2022年,除了无服务器和自动化之外,还有更多趋势将加速推动云安全的高速发展,以下是2022年十大云安全技术与应用趋势预测:
一、无服务器的增长
我们看到越来越多的组织在其平台中采用无服务器架构。这意味着不仅可以利用云服务提供商的FaaS(功能即服务)服务,还可以挖掘各种可用的无服务器产品。业界每季度都会推出新的无服务器产品,对于企业用户来说,了解可能出现的潜在风险非常重要。
我们还看到诸如“无发行”架构之类的东西被用来对跨多个CSP的FaaS架构进行更多控制。随着对这些类型的架构决策的控制增加,出现了新的安全方法和模型。
二、DevSecOps
越来越多的组织开始全面采用基础架构即代码(IaC)来创建完全自主的云环境。从安全角度来看,确保从代码到生产的供应链受到保护和监控正成为企业日益关注的云安全问题。我们看到这个领域的工具开始成熟,并且正在实施新的战略。例如,您可以执行配置和架构的预验证等操作,确保您的架构和代码在投入生产之前是合规和安全的。2022年,我们有望看到更多第三方工具和原生云服务被引入,以更好地支持整个供应链。
三、“多云”包围边缘计算
多云战略将继续存在——许多企业正在选择最适合其平台的技术,同时也在创建利用多个云服务提供商的弹性架构。我们很快就会看到多云模式与多云安全实践和工具一起成熟。此外,我们看到“多云”包围了边缘计算,它将继续扩展到工厂车间,以及分支机构和私人数据中心。
四、应用与架构融合
应用程序开发人员和基础架构工程师之间的界限变得非常模糊。开发人员正在根据他们尝试使用的服务创建云架构,或者从他们的代码库创建新的基础架构。跨职能团队开始共同努力,思考安全性如何在这种新的思维方式中发挥作用。
五、SaaS安全升温
在过去的一年里,我们看到利用SaaS平台的网络攻击行为激增。随着这一增长,我们也看到了SaaS安全产品和工具的增长作为回应,例如SaaS安全状态管理(SSPM)工具。
SSPM正在帮助组织深入了解他们的整体SaaS产品组合,以确保他们在保持合规性的同时保持安全的可见性。2021年,我们看到十几个SaaS平台采用了SSPM工具,2022年,我们将看到更多SaaS平台将采用SSPM。组织开始创建一个更强大的SaaS安全计划,该计划可以涵盖他们的整个产品组合,从基于云的供应商的启动和验证到其生态系统中SaaS供应商的监控和警报。
六、基于属性的访问控制
动态访问策略(ABAC)
ABAC利用标签来动态确定访问权限。例如,如果我有一个标签“项目”,我可以设置一个策略,如果主体上的标签“项目”的值与目标资源或环境上的相同标签“项目”的值匹配,则授予权限。这是一个支持可扩展性和可重用性的策略,简化管理并改进权限隔离。虽然许多云服务提供商尚未在所有服务中实施这种新方法(最大限度地减少其效用),但我们有望看到这种新方法在来年的采用和支持方面将取得增长。
随着越来越多的组织采用居家办公和混合环境,并将工作负载和数据转移到云端,云基础设施的安全防护策略必须从一开始就植入。云是企业生产力的推动者,但它必须遵循安全第一的原则,最大限度地降低风险,同时提高生产力。
七、网络安全意识培训自动化
管理安全意识培训计划相关的间接费用可能会让繁忙的IT部门望而却步。而与安全意识培训计划的规划、开发和管理相关的成本可能意味着很多企业将选择“躺平”——压根不开展安全意识培训。
网络安全意识自动化方案在管理和定义安全培训任务方面提供了一种有效且具有成本效益的方式来启动和运行安全培训计划,并使其保持长期运行。云计算正在推动安全意识培训的自动化,同时这种自动化趋势也将大大减少云安全中“人的漏洞”。
安全培训计划的自动化方案通常涵盖安全态势情报、安全意识活动规划、自动反馈和指标、集成的自动网络钓鱼模拟等领域。
八、暗网监控
暗网泄露的隐私信息吸引了想要购买信用卡号、失窃数字凭证和其他个人和商业信息的不法分子,暗网上出售的“商品”还包括:黑客即服务、勒索软件工具包和非法商品(如假货)的人身份证、假币和毒品。
暗网监控是指在暗网上搜索和跟踪企业信息是否或如何泄露的过程。用于监控暗网的工具类似于谷歌等搜索引擎,这些工具使用户能够检索到失窃或泄露的敏感信息,泄露的账户与密码、知识产权以及在暗网上的不法分子之间共享和出售的其他敏感数据。
通过监控暗网,企业可以查明它们是否被入侵或发现任何可能被破坏的指标,还可以了解谁在发动攻击以及他们正在使用什么攻击方法。有了这些信息,企业就可以制定措施来有效响应和缓解威胁。
九、DNS过滤
新冠疫情催化的远程办公革命给企业带来了巨大的安全风险。DNS过滤是一个关键系统,用于保护那些曝露在公司防火墙外的员工,帮助他们避开危险网站,降低遭受攻击的风险。
DNS过滤能将所有DNS查询都转到DNS解析器,这些解析器可以通过拒绝解析在阻止列表(黑名单)中的特定域名来阻止用户访问这些网站。
假设某公司的员工收到一封钓鱼邮件并被骗点击了指向恶意网站的链接,DNS过滤会在员工的计算机加载该网站之前将网址发送到公司的DNS解析服务,如果恶意站点在公司的阻止列表中,DNS解析器将阻止请求,阻止恶意网站加载,从而阻止网络钓鱼攻击。
十、多因素认证是一种文化
多因素身份验证是用于保护公司系统免受黑客攻击的另一个关键防御措施。随着多种云环境的广泛采用,一些企业资产现在存在于传统安全边界之外。随着业务边界变得越来越模糊,信任已成为一个漏洞。
强大而有效的多因素身份验证可实现不易被破坏的精细、响应迅速的安全方法。多因素身份验证和零信任安全不仅是一组技术,也是企业需要贯彻的一种安全文化,只有上升到文化高度和深度,才能真正发挥技术的价值,确保企业远离网络安全威胁。