當(dāng)今的云安全導(dǎo)航可能很難理解。許多安全專業(yè)人士問自己，保護(hù)云安全的最佳方法是什么？Black Hat USA 2023約有400家供應(yīng)商，今年RSA Conference 約有500家供應(yīng)商，選擇可能令人眼花繚亂。這個(gè)看似簡單的問題后來演變成了一個(gè)復(fù)雜且定制的答案，通常需要花費(fèi)數(shù)月的時(shí)間來確定所有關(guān)鍵架構(gòu)和設(shè)計(jì)選擇，以便為您的組織做出正確的決策。當(dāng)您最終決定需要安全關(guān)注和資源的關(guān)鍵領(lǐng)域時(shí)，請花一點(diǎn)時(shí)間評估您的風(fēng)險(xiǎn)級別、部署策略和覆蓋區(qū)域。

跟上時(shí)代的變化

我們承認(rèn)云安全不是靜態(tài)的。云在過去 10 年里已經(jīng)發(fā)生了很大的變化，未來 10 年它看起來將會(huì)非常不同。2000 年代初期，它始于網(wǎng)絡(luò)級別，很大程度上是由 SD-WAN 和虛擬網(wǎng)絡(luò)設(shè)備的進(jìn)步推動(dòng)的。我們看到防火墻、網(wǎng)絡(luò)入侵檢測和其他隔離方法在云中得到采用，以確保數(shù)據(jù)的正確分段和資源的隔離。

從早期開始，隨著每月提供越來越多的云服務(wù)，安全供應(yīng)商一直在尋求擴(kuò)大其覆蓋范圍，以確保適當(dāng)?shù)母采w范圍并響應(yīng)市場需求。一個(gè)很好的例子是，虛擬基礎(chǔ)設(shè)施（例如虛擬服務(wù)器或數(shù)據(jù)庫）本身如何支持將大部分設(shè)置抽象為文本文件，以便自動(dòng)配置云資源。然后可以在將這些文本文件部署到云中之前分析其配置錯(cuò)誤或安全問題。另一個(gè)例子是大牌如何隨著時(shí)代的變化而變化。Palo Alto 和 Fortinet 從企業(yè)級防火墻開始，現(xiàn)在提供跨許多云安全領(lǐng)域的產(chǎn)品。

我們在云以及云安全市場中看到的內(nèi)容有三個(gè)方面。首先是新技術(shù)的快速創(chuàng)建，以跟上不斷變化的云環(huán)境。其次，與現(xiàn)有技術(shù)和企業(yè)擴(kuò)張的重疊。第三，我們看到錯(cuò)綜復(fù)雜的營銷術(shù)語，它們試圖幫助教育新技術(shù)并將其組合在一起。主要問題之一是所有這些變化都會(huì)在市場上造成混亂，通常需要大量的演示、解釋和功能清單。

當(dāng)今各種云安全術(shù)語如何相互關(guān)聯(lián)的可視化

云羅盤

我提出一個(gè)實(shí)驗(yàn)，找兩個(gè)安全領(lǐng)導(dǎo)，問CNAPP是什么？根據(jù)任期和安全背景的不同，答案會(huì)有很大差異。我對“云安全”一詞的看法之一是云安全和企業(yè)安全如今比以往任何時(shí)候都更加融合。許多企業(yè)提供混合部署，通常試圖利用云中的可擴(kuò)展性來節(jié)省數(shù)據(jù)中心的成本。當(dāng)我們想到云時(shí)，我們需要擺脫對大型云供應(yīng)商的思考，而只考慮企業(yè)安全的下一步。

如果您需要幫助，我的建議是將其歸結(jié)為四個(gè)關(guān)鍵領(lǐng)域，以及您采取了哪些保護(hù)措施來減輕這些領(lǐng)域的風(fēng)險(xiǎn)。這將幫助您消除疑慮并首先了解您組織的需求，然后再找到適合的解決方案。

工作負(fù)載：這是處理數(shù)據(jù)的正在運(yùn)行的高價(jià)值應(yīng)用程序?？紤]暴露哪些數(shù)據(jù)以及它們?nèi)绾蜗嗷ネㄐ乓约芭c外部通信。

身份：這是涉及基礎(chǔ)設(shè)施每個(gè)點(diǎn)的人員或內(nèi)容，例如開發(fā)人員或服務(wù)帳戶?？紤]一下如何管理、驗(yàn)證和減少權(quán)限。

狀態(tài)：這是一個(gè)或多個(gè)架構(gòu)中存在的許多配置、設(shè)置、網(wǎng)絡(luò)、安全組以及所有數(shù)百萬個(gè)其他部分。想想如何不斷檢查和驗(yàn)證這些設(shè)置。

企業(yè)：這是工作負(fù)載處于活動(dòng)狀態(tài)之前的管道、代碼、部署和集成。思考您的供應(yīng)鏈如何運(yùn)作以及如何及早發(fā)現(xiàn)問題。

下次當(dāng)看到 CNAPP、CASB、WAAS、CSPM 或許多其他短語時(shí)，深吸一口氣并認(rèn)識(shí)到企業(yè)安全從來都不是二進(jìn)制的 1 或 0，這將很有幫助。這從來不是你有這個(gè)或那個(gè)的問題。圍繞工作負(fù)載、身份、狀態(tài)和企業(yè)來構(gòu)建您的需求可以幫助您更好地了解您的特定需求，并在嘗試與這些其他術(shù)語保持一致時(shí)處于更好的位置。