企业处于迁移到云的早期阶段。在他们迁移时,初始网络安全焦点往往是遵守并减少潜在的攻击表面。随着迁移的发展,焦点可能会扩展到确保身份和访问管理(IAM)策略,简单的存储服务(S3)桶等。
云迁移过程中容易丢失的是可见性。可见性是网络安全的关键,必须在云迁移中考虑到这一点。无论您使用虚拟部署还是on-prem部署,网络可见性概念都是相同的。关于您的网络中正在发生的事情,只有一个来源是真实的——而这个来源就是您的数据包。每一个用来保护你的组织的安全策略和工具,都必须在设计时考虑到“真相的来源”。
让我们回顾一下威胁狩猎的概念,确保你的威胁表面得到良好保护的最佳实践,以及挑战云环境中的能见度。
云安全吗?
关于云是安全的有很多误解,我认为这种误解来自这样一个事实,即您不会接触到云中的很多组件。许多客户进入云计算后可能认为他们不需要应用特定的安全实践,因为他们认为它已经是安全的了。我们需要不断地教育人们,让他们知道这是一种分担责任的模式。
云提供商必须确保网络的物理元素,谁提供进入其数据中心,服务器和交换机。作为云消费者,您必须查看您正在部署的内容,您使用的是什么以及您配置的是什么。
你必须考虑对你的设备的访问,它是否面向公共的web服务器,数据库服务器,你允许什么端口和协议。此外,您还必须关注从软件补丁和身份验证到协议访问和端口访问的所有安全性。
特别是当访问对公众开放时,它为伪装在流量中的威胁打开了窗口。因此,理解您的责任是非常重要的,并且在云计算中也不能免除您的任何安全实践。
威胁狩猎和事件和云中的反应
一个有效的黑客的目标不是进来挥舞他们已经征服了你的网络的旗帜。黑客的目标是渗透你的网络,然后坐在那里观察发生了什么。在你不知情的情况下收集数据。大多数成功的黑客会在您不知情的情况下进入您的网络一段时间、几天、几周或几个月。
云环境中用于应对这种情况的两种工具是“事件响应”和“威胁狩猎”或网络检测和响应(NDR)解决方案。
事件响应是一种反应性的网络安全程序,有助于识别、调查和响应潜在事件,试图将影响最小化,并确保尽可能快速的恢复。当一个事件触发了一个设置警报,您将查看数据以发现发生了什么,以及它是否仍在发生。
威胁搜索是一种主动的方法,从假设开始,确定我的环境中可能存在哪些漏洞。然后从网络和数据集中收集数据来验证或否定这个假设。
对于入射响应和威胁狩猎,数据是驱动解决方案所需的燃料。如果您需要用威胁狩猎进行任何形式的推理,您需要很多非常高的密度,高信号到噪声比数据。能够有效地访问数据并具有高级查询能力和日志管理,以便能够将该数据相关的异常检测非常重要。一个好的信息队员将使用此数据来弄清楚某些事情是恶意的,还是如果某些东西只是在该环境中的不投诉,然后可以在需要采取任何行动。
云环境中可见性和访问的挑战
在云环境中,成功的威胁追踪和事件响应需要适当的可见性,IT团队需要确切地了解他们负责保护什么。而责任模型的一部分往往被忽视,那就是为各种安全解决方案提供可见性。
每个云提供商都有数百种服务,并且快速变得复杂。云提供商可以以可用的深入登录标识的形式提供可见性,但挑战是规模,聚合和更深入的洞察力。一个例子,某些提供程序您可以手动打开像记录等的功能。Secops工程师可能必须确保记录功能始终打开,并且该攻击者不能恶意将其关闭。这成为一个规模问题。另一个问题是日志的聚合,因为一些这些服务将它们的日志发送到Azure Security Center。
这适用于平台内的许多不同服务。数据“归一化”是重要的,因为您希望在您的组织用于查看的结构中拥有您的流量。你不能在这里有不同的结构,在那里有一个不同的结构。它减慢了你的效率。当数据未标准化时,它会减慢您主动的能力。
不幸的是,所有的云环境在实现包可见性方面都面临着不同的挑战,因为应用程序正在变得更小、更轻、更容器化和更灵活。大多数公共云提供商要么有某种形式的有限的本地vTAP可见性选项,比如AWS,要么根本没有选项,而Azure目前没有。
我们一直从我们的合作伙伴那里听到这样的故事,客户试图“百变”他们的云可见性解决方案,使用数据包捕获和主机在TCP dump和Net Mont,或其他组合。这些都不是理想的解决方案。他们不可避免地会遇到网络盲点,这就是他们引入Garland的典型原因。
现代的云能见度解决方案,比如花环棱镜提供基于流量的虚拟机访问。它提供了对East West container和Kubernetes基础流量的可见性,并提供了灵活性,允许团队弥补Azure或AWS可能存在的漏洞,以便在各种云环境中部署网络检测和响应(NDR)解决方案。有效地规范化数据,使其成为单一的真相来源,为您提供保护组织所需的安全策略和工具可见性、可伸缩性和聚合。
威胁狩猎和事件反应是现代云安全策略的未来。为了使这些策略成功,在预级和云中的数据包可见性仍然是网络内部正在进行的单一来源或真实性。
希望为云部署增加可见性,但不确定从哪里开始?加入我们的简短介绍网络设计- it咨询或演示。没有义务 - 这是我们喜欢做的!
