些同样的趋势正在推动数字化转型项目, 但安全通常被视为IT现代化努力的障碍. 2020年的市场力量加速了这些需求,各组织都在想方设法创建更灵活、更有弹性的业务,以跟上步伐, 安全组织面临着越来越多的挑战,比如缺乏对周边威胁的覆盖, 能见度和控制能力差, 手动流程, 增加了对资源的限制.

面对这些要求, 在这个快速变化的混合世界中,安全组织需要迅速调整他们的方法,以确保基础设施的安全. 本文探讨了四种安全性响应新模型和实践的方法,这些新模型和实践更好地符合当今的业务需求:

  1. 支持saas安全. 通过云连接、规模和效率提供安全性
  2. 扩展检测和响应(XDR). 为更多的环境提供更好的可见性和控制
  3. 安全访问服务边缘(SASE). 支持对公司资源的位置无关访问, 在这种情况下,访问是根据有关连接上下文的广泛信息来控制的, 被访问的活动和数据
  4. 集装箱安全. 为微服务提供快速打补丁和一致配置的平台

1. 支持saas安全

越来越多的安全控制可以作为软件即服务(SaaS)来使用, 通常称为安全即服务(SECaaS). 与远程操作的安全服务不同, 如远程管理内部安全硬件, 现代SECaaS包含了向安全管理的体系结构转变, 数据存储, 在云中操作的分析和用户界面组件.

大多数传统安全供应商现在都提供对其云产品的访问. 组件,如漏洞扫描器, 现场继续部署日志采集器和代理, 而是中央管理的功能, 配置, 数据集中, 分析和报告由供应商从基于云的环境中交付. 现场组件, 还有那些部署在云中的, 使用安全协议在互联网上与供应商的API进行通信, 允许混合环境的统一视图. 系统管理操作由供应商作为服务的标准部分交付. 因此,SECaaS可以减轻安全团队的系统管理负担. 这种方法的示例包括安全信息和事件管理(SIEM), 终点检测与响应(EDR), 和漏洞测试. (图1)

图1:典型的SECaaS模型保护多个环境.

SECaaS解决方案广泛使用api, 支持与其他工具(如安全编排)的链接, 自动化与响应. 与虚拟化基础设施和云平台的集成允许安全服务监控工作负载,以识别不受保护的实例,并通过指示云服务部署代理或隔离威胁,直到采取行动,实现自动修复. 这确保了始终处于启用状态的安全性,从工作负载开始工作时就启用了保护.

代理与SECaaS管理层通过api进行通信,实现代理的自动升级, 进一步减少对安全团队的需求. 许多SECaaS解决方案在一个可部署组件中包含多种保护功能, 最小化部署多个代理的成本.

这些解决方案通常是为云而设计的, 容器和micro服务, 因此,使用相同的策略和报告来保护传统和更敏捷的部署模型. 工具的整合降低了复杂性, 增加保险, 驱动器的一致性, 并简化了部署, 维护和操作, 使安全团队专注于关键举措.

尽管有潜在的优势, SECaaS部署可能会面临产品成熟度和对服务提供者的依赖等方面的挑战. 云管理解决方案没有本地解决方案的跟踪记录,可能具有更少的功能, 特别是与来自同一厂商的更成熟的本地解决方案相比.

除了, SECaaS模型引入了第三方, 服务运营提供商, 可以访问配置详细信息和系统日志. 这些数据和访问这些数据的员工可能位于组织数据主权限制之外的位置. 服务管理员的身份及其活动对客户端来说是不透明的, 日常运作也会如此, 备份, 业务连续性, 等. 除了, 管理门户必须向Internet公开, 而且,平台的运作往往是杠杆化的, 弗环境.

这种情况可能会打乱传统的安全和遵从性方法, 将操作的可见性和直接控制与交付和资源操作的责任相比较. 服务提供商需要提供内部控制的可见性,以及安全认证和经过审计的符合行业标准的证据. 但是,为解决方案授权的客户仍然要对安全性负责. 因此, 客户应在采购过程中进行适当的尽职调查,并定期对供应商进行合规性审查.

2. 扩展检测和响应

It is widely accepted that absolute prevention of security incidents is impractical; therefore, 安全团队必须确保发现并积极响应. 成功, 他们需要工具来收集详细信息, 把它送回中央控制台, 通过设备状态的交互查询支持事件分析, 并最终改变系统的状态,以破坏攻击. 虽然还没有普遍部署, 端点检测和响应(EDR)工具是一种有效的, 完善的系统防御方法,是复杂调查和响应工具箱的重要组成部分.

在可见性方面,EDR工具确实存在缺点. EDR通常只部署在企业提供的最终用户计算设备上. 攻击者, 然而, 可能会集中在更脆弱的地区, 例如网络连接设备(存储系统), 打印机和网络设备), bring-your-own-device (BYOD)系统, 基于云计算的系统, 以及物联网(IoT)设备集群现在连接到网络.

此外, 其他攻击载体,如电子邮件,在EDR通常驻留的操作系统界面上是不可见的. 对这些系统的监测水平, 根据它们生成的日志, 通常不像EDR功能那样详细.

可以通过引入针对每个领域的探测和响应技术来解决可见性方面的差距, 每个工具都提供详细的记录, 对国家的讯问和修改. 例如, 网络检测和响应提供了网络流量分析和与网络控制设备的集成,以加强响应. 不幸的是,多种独立的、专业的技术很难有效地管理. 这就产生了可见性和控制竖井, 与潜在的攻击者隐藏在这些系统之间的裂缝.

在理想的情况下, 通用的检测和响应能力,不仅包括不同的区域, 包括端点, 网络和云, 但是,统一信息也可以让分析人员追踪区域之间的活动,并为应对提供一个单一的控制点. 这种可视性和控制的集中也为分析提供了一个平台, 人工智能和自动化.

安全供应商已经开发了术语XDR(扩展检测和响应)来描述这种通用方法, 集成工具博士, “X”指的是“扩展”或“处处”的覆盖范围. 目前, XDR没有标准定义, XDR解决方案中应该包括什么, 以及应该在多大程度上重视原木的摄入, 威胁情报, 分析和自动化. XDR as a concept risks being devalued as a solution when marketing teams tend to apply it to anything; 然而, 普遍的共识是,XDR系统应该打破信息孤岛,并启用有效的响应能力. XDR的相对不成熟是采用它的挑战之一. 普遍检测和反应的乌托邦式愿景不太可能在一次实施中实现. 实际的考虑可能会使结果不能真正普遍, 尽管提高检测和响应能力的目标仍然是值得的.

其他的复杂性存在于确保组织拥有分析师资源和专业知识来响应所提供的见解. 有效地利用信息, 安全团队必须对系统的行为和可能的攻击技术有详细的了解. 机器学习在这一领域有一定的前景,越来越多地用于补充甚至取代基于特征的方法检测. 对于可能需要的响应行动,有一个计划和适当的授权也是必要的.

统一检测和响应倾向于为所有组件选择单一的供应商, 但是安全组织经常面临着选择最佳工具套件和集成工具套件的复杂问题, 供应商选择和管理, 从现有工具过渡.

XDR需要一个明确的长期战略. 组织必须选择具有长期计划的技术、供应商和服务合作伙伴. 他们可以从关注XDR最成熟的元素开始, 需要覆盖的最高风险因素, 以及现有工具给出的有用见解最少的地方. 这通常会导致端点的初始浓度. 一旦EDR在可见范围内有效运行, 它应该扩展到XDR.

3. 安全访问服务边缘

传统的安全控制往往集中在可信和不可信区域和系统的概念上, 有严格规定的边界. 访问权限往往是基于可信用户授予的, 在网络访问被批准后,对活动进行最低限度的审查. 对企业安全体系结构采用一种完全不同的方法是转型后的企业的基本步骤.

这应该受到业界公认的零信任概念的影响, 信任应用于单个资源,而不是整个网络. SASE架构支持云交付, 基于服务和位置无关的存在点,以支持对分布式应用程序的安全访问, 服务, 用户和设备. 它可以为身处世界各地的用户保护传统环境和经过数字化改造的环境. (图2)

图2. SASE架构支持云交付, 基于服务和位置无关的存在点.

SASE用面向企业和外部用户的虚拟边界取代了企业网络边界上的受限访问点的概念, 使用基于策略的访问决策, 身份, 设备和数据感知安全控制.

访问决策不是基于向企业可信网络发起外部网络隧道(利用用户设备组合并允许访问所有内部资源),而是基于单个连接, 在使用时确定. 决定取决于身份, 设备配置文件, time, 用户, 目标环境和位置-谁, 在哪里, 什么, 何时以及如何.

攻击者可以访问网络中的某个设备, 但是,当每一个行动和访问都受到挑战和重新评估时,他们就不太能够横向移动.

SASE有不同的方法. Some involve endpoint agents; some make use of software-defined wide area networking techniques; others are more closely aligned with content delivery networks. SASE体系结构结合了多个控件, 如解密内容检查, 沙盒, 过滤, 防止凭证盗窃和数据丢失,以及上下文敏感的身份验证和授权. 这些控制通过统一的、集中的策略组合成一个连贯的系统. SASE事件日志可以与XDR等高级行为检测和响应功能结合使用,从而支持对跨体系结构的所有活动进行端到端监控, 增强组织检测和阻止正在发生的攻击的能力. SASE架构通常托管在云中, 利用SECaaS方法并从中获益.

SASE不是小规模的单产品部署. 这需要一种战略方法, 彻底改革传统架构和投资, 取代传统的互联网服务提供商连接和基于虚拟云的广域网, 如MPLS, 有基于云的主干和SD-WAN. 向防火墙即服务(FWaaS)的转变是该策略的另一个典型元素, 通过将硬件和内部设备的外围防火墙转移到云主干上.

安全控制和策略集中到SASE体系结构中, 组件之间的紧密集成, 是否可以在集成能力与单个组件的性能之间进行权衡. 在整个体系结构中采用最佳的方法可能并不实际. 然而, 主流供应商采用SASE的速度和革新者的出现意味着单个功能约束应该是短暂的,并被架构作为一个整体所能实现的更广泛的好处所抵消.

4. 集装箱安全

当前应用程序开发的一个趋势是将应用程序细分为一组微服务,以管理单一应用程序的复杂性和依赖性. 这种方法还具有理想的故障隔离安全性. 这种体系结构加上持续集成和CI/CD的部署技术,可以看到微服务部署在容器中,这些容器将所有代码和依赖项封装到单个映像中.

这些映像要经历频繁的开发和部署迭代. 同时简化应用程序结构, 容器环境本身很复杂, 具有多个抽象层(图像, 容器, 主机, 容器运行时, 注册中心和编配器),需要专门的工具进行解释, 监控和安全.

不成熟的微服务体系结构部署可能会遇到与单一应用程序相同的安全问题. 例如, 废语的加入, 应用补丁的, 脆弱的组件和库或错误配置可能会在应用程序中的多个容器上创建缺陷. 应用程序的快速开发和部署通常需要几天而不是几个月, 但是它经常与传统的安全方法(如代码检查)相冲突, 渗透性测试和广泛的变更签字.

安全组织必须确保将安全性构建到CI/CD过程中,并支持快速开发周期. 这需要与部署工具集成,并超越容器本身进入整个容器生命周期. 这样做, 利用容器的一些固有属性, 快速部署可以带来更强大的安全性. 例如, 利用CI/CD中固有的自动化测试和部署可以更及时地支持补丁的部署,并且更有信心它们已经经过了彻底的测试, 确保有一个简单的路径来撤销任何更改. 最佳实践包括:

  • 确保源. 对于攻击者来说,CI/CD进程是一种很有吸引力的部署代码的方式, 因为如果他们可以修改源, CI/CD会将产品交付生产. 因此, 用于构造容器的组件需要来自具有强大访问控制和组件完整性检查的可信源.
  • 包含最新版本. 使用旧的, 容器映像中的脆弱组件是导致容器漏洞的主要原因之一. 系统需要检查并合并最新的版本.
  • 连续的漏洞扫描. 将漏洞扫描合并到CI/CD管道中可以增加最新组件已被正确合并和配置的可信度.
  • 不变性. 这种方法表示不能对运行中的容器进行任何更改. 这要求只通过被跟踪的对象进行更新, 版本部署过程, 确保一致性和可重复性. 这也意味着对正在运行的容器的更改本身是可疑的.
  • 主机安全. 使用剥离下来, 特定于容器的操作系统加上最佳实践基准的使用和测试可以最大限度地减少攻击面.
  • 管理的秘密. 容器确实需要像API密钥这样的秘密, 用于身份验证和授权活动的凭证和证书. 此敏感信息不应存储在容器源中. 而不是, 它应该保存在一个单独的存储库中,并且只在需要知道的基础上提供给正确的容器和应用程序.
  • 监测和响应. 监视可以在容器内执行,也可以由底层操作系统执行. 容器集中在一个简单的任务上可以帮助行为监测. 基于容器的方法还可以通过阻塞连接或暂停单个组件来帮助响应.

在管理容器方面也出现了挑战. 对于试图监视容器的系统和试图解释系统行为的分析人员来说,存在的容器数量以及创建和退役容器的速度可能是一个重大挑战.

通过将其划分为一组定义良好的微服务来简化开发任务,可以很好地提高应用程序层的安全性, 在规模上支持该体系结构所需的基础设施的复杂性是非常显著的. 例如, 当有成百上千的微服务时,秘密管理平台很难在满足速度和可伸缩性需求的同时进行集成.

随着安全职能从一个在大范围内长时间工作的独立行动转变,需要解决组织问题, 很少部署到一个紧密集成的, 或委托给, 开发和部署操作, 哪些需要流程自动化和快速决策.

集装箱化做得好可以提高安全性, 但它确实会增加基础设施的复杂性,因此需要策略, 护理, 的注意力和资源.

启动安全控制系统

在2020年向远程工作过渡期间, 安全团队在必要时调整了现有的周边控制,紧急实施或增加远程访问的能力, 放松要求和控制. 通过公共网络,员工在共享的家庭环境中使用自己的设备, 攻击者一直试图利用这些变化,利用主题钓鱼攻击窃取数据,并用勒索软件勒索组织. 以下是这些安全策略如何帮助解决这些漏洞:

  • 支持saas安全. 目的是允许相同级别的访问和安全性,无论您是在组织的传统边界内还是外部工作. 它还可以提供更微妙的信息, 比VPN技术更细粒度的授权决策和内容检查.
  • 安全访问服务边缘. 支持安全团队, 哪一个也是在家工作, 通过让他们访问安全管理工具,这些工具被设计成可以在互联网上成功操作. 这种云本地方法使安全团队能够远程管理工具,并支持系统和应用程序中的大量更改.
  • 扩展检测和响应. 扩展环境中的可见性,从端点,通过网络到云系统. 这种方法在不需要物理干预的情况下有效地捕获和响应方面也发挥了作用. 即使是基本的端点检测和响应在远程调查和响应攻击中也有作用.

2020年的变化还带来了在几乎所有用例中快速部署应用程序的前所未有的需求, 包括在线视频会议, 卫生服务, 政府援助项目, 金融服务, 还有在线订购和配送.

微服务的云提供在很大程度上支持了快速发展和CI/CD的扩展. 因此,容器及其周围的所有安全方面都是非常相关的.

SECaaS是为这些新应用程序提供云供应的关键组件. 除了, XDR可以帮助保护开发人员和管理员使用的端点,并提供监视, 对基础设施进行调整和推广时的调查和响应能力. SASE还可以在有效控制对新系统的访问方面发挥作用.

结论

基础设施交付技术的持续变化支持数字化变化,满足灵活的需求, 敏捷的系统交付和使用模式的变更. 这些趋势要求改变安全控制的实施方式. 与此同时, 组织与他们已经接收到的大量信息作斗争,并在维护现有系统上花费大量资源.

四项关键技术可以加强组织的安全战略,以应对挑战, 支持转型,为未来发展搭建平台:

  • 启用saas的安全性提供了跨常规组织范围的视图,并将安全管理工具维护的负担转移给服务提供商
  • 扩展检测和响应(XDR),为环境提供更详细的可见性和控制
  • 安全访问服务边缘(SASE)以整合现有的控制并支持对资源的独立位置访问, 通过支持零信任方法提供的细粒度访问控制
  • 容器安全,为微服务提供快速打补丁和一致配置的平台

采用这些广泛的方法可以帮助组织的安全团队增加安全相关事件的覆盖范围和可见性, 让他们专注于管理安全结果,而不是花时间管理平台, 这既浪费时间又分散了他们对核心工作的注意力.

关于完美体育的安全

被公认为安全部门的领导者, 完美体育技术帮助客户防止潜在的攻击路径, 降低网络风险, 并改进威胁检测和事件响应. 完美体育的专家咨询服务和24x7管理安全服务支持3,000名专家和全球安全行动中心网络. 完美体育可根据客户多样化的安全需求提供量身定制的解决方案, 专门从事网络防御, 数字身份, 安全的基础设施和数据保护.

了解完美体育如何在大规模数字变革中帮助保护您的企业 dxc.技术/安全.

关于作者

Dr. 罗德尼戴维斯 完美体育技术的安全和服务运营架构师吗, 在该领域拥有超过20年的经验. 他在完美体育的管理安全服务部门工作, 在那里,他专注于确保完美体育客户安全所需的技术,以及这些技术的日常运作方式,以提供有效的服务.

迈克达顿, 澳大利亚完美体育管理安全服务公司的高级安全架构师, 有近10年的工作经验,参与过完美体育几乎所有的管理安全服务, 专注于云安全. 他确保完美体育选择适当和有效的安全控制,以支持客户实现其数字转型目标.

Yahya Kharraz 完美体育技术的信息安全架构师,拥有广泛的安全经验吗, 从技术解决方案到安全治理和风险. 他在终端和基础设施安全方面有丰富的经验,并对云充满热情, web应用程序开发, 自动化和编码. 这是他职业兴趣的一部分, 他不断探索和评估尖端技术.

德克塞斯 目前是完美体育技术的安全合规顾问. 他也是负责全球完美体育平台X加固和安全的首席架构师/工程师. 德克与合作伙伴和供应商密切合作,以实现完美体育的业务目标和客户的需求. 他曾从事过各种IT业务, 工程, 项目和计划领导角色, 管理平台安全团队,负责为全球600多个客户提供合规管理服务.

 

相关的服务

安全

走在攻击者的前面,降低风险. 完美体育的专家服务和威胁情报帮助您在IT环境和运营中建立网络弹性.