云服务器工作负载安全性：网络数据的重要性

Posted 2021-09-03 九河云安全

云工作负载部署在高度动态的环境中，通常使用并与广泛的云提供商和第三方平台和服务共存。工作负载本身可以为云平台构建，由无服务器应用程序组成，也可以专为本地数据中心设计，然后迁移到云服务器中。工作负载可能持续数周或数月，或仅存在几秒钟。

在云安全的共同责任模式下，组织必须拥有其云工作负载的安全性，但由于其复杂的短暂性，它们可能难以使用现有工具进行安全保护。云工作负载安全需要仔细评估其现有云安全解决方案留下的可见性和安全空白，并最终决定需要哪些额外的安全技术来填补这些空白。

保护和保护云工作负载

监控和保护云工作负载的方法有很多种，与生活中的大多数事物一样，大多数云安全技术都具有优势和缺点。为了覆盖其基础，组织倾向于根据其监管环境、所需的安全态势和对风险的厌恶部署各种云工作负载安全解决方案。其中包括基于代理的第三方解决方案、云提供商监控和记录服务、云周边防火墙和 WAF。

云中的通用安全技术

基于代理的解决方案，如云工作负载保护平台 （CWPP） 和端点检测和响应 （EDR） 擅长威胁预防。但是，这些工具需要集成到 DevOps 工作流或临时部署中。它们还必须支持多个操作系统平台和版本。所有这些都使得他们在云环境中的任何地方部署都存在问题，并且它们缺乏关键可见性。代理可以扫描恶意软件的端点，但只能看到自己的入侵/出口网络流量。他们也看不到其他工作负载的活动或运行环境。更重要的是，一个坚定的攻击者可以禁用终端安全代理或只是在他们面前处于休眠状态，以避免被发现。

记录解决方案可从云提供商处本地获得，可为云提供商或第三方安全信息和事件管理 工具提供源。但是，在生成警报之前存储和处理日志可能需要宝贵的时间，而缺少提供日志的上下文可能导致高误报。

云工作负载具有高度动态性。因此，仅依赖组织可能仍然错过了云的大部分东西交通。与端点解决方案一样，攻击者也可以（并且确实）禁用记录解决方案。他们还可以而且确实删除日志文件，以阻止发现和调查，从而增加居住时间。

云安全态势管理工具可以通过发现工作负载并确定其安全配置以实现合规性来提供更大的覆盖范围。这是一个开始。不幸的是，他们的覆盖范围有限：他们无法实时发现威胁或数据泄露、检查网络流量或阻止正在进行中的攻击。为此，您需要在云中进行网络检测和响应 。

评估填补空白的工具

为了填补空白并保护云，提供了丰富的上下文安全性。在过去几年中，在传统的本地数据中心环境中进行了广泛的部署，主要用于检查工作负载之间的东西交通流动，以发现威胁和异常情况。现在，在云环境中运行工作负载的组织也正在充分实现其优势。

安全在云中是有效的，因为它不需要代理向工作流添加摩擦力，并且使用丰富的上下文网络数据作为云和本地数据中心环境中真实性的地面来源，以生成实时、可操作的警报。NDR 可对在环境中工作负载、设备和服务之间流动的任何和所有网络流量提供可见性。

由于运行范围不一，因此攻击者无法看到或禁用。这提供了一个始终开动、无懈可击的栖息处，

通过云原生保护任何环境

通过选择基于 SaaS 的云原生安全解决方案，组织可以监控和保护 AWS、Azure 和 Google 云环境中的云工作负载。与云原生数据包镜像服务集成的解决方案可让您无代理实时地看到往返于工作负载和计算实例的网络流量。这会带来安全益处，包括发现、调查和对已知和未知威胁和攻击的反应。

云原生NDR解决方案将先进的机器学习和行为分析应用于网络元数据，从而能够准确识别与攻击、数据泄露尝试和恶意软件相关的异常行为。一旦发现威胁，这些基于机器学习的解决方案可以提醒安全管理员进行补救，或与 SOAR 解决方案集成以进行自动补救。

其结果是加强安全态势，并将在云环境中运行工作负载的组织的风险降至最低。由于基于 SaaS 的 NDR 还可以支持本地数据中心环境，因此安全团队将获得一台控制台，用于跨混合和多云环境的工作负载安全。