7 nguyên tắc để lựa chọn giải pháp bảo mật phù hợp cho Cloud

7 nguyên tắc để lựa chọn giải pháp bảo mật phù hợp cho Cloud

August 15, 2019 | vietsunshine

Gần đây tôi đã có cơ hội trò chuyện với Giám đốc cấp cao về bảo mật đám mây công cộng toàn cầu của Palo Alto Networks, Allan Kristensen, người có hơn 15 năm kinh nghiệm xây dựng các nhóm kỹ thuật giải pháp (SE) hiệu quả cao. Nhóm SE của Palo Alto Networks có kiến thức trực tiếp về các thách thức bảo mật đám mây độc đáo và đa dạng mà khách hàng tiềm năng đang tìm cách giải quyết.

Dựa trên cuộc trò chuyện của tôi với Allan, đây là bảy nguyên tắc thiết yếu để hướng dẫn bạn khi bạn đánh giá và chọn cung cấp bảo mật đám mây phù hợp cho môi trường nhiều đám mây của bạn, trải rộng AWS, Azure và Google Cloud Platform.

Nguyên tắc 1: Hỗ trợ nhiều đám mây – Tối thiểu AWS, Azure và GCP

Theo kinh nghiệm của chúng tôi, hơn ba phần tư khách hàng của chúng tôi có chiến lược nhiều đám mây (multi-cloud) – có thể không phải ban đầu, nhưng chắc chắn sẽ triển khai. Với ý nghĩ đó, điều quan trọng là chọn một giải pháp có thể trải rộng trên các đám mây và cung cấp hỗ trợ đa đám mây tích hợp – với cách tiếp cận tập trung thống nhất khả năng hiển thị trên từng môi trường đám mây của bạn ngày hôm nay và trong tương lai.

Nguyên tắc 2: 100% dựa trên SaaS và dựa trên API – không có tác nhân hoặc proxy

Giải pháp SaaS dựa trên API 100% là cách duy nhất bạn có thể quản lý hiệu quả tính chất phân tán, năng động của môi trường đám mây. Kinh nghiệm của chúng tôi cho thấy rằng khách hàng đang cố gắng tận dụng các sản phẩm agent hoặc dựa trên proxy tạo ra ma sát đáng kể và kết thúc với các điểm mù bảo mật. Có quá nhiều chi phí, rủi ro và công việc thủ công cần có để triển khai và duy trì các sản phẩm không dựa trên API.

Nguyên tắc 3: Khám phá tài nguyên liên tục

Bạn không thể bảo vệ những gì bạn không thể nhìn thấy. Điều quan trọng là chọn một giải pháp theo dõi liên tục và tự động phát hiện các tài nguyên trên đám mây của bạn, chẳng hạn như máy ảo, trường hợp cơ sở dữ liệu, storage buckets, người dùng, khóa truy cập, nhóm bảo mật, mạng, cổng, snapshots, v.v. Một inventory tập trung và tự động cập nhật hiển thị trạng thái bảo mật và tuân thủ của mọi tài nguyên được triển khai là nền tảng cho một chiến lược bảo mật đám mây thực sự hiệu quả.

Nguyên tắc 4: Giám sát tài nguyên tự động

Điều quan trọng không kém là giải pháp của bạn có khả năng tự động áp dụng các chính sách bảo mật mạnh mẽ và nhanh chóng khắc phục các cấu hình sai để đảm bảo tuân thủ các chính sách bảo mật do công ty xác định. Các khả năng này phải bao gồm tất cả các vectơ rủi ro chính trong môi trường đám mây của bạn, bao gồm:

  • Kiểm tra cấu hình: Nghiên cứu gần đây của Unit 42 nhấn mạnh rằng 32% các tổ chức tiếp xúc công khai ít nhất một dịch vụ lưu trữ đám mây. Kiểm tra cấu hình giúp đảm bảo mọi tài nguyên đám mây được triển khai đều được định cấu hình đúng và trong phạm vi bảo vệ đã xác định cũng như bạn không có bất kỳ cấu hình nào trôi qua môi trường đám mây công cộng AWS, Azure và GCP của bạn.
  • Hoạt động mạng: Nghiên cứu tương tự của Unit 42 cũng cho thấy 11% các tổ chức hiện có các hoạt động mã hóa trong môi trường của họ. Để đảm bảo bạn có thể nhìn thấy đầy đủ các hoạt động và lưu lượng mạng đáng ngờ, giải pháp bạn đã chọn phải có thể liên tục theo dõi môi trường đám mây của bạn. Nó không đủ để chỉ có cấu hình và kiểm tra tuân thủ tại chỗ, bởi vì những điều này sẽ chỉ cho bạn biết những gì có thể sai, không phải những gì đang xảy ra. Dưới đây là một ví dụ: Kiểm tra cấu hình có thể giúp phát hiện và cảnh báo về các nhóm bảo mật được cấu hình lỏng lẻo cho phép lưu lượng truy cập vào trên tất cả các cổng từ tất cả các địa chỉ IP. Đây có thể là một vấn đề quan trọng trong nhiệm vụ. Tuy nhiên, không có giám sát mạng, bạn chỉ đơn giản là không thể xác định xem lỗ hổng đã bị khai thác hay chưa, liệu lưu lượng độc hại có xâm nhập ngoài nhóm bảo mật hay không.
  • Kiểm soát khoá truy cập và người dùng: Dữ liệu của Unit 42 cũng cho thấy 29% các tổ chức gặp phải sự thỏa hiệp tài khoản tiềm năng, điều này không chỉ dẫn đến mất dữ liệu mà còn mất kiểm soát và cuối cùng là tự tin vào môi trường đám mây của bạn. Phân tích hành vi người dùng (UBA) và các khả năng dựa trên máy học (ML) khác có thể giúp phát hiện các hoạt động lén lút, chẳng hạn như tấn công thông tin đăng nhập. Những khả năng này giúp khách hàng tìm kiếm và cảnh báo về các hoạt động bất thường. Không có UBA, nó gần như không thể phát hiện ra các cuộc tấn công tinh vi kịp thời.
  • Giám sát và phát hiện lỗ hổng máy chủ và mối đe dọa: Điều quan trọng là phải chọn một dịch vụ bảo mật đám mây có thể tương quan và bối cảnh hóa dữ liệu về mối đe dọa và lỗ hổng từ các bên thứ ba.

Nguyên tắc 5: Tương quan nhiều dữ liệu

Việc bối cảnh hóa liên tục của nhiều bộ dữ liệu khác nhau là rất quan trọng để xây dựng sự hiểu biết sâu sắc về tư thế bảo mật của bạn. Chỉ khi bạn có sự hiểu biết đầy đủ về hồ sơ bảo mật của mình và rủi ro bạn mới có thể khắc phục nhanh các sự cố. Đây chỉ là một vài ví dụ phổ biến:

  • Khối lượng công việc với cấu hình nhóm bảo mật quá mức cho phép, các lỗ hổng máy chủ đã biết được phát hiện và lưu lượng truy cập từ các địa chỉ IP đáng ngờ, v.v.
  • Xác định các hoạt động người dùng đặc quyền trên các môi trường đám mây được thực hiện cho các vị trí bất thường (không thấy trước đây).

Nguyên tắc 6: Khắc phục là tốt. Tự động khắc phục là tốt hơn.

Có nhiều tùy chọn khắc phục (cả hướng dẫn và tự động) rất quan trọng để giảm cửa sổ phơi nhiễm của bạn. Ví dụ: nếu hệ thống xác định nhóm bảo mật mạng có thể truy cập công khai được liên kết với workload nhạy cảm, khả năng tự động hạn chế quyền truy cập là tối quan trọng. Khả năng viết các quy tắc khắc phục tùy chỉnh để đáp ứng nhu cầu cụ thể của bạn là chìa khóa.

Nguyên tắc 7: Tích hợp

Cuối cùng, điều quan trọng là tận dụng một nền tảng mở, cho phép bạn gửi cảnh báo đám mây đến các công cụ và quy trình công việc hiện có, chẳng hạn như SIEM, SOAR, hệ thống ticketing, công cụ cộng tác, v.v.

Lược dịch theo bài viết “Seven Guiding Principles to Selecting the Right Cloud Security Solution” của

Tags: ,