为什么云意味着对安全的新思考方式

随着基于互联网的平台的新特性逐渐消失，越来越多的组织每年都会转向云来托管和交付应用程序。 但一位专家说，IT部门必须放弃对安全的旧想法，采用新的设计和原则。

如果他们不这样做，Securos is的顾问、云管理软件初创公司的联合创始人迈克·罗斯曼(Mike Rothman)周三警告说，他们将遇到很多麻烦。

“如果你不能从云优先的角度开始思考问题，事情就不会变得容易，”他说。

他说，与内部数据中心模型不同，在云中，IT不控制数据中心。 事实上，罗斯曼指出，你只有代码：云只是一个你连接的接口。

不耐烦的组织只想直接将工作负载提升到云，包括它们的架构。 他说，这是一个很大的错误，特别是如果在室内使用平板网络。

他指出，云中的平坦网络使攻击者很容易得到任何东西。

因此，转储平面架构。

“分割是你的朋友；账户隔离是最好的做法，”他说。 他补充说，隔离使攻击面最小化。

另一个例子：在数据中心中，没有存储应用程序代码的管理平面。 云中有.. 如果攻击者进入管理平面，他们可以访问所有应用程序，并可以消灭公司。 所以保护这架飞机是至关重要的。

“我们搬到云端的想法是开始思考我们如何使用云语，而不是旧的东西，因为它是舒适的，”他说，“我们必须开始分离我们过去所做的事情，而不是我们需要做的事情。

提高企业安全的“秘密要素”就在你的眼皮底下：更好地利用硬件的日志。

一些CISO被他们的组织引入云端，他们决定他们必须利用权力。

罗斯曼说，云也意味着工作得更快。 传统组织可能每年对软件进行两次修改。 一些基于云的公司——比如亚马逊A WS——每周可以更新几次代码。 “我们有我们以前没见过的速度”。

“云母并不意味着不是遗产，”他补充道。 “这意味着你要么从头开始构建，要么毫无妥协地重新构建。

他承认，并非所有的工作量都可以重新分类。 一个关闭其数据中心但被一个不可或缺的遗留应用程序困住的组织将不得不找到一些“多云”的工作解决方案，包括在应用程序周围建立一条护城河。

否则，云本地规则。 这意味着认识到，进入云意味着默认情况下的隔离，利用架构进行安全，为广泛使用自动化做好准备，因为基础设施可以扩展和收缩，API将被广泛用于连接机器。

“那些从开发者的思维中理解和思考安全的人是绝对关键的，”他说。 “快速失败的整个创业心态在安全方面是绝对关键的，因为这就是我们的开发人员和运营人员将要做的。 我们也得接受。

“顺便说一句，这意味着我们必须管理预期——这是我们长期以来一直蹩脚的期望。 我们不能保证一切，它移动得太快了。 我们将尝试减少攻击面，我们将尝试尽可能多地自动化，这样我们就可以尽可能快地移动，但那里会有一些失败。

他还表示，开发应用程序的艺术，在代码发布之前的每一步都要考虑到安全性，以进行彻底的测试，这是至关重要的。 “架构加上DevOps是云安全。

他说，云打开了许多机会，比如利用自动化和编排。 想象一下创建“护栏”，这是最佳实践-安全或操作-可以使用自动化强制执行。 例如，一个应用程序，它检查您的组织的AmazonS3存储桶上的所有应享权利，并自动关闭那些打开互联网的权限。 他说，自动化也可以用来隔离受感染的服务器，或者切断90天内没有使用的访问密钥。

罗斯曼在接受采访时说，云中的安全可能比前提环境更好

“如果你做得对的话。 如果你尝试应用大量传统的安全控制，在你的数据中心以平庸的方式工作，它就不会结束得很好。 但是，如果您从帐户隔离、网络隔离、在部署管道的测试中构建最佳实践，将安全性视为另一种代码，并拥有不可变的基础设施，这样您就不会只是登录服务器——当服务器漂移或更改服务器时，您就会得到它们——您可以构建比传统数据中心土地更安全的设计模式。

这不是说它会是完美的。 “如果我们想谈论那些明显可以避免的、操作流程不佳的事情，云与传统的基础设施没有什么不同。 如果你在自己的房子里不擅长安全，你就会在云中的安全上感到蹩脚.如果你有什么东西，你有一个更少的网络，你在一个更高的紧绳（在云中），只是因为只有一个配置错误，你可以打开一堆数据给每个人。 但这并不是一个固有的问题（云的问题）-你实际上必须在亚马逊做些什么才能向互联网打开一个S3桶“。

“默认情况下，它们不对世界开放.这就是为什么我们不只关注作为关键安全控制的体系结构，还要确保在护栏和自动化方面有适当的自动化，以确保许多最佳实践不会被不了解更好的人或犯错的人所违反。