云环境提供了许多好处,主要涉及它们的易扩展性和弹性。这些品质的存在是因为自动化以及利用它来增强云环境的简单直接的方法。
虽然通过自动化实现的轻松可能有缺点,如果您曾经从云提供商那里收到过意外账单;您就会敏锐地了解这些缺点,它可以用来实现巨大的规模经济。
自动化带来巨大好处的一个方面是保护云环境。
本文将概述医疗保健行业的首席信息安全官可以自动化云安全控制并将这些控制集成到标准部署周期中的一些方法。
所有这些建议的基本主题:保持标准和统一。
选择一个框架
一致性是关键,因为它提供了可预测性;不可预测性会影响您的生产环境。
有许多云安全框架和最佳实践。云安全联盟 ( CSA )、美国国家标准技术研究院 ( NIST ) 和 HITrust 只是少数几个提供这些服务的机构之一。
最佳实践和建议在很大程度上是相同的,但是如何实现这些可能或多或少是基于一个框架来规定的。
这里的重要考虑是选择一个框架并坚持使用它。三心二意地实现一个框架然后切换到另一个可能会增加不必要的复杂性以及内部混乱和冲突。
将基础设施和政策视为代码
将资产视为代码有助于形成统一且可审计的环境。可以根据框架最佳实践配置和验证安全设置。可以记录和调查异常(如果需要)或补救(如果不需要)。
在将基础设施视为代码的情况下,原生和第三方云管理平台使用户能够将基础设施的安全配置模板化并存储这些模板,以便在每次需要建立新环境时轻松使用。
这在容器化环境中变得更加直接,容器设置可以在集中管理平台中配置,允许每次创建容器时进行统一和安全的部署。
作为代码的政策在很大程度上是相同的。网络配置、访问供应和授权的模板化和重用策略提供了网络和用户帐户的一致部署。这些设置变得一致且可预测地部署。
更重要的是:为基础设施、容器和策略创建管理设置的集中存储库允许审计这些存储库。不仅配置可审计和一致,而且对这些存储库的访问也可以一致地管理和审计。
如果进行了更改,无论是有意还是无意,安全团队都可以看到并验证该更改。如果这种变化是不可预测的,有人可以采取行动。
自动化资产标记
资产标签是保护信息治理和识别云资产的敏感性(以及风险)的关键特性。安全团队可以收集信息或根据标签采取行动。
该标记可以通过基础架构即代码方法或使用云提供的合规性策略来自动化资产标记来实现自动化。
如果您在云平台基础架构上对 Kubernetes、Docker 或其他一些容器化技术进行分层,您应该使用标签来使用与您的云标记架构一致的元数据来标记这些临时资产。
自动化标记可以在未来带来好处。例如,如果您知道某些资产包含 PHI、命令数据或其他敏感信息,您可以利用自动标签在创建时标记这些资产并避免流氓数据集。
请注意,您总是需要一些人工干预,但自动资产标记会大大减少这种情况。
自动化安全基础设施部署
根据分配给您的资产的标签,您可能希望根据标签采取不同的操作。这可能包括收集或多或少的遥测数据以输入到您的SIEM或其他集中式监控基础设施中。
如果它是虚拟化服务器,则可能包括部署检测和响应基础设施以及其他支持代理(如果适用)。
关于如何配置和部署安全基础设施以及收集或不收集哪些数据,有许多考虑因素。
一个主要的考虑因素是成本,特别是如果您的集中式聚合基础架构位于云环境之外并且您需要为该日志数据支付出口费用。
这些成本会快速增加。从好的方面来看,性能不应受到太大影响。
漏洞扫描
不用说,需要进行漏洞扫描,并且需要对所有资产进行扫描。如果您不自动将新资产包含到漏洞管理工具中,那么您可能会丢失大片环境。这会让您暴露在潜在的攻击和妥协之下。
与基础设施部署一样,成本是这里的一个主要因素。
许多漏洞扫描器根据扫描的 IP 地址或容器数量定价,同时启动许多新服务器或容器以解决高流量可能会导致不可预见的费用,特别是如果您的供应商不愿意与您合作进行临时扩展。
将基础架构视为代码是避免这些成本的关键方法。如果您的某些模板不需要持续扫描,那么您不需要也不应该部署它。
如果他们这样做,那么您可以监控这些特定的基础设施部分,以持续对成本进行建模。
安全编排、自动化和响应 ( SOAR )
SOAR 有效地将安全补救措施视为代码。它在某些重要方面有所不同,但 SOAR 有效地提供了安全补救的存储库和模板化。
在事件发生的地方,可以对其应用可预测的行动,即使它是在个案基础上发生的。
如果您的云环境建立在部署一致性的基础上,那么 SOAR 应该具有令人难以置信的可预测性和高度可调性。
云环境中的一致性意味着安全基线的粒度更细。基线越精细,与该基线的偏差就越明显,安全反应就越可操作(和自动化)。
可能还有其他生产系统需要在执行之前进行人工干预。电子病历和影像服务器被认为是加强审查的潜在候选者。
它们也受到影响正常运行时间的不利变化的最显着影响,这也可能需要加强人工审查。如果标记得当,应该很容易从实施中识别和排除这些资产。
自动化云安全控制可以很简单,如果它们是有计划的、战略性的和一致的。
这种规划和一致性将为模型风险、成本和可操作性带来好处。
计划不当会导致不必要的风险和成本增加,在某些情况下会非常严重。
