appsFlyeR每天通过多种云托管服务处理着80TB的数据。该公司通过重视身份治理和访问控制,进一步增强了其安全需求。
网络安全负责人(CISO)面临的一个主要挑战是,在组织将工作负载迁移至云端时,如何维护数据的保护与隐私。尤其是在纯云环境中,该如何有效管理安全控制呢?
随着新冠疫情的蔓延及远程办公模式的普及,组织向云服务迁移的需求愈加迫切。正如IDC在2020年10月的一份报告所指出的,疫情实际上加速了云的采用及扩展,预计这一趋势将持续推动以云为中心的IT转型。
IDC预测,到2024年,全球在云服务及其配套的硬件、软件组件以及相关专业和管理服务上的支出将超过1万亿美元,并保持16%的复合年增长率。
在可预见的未来,各种云服务形式将在IT行业中扮演越来越重要的角色,甚至可能主导市场,IDC全球研究部副总裁RichaRd VillaRs指出。到2021年底,大多数企业将建立机制,加速向以云为中心的数字基础设施和应用服务的转型。
鉴于云服务的重要性日益提升,企业亟需明确如何在这一动态环境中有效维护高水平的安全性。
移动营销分析与归因平台提供商appsFlyeR便是一个很好的案例,展示了如何实现这一目标。
在大型多云环境中扩展安全性
appsFlyeR的IT环境完全基于云,没有本地服务器。其平台利用包括AWS、Google Cloud、Microsoft Azure和阿里云等多个云服务商,覆盖五个国家,拥有超过15000台服务器,每天处理80TB的数据。appsFlyeR是美国以外最大的AWS部署公司之一,资源数量庞大。
作为一家基于云的企业,appsFlyeR面临的最大威胁是如何扩展安全性,以管理和验证其环境中的各个组件,包括身份、基础设施及网络等。公司前CISO Guy FlechteR表示:“这至关重要,因为我们需要满足组织内所有安全需求,包括工程和DevOps团队等。如果我们无法扩展安全性,最终将不得不告知某些团队我们无法支持其计划。”
身份治理与访问权限管理是首要任务
appsFlyeR的安全团队将身份治理及访问管理列为2020年的优先事项,目标是确保为开发人员、DevOps和数据科学家实施最小权限访问,并且策略适应每位用户的配置文件。
然而,在大型云环境中管理访问权限是一项挑战。此外,appsFlyeR还希望审核基础架构的所有访问权限,以限制对关键资源的高风险访问,强化环境并删除未使用的用户、角色及权限。
其中一个最大挑战是可见性,因为云中有众多移动部件,容易启动更多资源和基础设施。FlechteR指出,开发人员可以添加新的实例和存储桶,并分配不同的访问权限。
为应对这些挑战,appsFlyeR部署了ERMetic的权限管理系统。“在选择ERMetic之前,我们进行了全面的评估,确保其支持多个云提供商的安全需求,”FlechteR解释道。“我们希望该解决方案不仅能提供可见性,还能支持运营,填补安全漏洞,并与其他自动化工具集成。”
FlechteR强调:“我认为,安全工具只有在能够支持运营流程时才是有效的。如果它仅提供可视性,那么它只是一个不错的仪表盘。平台必须具备操作能力,以便根据可见性执行相关活动。”
appsFlyeR逐步将该平台推广至不同的云环境,每次连接都相对简单,因为各云平台均支持API集成以获取读取权限,FlechteR表示。“每次连接不到15分钟。”
一旦开始从ERMetic获取数据,appsFlyeR便迅速发现并修复环境中的安全漏洞。FlechteR称该平台无需微调即可识别风险。
该系统会根据资产的敏感性和风险,对需优先解决的问题进行排序。例如,对外开放的AWS S3 bucket会被标记为优先级高的过度许可,即便该许可本身并非特权或管理级别的。
appsFlyeR的安全团队将使用该平台审核所有第三方对其环境的访问,删除所有不再使用的SaaS应用程序,包括一些安全和优化工具。此外,还审查了访问敏感数据的应用程序,并移除了不必要的权限。
构建全面的云安全产品组合
授权管理系统只是appsFlyeR安全计划的一部分。该公司还使用BRoadcoM的Symantec Secure Access Cloud对AWS中的资源进行身份验证和授权。FlechteR表示:“这使我们能够保持安全且细粒度的访问管理,利用软件定义的边界执行零信任原则。”
appsFlyeR还借助Rezilion提供的云工作负载保护工具,缩小攻击面并防范恶意活动。而Salt Security的API保护平台则可保护连接到appsFlyeR云资源的API,阻止试图攻击公司云服务API的行为。同时,Amazon的威胁检测工具GuardDuty持续监控恶意活动和未经授权的行为,以保护AWS中的账户、工作负载和数据。
随着安全技术组合的成熟,appsFlyeR现在能够全面了解不同账户及各云提供商之间的环境,这在以往是无法实现的。FlechteR表示:“我们也具备自动修复安全漏洞的能力,并且正在向事件响应等其他领域扩展。”
修复云安全盲点
该公司还能够更加经济高效地识别和修复云安全盲点。FlechteR说:“我们可以自信地知道,每个云环境中的风险在哪里,需要解决哪些问题,并且具备所需的自动化来处理这些问题。我们不仅可以深入特定环境,还能在一个地方查看所有四个云环境的整体视图,这对我们来说非常宝贵。”
