【安防展覽網(wǎng) 媒體導(dǎo)讀】AppsFlyer每天會通過多個云托管服務(wù)來處理其80TB的數(shù)據(jù)。它通過密切關(guān)注身份治理和訪問控制擴(kuò)展了它的安全需求�。
CISO們所面臨的大網(wǎng)絡(luò)安全挑戰(zhàn)之一是,當(dāng)他們的組織將工作負(fù)載轉(zhuǎn)移到云上時�����,該如何維護(hù)數(shù)據(jù)保護(hù)和隱私�。特別是,他們該如何在純云環(huán)境中管理安全控制?
由于新冠病毒疫情的大流行以及隨之而來的向在家辦公模式的轉(zhuǎn)變�,在組織向云服務(wù)遷移的背景下,這一點將變得更加重要�。正如研究公司IDC在2020年10月的一份報告中指出的那樣,這*行病“已在很大程度上被證明了是云采用以及云擴(kuò)展的加速器,并將繼續(xù)推動向以云為中心的IT的更快轉(zhuǎn)變�����。”
IDC預(yù)測�����,到2024年�,在云服務(wù)、支撐云服務(wù)的硬件和軟件組件���,以及圍繞云服務(wù)的專業(yè)和管理服務(wù)機(jī)會上的支出將超過1萬億美元���,并保持16%的兩位數(shù)復(fù)合年增長率。
在可預(yù)見的未來���,各種形式的云將在整個IT行業(yè)發(fā)揮越來越大的作用�����,甚至是占據(jù)主導(dǎo)地位���,IDC研究部的集團(tuán)副總裁Richard Villars表示。到2021年底,大多數(shù)企業(yè)都將建立一種機(jī)制���,以加快向以云為中心的數(shù)字基礎(chǔ)設(shè)施和應(yīng)用服務(wù)的轉(zhuǎn)變����,他說�。
鑒于云服務(wù)的重要性在與日俱增�����,企業(yè)需要弄清楚該如何在這種不斷變化的環(huán)境中有效地保持高水平的安全性��。
移動營銷分析和歸因平臺提供商AppsFlyer提供了一個很好的例子來說明該如何做到這一點��。
在大型多云環(huán)境中擴(kuò)展安全性
該公司的IT環(huán)境是100%云原生的��,沒有本地服務(wù)器���。其平臺使用包括了AWS�����、Google Cloud��、Microsoft Azure和阿里云在內(nèi)的提供商的多種云服務(wù)���。其云環(huán)境覆蓋了五個國家���,擁有15000多臺服務(wù)器,每天需要處理超過80TB的數(shù)據(jù)�����。AppsFlyer是美國以外大的AWS部署公司之一�,擁有數(shù)以萬計的資源。
“由于AppsFlyer是一家基于云的公司����,我們所面臨的大威脅和擔(dān)憂就是如何擴(kuò)展安全性,以管理和驗證我們環(huán)境中的所有不同組件���,包括身份���、基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)和周圍的一切�����,”Guy Flechter說,他在公司擔(dān)任CISO�����,直到近才離開為一家初創(chuàng)公司工作����。
“這一點很重要,因為我們需要能夠支持組織內(nèi)的所有安全需求�,包括工程團(tuán)隊和DevOps團(tuán)隊,等等�,”Flechter說�����。“如果我們無法擴(kuò)展我們的安全性��,我們終將被迫告訴我們組織內(nèi)的一些團(tuán)隊��,我們無法支持某些計劃�����。”
身份治理和訪問權(quán)限是優(yōu)先事項
AppsFlyer的安全團(tuán)隊將身份治理和訪問權(quán)限管理作為了2020年的優(yōu)先事項����。對于開發(fā)人員�、DevOps和數(shù)據(jù)科學(xué)家來說�����,目標(biāo)是確保實施小權(quán)限訪問�����,并且其策略能夠適合每個用戶的配置文件�。
然而,在大型云環(huán)境中很難管理訪問權(quán)限的使用�。此外,AppsFlyer還希望能夠?qū)徍耸谟杌A(chǔ)架構(gòu)的所有訪問權(quán)限���,以限制對重要資源的高風(fēng)險訪問����,強(qiáng)化環(huán)境���,并刪除未使用的用戶�、角色和權(quán)限��。
大的挑戰(zhàn)之一是提供可見性,因為云中有太多的移動部件�,很容易就啟動更多的資源和基礎(chǔ)設(shè)施,F(xiàn)lechter說���。“例如�����,開發(fā)人員可以添加新的實例和存儲桶��,以及分配不同的訪問權(quán)限和權(quán)利�,”他說����。
為了應(yīng)對各種挑戰(zhàn)����,AppsFlyer部署了一個來自Ermetic的權(quán)限管理系統(tǒng)。“在我們選擇Ermetic之前��,我們根據(jù)安全需求對云基礎(chǔ)架構(gòu)授權(quán)管理產(chǎn)品進(jìn)行非常全面的評估���,”Flechter說���。“該產(chǎn)品需要支持多個云提供商���。我們希望該解決方案能夠支持運(yùn)營,而不僅僅是提供可見性��。它需要幫助我們彌補(bǔ)安全漏洞����。后,我們還希望能夠從工具內(nèi)部修復(fù)問題���,并與其他自動化工具進(jìn)行集成�。”
“我認(rèn)為安全工具只有在能夠同時支持運(yùn)營流程的情況下才是有效的�,”Flechter說。“如果它只提供了良好的可視性��,那么它就只是一個不錯的儀表板���。還需要平臺提供所需的操作能力�����,以支持根據(jù)其提供的可見性來執(zhí)行活動�����。”
AppsFlyer開始時是逐步將該平臺推廣到其不同的云環(huán)境中的�����,一次一個�。連接到每個云平臺都很容易,因為它們都支持API集成來獲得讀取權(quán)限����,F(xiàn)lechter說。每次連接只需要不到15分鐘��。
“一旦我們開始從Ermetic中獲取了數(shù)據(jù)�,我們馬上就發(fā)現(xiàn)了我們環(huán)境中的安全漏洞,并開始修復(fù)這些漏洞����,”Flechter說�。該平臺不需要任何微調(diào)就能開始發(fā)現(xiàn)風(fēng)險,他說�。
該系統(tǒng)可以根據(jù)資產(chǎn)的敏感性和風(fēng)險,對需要首先解決的問題進(jìn)行優(yōu)先排序�����。一個例子是訪問一個對外界開放的AWS S3 bucket。bucket是AWS的Simple Storage Service產(chǎn)品中所提供的公共云存儲資源“它將被標(biāo)記為更高優(yōu)先級的過度許可�����,即使該許可本身不是特權(quán)或行政許可的��,”Flechter說��。
AppsFlyer安全團(tuán)隊會使用該平臺審核所有第三方對其環(huán)境的訪問�����,并刪除所有不再使用的SaaS應(yīng)用程序����,包括一些安全和優(yōu)化工具。該團(tuán)隊還審查了有權(quán)訪問敏感數(shù)據(jù)的應(yīng)用程序���,并刪除了不必要的權(quán)限����。
構(gòu)建完整的云安全產(chǎn)品組合
授權(quán)管理系統(tǒng)只是AppsFlyer安全計劃的一個組成部分。該公司還在使用來自Broadcom的Symantec Secure Access Cloud來對AWS中的資源進(jìn)行身份驗證和授權(quán)�����。“它使我們能夠保持安全和細(xì)粒度的訪問管理���,使用軟件定義的邊界來執(zhí)行零信任原則�����,”Flechter說�����。
AppsFlyer還使用了Rezilion提供的云工作負(fù)載保護(hù)工具���,使公司能夠縮小攻擊面,防范惡意活動;而Salt Security API保護(hù)平臺則可以保護(hù)連接到AppsFlyer云資源的API��,并阻止試圖操縱公司云服務(wù)API的攻擊;還有Amazon的威脅檢測工具GuardDuty���。GuardDuty可以持續(xù)監(jiān)視惡意活動和未經(jīng)授權(quán)的行為����,以保護(hù)AWS中所存儲的帳戶��、工作負(fù)載和數(shù)據(jù)���。
隨著安全技術(shù)組合的到位����,AppsFlyer現(xiàn)在可以在不同的帳戶和不同的云提供商之間全面了解其云環(huán)境�,這在以前是沒有的。“我們也有能力自動修復(fù)安全漏洞�,并繼續(xù)擴(kuò)展到其他領(lǐng)域,如事件響應(yīng)��,”Flechter說�。
修復(fù)云安全的盲點
該公司也可以更經(jīng)濟(jì)高效地識別和修復(fù)云安全盲點,F(xiàn)lechter說�����。“我們可以滿懷信心地知道����,在每一個云環(huán)境中,我們的風(fēng)險到底在哪里����,需要解決哪些問題�,而且我們已經(jīng)擁有了哪些解決這些問題所需的自動化�����,”他說����。“我們可以深入到一個特定的環(huán)境,但事實上�����,我們也可以在一個地方看到所有四個云環(huán)境的全局視圖��,這對我們來說是非常寶貴的�。”
大的好處之一是AppsFlyer現(xiàn)在對身份和權(quán)限有了更深入的了解。“我們可以立即查明未使用的權(quán)限��,并將其刪除��,”Flechter說���。“這使我們能夠以自動化的方式持續(xù)地實施零信任訪問����。我們的安全態(tài)勢管理比以前好多了。”
移動版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號
