罗斯曼:你会绕着RSA会议每个人都会说他们的工具不需要改变,一切都很好,生活很美好。当你抽完RSA牌水烟后你回到现实中会看到很多基本的不同当你没有能见度的时候。当您被限制为安全组并且只能打开某些协议时,如何执行网络策略?您还可以通过api进行访问,这些api可以被操纵来动态终止或重新配置实例,而不需要对云实例进行管理访问。您还需要不同的加密层次结构来提供对这些实例的访问。如果管理工具不是专门为提供对云资源的一致访问而构建的,那么无论云资源在哪里,情况都会迅速恶化。
所以,一致性的概念很重要。但在安全问题之前,这是一个管理问题。所以现在您可以在几分钟内提供各种服务器。好的。但这在配置管理,补丁管理等方面产生了问题。因此,一方面,工具必须成熟,以克服和测量你在云环境中缺乏可见性,但仍然有很多阻塞和处理需要,就基本的操作规程而言。
金斯伯里:从我们的角度来看,联邦机构总是会有一些东西在运行,然后他们会想要减轻工作量。因此,如果你把它变成一个网络问题,一个信息保证问题,而一切都是基于NetFlow的,你将得到充分的可见性。你可以用不同的方式控制事情。当它是作为一种服务的基础设施时,它和物理的没有什么区别服务器on-prem。从本质上说,我可以完全控制该机器上运行的所有服务,这意味着我可以连接企业管理工具集,以确保我可以管理它。
阿蒙:许多新的安全选项实际上会提高你的敏捷性和降低你的成本。一个例子就是典型的机器关闭和取证,如果有漏洞的话。使用云,您可以将可疑的服务器映像复制到您的取证工具包,启动一个全新的替换映像,并通过单击鼠标完成所有这些工作,而不是将员工部署到数据中心。2020欧洲杯预赛对于云计算,经验真的很重要。客户可以极大地受益于合同与证明云计算架构师谁能帮助他们找出如何利用云的强大功能,同时避免云供应商锁定或过度复杂的安全工具集管理。如果客户想最大限度地降低成本和安全性,他们应该实现集中管理的安全性复杂性。零散的云策略可能会给您留下一组云岛,通过断开连接的安全工具集进行操作和控制。
这实际上是我们刚刚开始在特权身份管理领域看到的一个问题,我们称之为身份岛,组织在每个平台上使用不同的工具——云、虚拟等等——来管理特权身份。我们使用特权身份管理解决方案来解决这个问题,它可以降低特权用户和未受保护的凭证对系统和数据构成的风险。有了Xsuite,客户可以跨整个混合云实现安全的特权身份管理。它存储特权帐户凭据,实现基于角色的访问控制,并监视和记录特权用户会话。我们的统一策略管理使Xsuite能够跨系统提供无缝的安全控制管理,无论系统是否驻留在传统的数据中心2020欧洲杯预赛私有云或者它们的任何组合。
KINGSBERRY:你提到了在法医工作中使用云…我们也有类似的业务需求。如果发生类似的情况,我们将利用Amazon将这些vm打包到一个已经拥有所有取证工具的enclave中。因此,我们已经有了损坏的VM和所有工具的快照,并且它已经被锁定,因此不会发生网络流量。所以我用云来做它最好的事情。
萨瑟兰:我认为这些工具正在取得进展。我们已经部署了分散的保护架构,允许虚拟实例保护自己,而不是仅仅依赖于集中的保护架构。例如,利用国内流离失所者或者在实例级的入侵检测预防,实例能够深入地保护自己不受来自或从周边发起的攻击向量的攻击。结合实例级和应用层的完整性监视,可以实时报告对配置系统文件或数据访问的恶意或意外更改。
记者:阿蒙,你曾经说过身份正在成为新的边界。你能详述一下吗?
阿蒙:所有的安全利用都包括两个步骤,获得访问和提升权限/特权。移动性和云的结合导致了传统安全边界的侵蚀。管理风险需要对授予、控制和包含访问的过程采用更细粒度的方法。将身份作为新的边界,系统所有者应该要求将身份识别/身份验证和授权分离开来。允许不受限制地访问整个网络段或a内的所有功能云管理控制台带来不必要的风险。系统所有者还应该利用联合特权身份来减少管理的复杂性并提高可靠性。
SUTHERLAND:补充一点,当你使用共享特权帐户时,根据我的经验,能够分离身份验证和授权是非常重要的,而且能够监视和控制访问并执行取证是至关重要的。因此,特权用户访问控制系统允许对每个用户执行此策略,即使在实例级使用共享特权帐户,并且仍然将活动的全部属性提供给单个特权用户。
ROTHMAN:没错。这是遵从性层次结构和审核员和评估人员在常见控制台访问方面没有注意到的另一件事。一种总线标准在过去的七八年中,我们已经有了唯一ID的概念,并且能够控制事情到特定的个人能够把改变打包回去。但是,由于很多不同的原因,云打破了这个模型。这又回到了我们还不知道的事情上。
如果身份是一个新的边界,而这个边界已经消失了,那么我们在未来都将像僵尸一样,因为根据法规遵循要求,很难追踪到唯一用户的特权访问。这就回到了为什么一致性是至关重要的。无论是发生在自己的数据中心或发生在云数据中心,是否你有资源,来回或破裂的很多东2020欧洲杯预赛西(Kingsberry)所指的是一组可以利用政策和一套控制,无论您的数据发生的地方。我们现在还处于起步阶段,比如换尿布时间。我们还没学步呢。
NW: Rothman提到能见度是个问题。这是个多大的问题?
罗斯曼:哦,这是个可怕的问题。有描述的选项(Kingsberry),从我的角度来看,是独一无二的,运行所有的交通瓶颈,但开始推之间的平衡性能与云计算,你需要做的现实为了控制这些环境。它创造了困难。这意味着在传统的云架构中,你不能使用NetWitness这样的工具来捕获网络流量。
但是,如果你要把所有事情都引向一个瓶颈,那就会破坏最初让云计算变得有趣的架构结构。所以你看到的是人们从检测他们的应用,检测他们的数据库,检测他们的实例的角度攀登堆栈,到一个更大的程度因为他们没有能力在网络层做这些。
KINGSBERRY:这就是为什么我说商业驱动技术。为了让联邦机构适应云计算,我们必须采取这种方法。如果我们是一个更大的机构,它的架构会略有不同,以解决性能问题。然而,现在对于我们的代理来说,没有性能上的影响。我们是一个小机构,我们的网络管道比实际需要的要大
最后有什么想法吗?
KINGSBERRY:如果你看看我们现在的位置和未来的发展方向,你会发现我们的机会是无限的。今天有很多机会去做各种各样的事情。我可以告诉你,当我们迁移到微软365时,我们最终支付的费用比按常规操作时少了大约30%。它使我们能够站起来一些我们没有站起来的东西……微软AD fs2.0,这给我们增加了安全级别。云计算给了我们一些有趣的机会去做一些很酷的事情。