几个缩写:
CWS:Cloud Workload Security
S&R Pros:Security & Risk Professionals
S&R:Security and risk
IaaS:infrastructure-as-a-service
PaaS:platform-as-a-service
为什么要读这份报告?
云已经成为各种技术Workload的可行的(如果不是首选)选项,但保护云Workload并不容易。
安全和风险(S&R)专业人员必须为多个云提供商平台(即基础设施即服务(IaaS)和平台即服务(PaaS))中的Workload实施和管理一套一致的安全策略。
本报告检查了8个集中式云Workload安全(CWS)管理的供应商解决方案,并进行了比较:1)支持IaaS平台; 2)恶意软件保护;
3)基于主机的防火墙; 4)日志检查; 5)入侵检测和预防(IDS / IPS); 6)配置管理和文件完整性监控; 和7)虚拟化支持。
(一)S&R专业人士必须参与和保护多样的云生态系统
当CMO和CIO支持您将某些Workload转移到云端时,对于企业的业务技术议程,云很重要了(见图1)。
如今,公共云提供商承载关键Workload,存储敏感企业数据。事实上,由于供应商提供的安全功能越来越多,安全性可能不再是采用云的障碍,而是推进的作用。根据我们的调查,49%的业务和技术决策者表示,提高安全性或合规性要求对于采用公共云是非常重要的(见图2)。
您的公司,而不是云提供商,是对任何违规行为负责。但是,你的角色确实改变了,您必须通过在云Workload中一致地实施和执行安全策略来保护公司的安全状态。成为云使能者也是您的职责,采用云,甚至促进云采用,同时确保云的安全。
(二)S&R专家不能依赖传统供应商和云提供商的能力
虽然本地安全供应商和公共云提供商为云Workload提供了一些安全性,但S&R专业人员知道他们必须增强这些产品和服务,因为它们不能:
■要求IaaS提供商提供多种云的安全支持。
越来越多的Forrester客户使用多个IaaS云提供商。不幸的是,单独的IaaS提供商不提供跨平台安全支持。例如,AWS不支持其他云的集中安全管理。如果您在另一个云(如IBM,MicrosoftAzure或Rackspace)中运行Workload,那么您就不幸了。在这种情况下,安全管理变得分散,非常困难。由于成本和复杂性,安全管理任务(如用户活动profile建模和为每个云建立基准行为profile)变得不可能。
■只依靠IaaS提供商来提供整体的安全保障。
IaaS提供商希望在其责任和客户的责任之间保持一条划界线。在安全方面,IaaS提供商通常会提供:
1)hypervisor和host根访问控制;2)其周边网络安全;3)DDoS保护;和4)存储安全。
然而,IaaS提供商通常不提供:1)IDS / IPS;2)漏洞扫描;3)配置管理;4)防病毒和端点保护;5)打补丁 6)安全监控和日志分析。
■使用其IaaS提供商的管理控制台进行安全管理。
除了AWS和IBM之外,IaaS提供商在其控制台中提供与基础设施相关功能的管理,包括基本的网络安全控制、虚拟化/管理程序控制、文件完整性监控,合规审计、访问控制和其他安全管理功能。此外,通常的安全任务(如打补丁)很难从提供商的控制台完成。一家北美的S&R专业人士表示,提供商的控制台很难用于安全管理。
■为IaaS Workload改进其内部部署安全解决方案。
内部部署安全解决方案在云平台中不起作用,因为安全性与云基础设施之间的架构差异。例如,如果公司在云Workload上使用临时网络端口,则这些不断变化的端口难以在DevOps部署模型中集成和保护(DevOps部署模型将依赖于Workload上可用的静态端口)。
Forrester的许多受访者表示,在过去的12至18个月内,他们不再为保护IaaS Workload而改进内部部署安全工具。
(三)他们的内部流程和员工技能还不成熟
云Workload安全不仅仅是一个技术挑战,而且还要求S&R人员改变他们对安全治理流程的思考。考虑到S&R专业人员:
■尚未与DevOps计划进行整合,云可以加速DevOps。
DevOps将应用程序开发和IT操作相结合,使企业能够更快地将新代码投产,从而实现服务和产品的快速引入或改进。
DevOps的主要优点之一是能够持续集成代码,并持续交付应用程序和基础架构。云加速了DevOps,因为它提供可扩展的环境来开发和测试代码。公司还使用DevOps配置方法,如Chef和Puppet来安装、配置和保护新的Workload。为了跟上发展,S&R专业人员必须使安全过程更加嵌入,更快,更连续
– 否则安全性将拖慢代码发布的步伐。
■缺乏工作人员来保护自己公司面向客户的云产品。
基于IaaS的不仅仅是为了内部应用:ISV供应商和大型企业公司构建和交付自己的SaaS产品。北美独立软件网站供应商(ISV)表示,其三至五名内部的S&R专业人士,主要致力于内部IT安全,没有来保护公司的新业务应用SaaS产品。
■努力实现大规模自动化安全配置。
Cloudbursting、未使用的,陈旧的Workload – 服务器在负载已经停止后长时间运行,这些都是当前的安全配置挑战。如果管理不当,这些Workload会增加威胁面。
IaaS Workload的手动的安全加固和配置不仅昂贵,而且常常错过关键点。问题进一步加剧:1)边界安全的损失,2)来自外包或IaaS管理员的内部风险 – 恶意管理员可能会对配置进行致命的更改。
■缺乏有效管理API的工具。
鉴于安全技能不足,许多安全团队无法投资于API安全工具,作为IaaS Workload管理和安全性的关键支撑。 Forrester的受访者还报告说,他们负责管理应用程序和操作系统,不支持API级别集成和策略管理。
(四)Cws旨在解决不同云的安全挑战
安全团队可以尝试构建CWS功能,但是有很少的团队拥有必要的资源和技能来实施。随着公司从云实验转向云实施,建立内部框架以确保云Workload的安全性很难,由于可扩展性,性能和成本原因。
以前许多以前的服务已经存在于不同和分散的产品中。许多CWS解决方案是,它们将这些功能集成在一个伞下:
1)了解IaaS工作负载中发生的情况;2)单一策略管理接口;和3)统一审计。 CWS提供了许多有用的IaaS安全控制,如(见图3):
■IaaS Workload的管理员用户访问管理。
CWS解决方案提供Workload级别的访问帐户和特权的管理,例如SSH
key管理,帐户参数和身份验证设置,以及用于网络访问Workload的多因素身份验证。这些功能具有SAML
2.0功能,使用户能够利用现有的IAM存储来进行强大的Workload访问认证,无论Workload在何处。
CWS解决方案可以跨云平台工作,防止云提供商特定的IAM控制锁定。
CloudPassage为CWS管理控制台上的身份验证IaaSWorkload管理员提供双因素身份验证选项。
■基于文件活动的反恶意软件保护。
CWS解决方案通过以下组合提供反恶意软件保护:1)对可疑活动进行日志监控;2)跟踪用户行为;3)安装传统的反恶意软件端点代理;要么4)在虚拟机上安装代理以监视文件事件,并检测可疑行为。
■持续配置监控和管理。
CWS解决方案通过以下几种方式实现:1)他们确保在创建机器和服务时,凭据不会嵌入到配置管理工具中;2)将云服务插入CWS解决方案后,对平台进行检查,自动学习运行安全配置,结构和特点;
3)基于这些集中式策略,管理员可以将默认或自定义配置推送到Workload;和4)CWS解决方案还监视Workload配置,如果有任何改变,则使用API连接到Workload,立即将配置恢复为预定义值(在CWS策略控制台中定义)。
■使用加密校验进行文件完整性监控。
CWS解决方案还提供文件完整性监控。为此,CWS代理扫描重要的Workload文件,以防止文件内容、文件安全性和访问属性的意外更改。这最常用于入侵或攻击检测。文件完整性监控通常还包括补丁监控。
■基于主机的防火墙和软件定义的网络。
CWS解决方案为IaaS和PaaS
Linux和WindowsWorkload提供基于主机的防火墙。 CWS主机防火墙添加了本机防火墙的功能,包括系统(Linux
IP表或Windows防火墙)使用集中策略管理(共享对象,动态DNS,安全组),策略配置启发式,审计,身份和访问管理,和服务器访问控制。趋势科技的趋势科技服务器深度安全防护系统使用集中管理的状态式防火墙,通过中央管理和日志记录,取代了基于主机的防火墙。
■入站和出站API集成。
云安全性是无头、API级,程序化系统集成。 CWS解决方案可以:1)调用其他SA,IAM,IaaSWorkload管理,虚拟化系统及其管理界面的API,以及2)公开自己的API进行入站集成和CWS策略管理。
■与DevOps配置管理系统集成。
在过去的18至24个月中,技术管理团队使用DevOps工具,如Chef,Docker,Jenkins和Puppet已经变得越来越重要。
CWS解决方案直接与这些DevOps工具集成,管理安全配置参数,在IaaSWorkload构建和配置过程中,从而使Workload安全。
■IPS用于网络流量和配置变更的监控。
下一代防火墙通常提供这种服务,它们应该可以嵌入到云服务中。另外,CWS解决方案可以通过以下方式来检测入侵:1)监控出入Workload的网络流量;2)检测Workload的任何进程或配置更改; 3)监测和分析Workload行为日志。
■日志检查作为CWS的基石之一。
CWS解决方案支持IaaS和PaaSWorkload的日志检查。
他们提供自己的日志分析引擎,并与现有的客户SIM或安全分析(SA)系统整合。通过CWS自己的日志分析引擎,CWS解决方案遍历IaaS和PaaSWorkload日志,以识别可疑事件。处理任何值得注意的事件,并生成元数据以供CWS算法使用。
如果事件被认为有风险,CWS解决方案可能会引发事件。
在SA集成模式下,CWS解决方案与现有的SA解决方案集成,用于:1)基于主机的本机防火墙日志,2)Amazon AWS’s Simple
Notification Service (SNS)。
(五)CWS架构可以是无代理和基于代理的
CWS供应商提供一个SaaS,用于管理IaaS、PaaS和本地工作负载上的代理和监测点。 该解决方案提供了上述功能和功能。 Workload代理最好由DevOps工具(如Chef和Puppet)安装,但可以手动安装(参见图4)。
(六)Cws供应商提供强大的安全功能
云计算供应商(例如CloudPassage,Conjur,Dome9,Illumio和Palerra)拥有SaaS
first策略管理服务器,而传统的供应商(Alert Logic,Symantec和Trend
Micro)则提供SaaS和内部部署策略服务器。进一步来说:
■Alert Logic有安全即服务解决方案和用于事件监控的托管服务。
Alert Logic解决方案提供了一个可管理的:1)基于网络的IDS;2)日志管理/SIEM; 3)Web应用防火墙;4)大数据分析与相关引擎;和 5)24×7事件监控。
该解决方案是CWS的综合套件,它是一个可扩展的安全即服务产品,由Alert Logic完全管理,但可能需要来自公司安全技能。该解决方案缺乏基于主机的防火墙和配置管理功能,这可能会使需要将内部部署Workload连接到云Workload的公司困难。
■CloudPassage提供广泛的覆盖,基于代理的CWS架构。
CloudPassage
Halo是支持私有云、公共IaaS和混合/多云环境的CWS平台。 Halo用户安装了一个小型代理(约3
MB),可以与中央的Halo安全分析引擎保持持续的联系。 Halo提供安全可视化和情报、访问控制,合规性报告,漏洞管理和入侵检测。
■Conjur是用于管理,审计和保护基础架构的DevOps平台。
公司使用Conjur保留凭证,密钥,证书和其他秘密信息,将旧版目录和身份验证服务映射到云平台。
Conjur运行在高可用性和容错的主/从架构中。通过完整的API访问,无需代理,Conjur可快速部署到任何平台,从虚拟设备到裸机。解决方案的IPS功能确保只有已知和定义的实体才能访问Workload,但不包括基于网络Workload的IPS。
■Dome9 SecOps旨在确保组织的整体云安全。
该解决方案与IaaS提供商的内置安全框架(如AWS安全组)集成,并提供防火墙控制以及威胁的可视化。它提供了一个纯粹的基于SaaS的可扩展架构,具有大数据驱动的安全分析和策略引擎。设计考虑到自动化,保护可以完全无代理,或通过瘦3
MB代理,具有大规模防火墙管理,策略可视化,动态访问租约,合规性审计和文件完整性监控。该解决方案缺少身份和访问管理功能(对IaaS
Workload管理接口和目录的双因素身份验证)。
■Illumio根据应用程序属性分段并保护云Workload。
Illumio自适应安全平台的策略计算引擎(基于云或内部部署)在每个云和数据中心Workload上计算并提供精确的安全策略。该解决方案允许通过以下属性进行Workload标记和应用程序分割:
1)Workload的角色; 2)申请;3)环境(开发,分期,生产等);和 4)物理位置。
使用自然语言策略表达方法,解决方案不间断地保护Workload,而不依赖于底层网络或管理程序。
解决方案:1)自动编程每个Workload上可用的防火墙规则;2)可视化实时应用流量,违反政策和攻击告警;3)创建PCI DSS合规性加密;和4)通过DevOps集成自动化安全。
该解决方案缺乏配置管理,文件完整性监控,基于主机的防火墙,以及云Workload的IPS和IAM功能。
■Palerra在SaaS,PaaS和IaaSWorkload方面提供威胁可见性和合规性。
Palerra的Loric是一个基于云的平台(没有硬件,没有软件,没有代理,提供威胁可见性,并确保SaaS,PaaS和IaaS的合规性)。它将威胁检测,预测分析,配置监控和事件响应组合到一个平台中。Loric使用由管理员配置的服务帐户连接到云Workload,并开始处理事件和元数据以识别威胁。该解决方案缺乏基于主机的防火墙和IPS功能以及管理程序的安全性。公司缺乏大型安装基础令部分客户担忧。
■Symantec Data Center SecurityServer Advanced加强云端Workload安全。
该解决方案为应用程序Workload提供安全强化和监控,包括恶意软件保护,基于主机的IPD
/
IDS,文件完整性监控和内部部署,网络IPS保护,跨本地、AWS和OpenStack环境。迄今为止,全球系统集成商和电信合作伙伴都承载了当前版本的产品,将其作为向客户提供的私有云服务。此外,该产品使客户能够为新配置的云Workload自动化安全、反恶意软件和防火墙策略。控制合规套件可以扫描配置的变更和漏洞,在客户的私有和公共云基础设施中。
■趋势TrendMicro Deep Security防范云和虚拟Workload的威胁。
趋势Trend
Micro Deep
Security使用基于网络和文件的安全性,来防范漏洞利用,恶意软件和未经批准的系统更改。其基于代理和无代理的安全(适用于VMware虚拟化环境)提供:1)状态的防火墙,与URL过滤和入侵检测/预防相结合;2)反恶意软件;3)文件完整性监控;和4)以安全为中心的日志检查。
Trend Micro SecureCloud为云Workload中供完整的磁盘加密。它支持云和虚拟化(VMware)环境,并提供用于集成的SDK和API指南。该解决方案不是一个真正的SaaS CWS,并且是IaaS CWS要求的未经验证的解决方案。
