随着我们的多云战略的不断发展以及云安全的逐步成熟,我们得以充分利用云服务提供商的集成安全解决方案,来提高业务敏捷性,改善用户体验,并降低复杂性。
执行概要
英特尔 IT 部门已经用原生云安全控制取代了许多第三方安全解决方案。我们之所以对多云战略进行这一重大变革,原因有三:
• 技术:云服务提供商 (CSP) 的集成安全控制已然成熟,其中许多技术都能满足我们严格的安全要求。
• 流程:我们对云安全流程实施了标准化,这样就能更充分地了解云服务提供商并与之合作。
• 人员:我们的团队积极拥抱变化,并且已经掌握了必要的技能。
需要指出的是,作为尽职调查的一部分,在必要时,我们将继续使用部分第三方解决方案来增强原生控制。我们会评估每种基于云的安全控制,以验证其是否满足最简可行产品要求。此举有助于在英特尔实现 “深度防御”。
多年以来,我们一直在调整和精简我们的多云战略,这个过程现在还在进行中——还有很多地方有待我们学习和改变。不过,转向原生云安全控制已经带来了明显的业务效益,包括加快部署和提高业务敏捷性,提升云原生用户和开发人员体验的一致性,以及降低复杂性和成本。
缩写 |
业务挑战
早在近十年之前,英特尔 IT 部门就开始向多云转变。英特尔的业务部门常常希望使用多个云服务提供商的服务以满足不同的业务需求。我们的多云战略提供了英特尔所需的灵活性、可扩展性、可用性、敏捷性和移动性,助力英特尔在当今快节奏的商业环境中保持竞争力。不过我们发现,当业务部门从一个云服务提供商转向另一个时,集成和调整本地安全功能的难度大、成本高。于是我们决定在改进该战略和流程的过程中,就如何增强并精简公有云中的安全功能进行评估。
在公有云时代伊始之际,许多云服务提供商的安全功能相对不成熟,不符合英特尔的安全要求。所以,我们往往采用第三方的云安全解决方案。尽管这些解决方案帮助我们改善了公有云的安全态势,但挑战也随之而来:
• 集成往往非常复杂,导致成本攀高、部署延迟。
• 非云原生用户和开发人员体验无法保持一致。
• 缺乏最简可行产品定义中规定的安全功能。
• 无法提供真正的多云支持,即解决方案标榜支持多个云服务提供商,但其实只包含一个云服务提供商的全套特性和功能;在有些情况下,甚至没有针对特定云服务提供商的第三方解决方案。
• 高昂的许可费也进一步推高了安全成本。
这些挑战突显了尽量使用原生云服务提供商安全产品的必要性。
解决方案
如今,云安全产业已经成熟了很多。此外,我们也发展了自身的技能和流程,可以更好地评估转向基于原生云的安全控制的端到端价值和影响。这两大趋势为我们的多云战略带来了发展机会,在提高安全性的同时改善用户体验。
在过去的一年里,我们的跨 IT 团队广泛测试了两大主要云服务提供商的原生云安全控制。我们确定了哪些原生功能适用于我们的战略,哪些产品已经成熟到能够 “原生化” 的程度。我们在条件成熟的领域逐渐从第三方安全解决方案转向原生云服务提供商安全解决方案。在这个过程中,我们主要考量以下三个目标(参见图 1):
• 在云服务提供商的平台上以原生的方式满足我们的安全要求;
• 改善用户和开发人员体验,让他们能够直观地使用原生平台,并集成主动控制——这些举措都能降低支持成本,并减轻租户负担;
• 确保与本地流程(如数据关联、威胁管理、执行和修复)的兼容和集成。
图 1. 通过从第三方安全解决方案转向原生云安全控制,我们旨在实现多个目标。
我们正在使用的原生云安全控制的示例包括:威胁检测即服务、密钥管理服务、Web 应用程序防火墙、漏洞评估代理以及集成的安全控制台。不过,目前我们并没有在安全的方方面面都采用原生云安全控制。相反,我们定义了最简可行产品,并执行了周密的验证,以核实云服务提供商的控制功能是否准备就绪。在某些情况下,我们仍然使用第三方解决方案,例如针对以下领域的第三方解决方案:身份和访问管理;我们的网络智能化平台 (CIP)——其中包括基于 Splunk 和 Kafka 的安全数据湖;以及网络和应用程序扫描。图 2 展示了我们的概念性多云安全架构,其功能和特征如下:
• 业务支持
• 原生解决方案
• 安全防护栏与自动化
• 主动合规
• 成本效益
实施自助服务、安全防护栏和自动化
云安全有别于本地安全,因为它由开发人员驱动,一切(包括基础设施和安全功能)都关乎代码。用户和开发人员可以使用 API 和命令行做出大规模更改。我们在云安全体验的整个生命周期过程中寻求持续改进和发展,已经实施了自助服务和安全防护栏,来简化我们的流程和入门工作流。自助服务和安全防护栏是使用原生云安全控制的关键所在。通过自助服务,无需 IT 部门直接参与,业务部门的帐户所有者即可设立云帐户。安全防护栏是可以减少攻击面的自动安全策略。安全防护栏可分为三类:
• 主动安全防护栏:阻止业务部门的帐户所有者(有意或无意地)进行违反安全策略或最佳实践的操作。例如,主动安全防护栏可以阻止对存储进行无限制的公开访问,或是拦截危险的网络端口访问。
• 自动安全防护栏:服务一旦开启并由业务部门使用,自动安全防护栏就会实施控制。
• 被动安全防护栏:将问题告知业务部门的帐户所有者,例如对安全组权限做出的变更。
安全防护栏的一个例子是,它会在在设置帐户时禁用管理端口,如 3389 或 22。另一个例子是安全防护栏会要求所有存储都具备访问控制列表,并只能进行有限的联网。这有助于我们和业务部门从一开始就尽可能地降低风险。
为了在安全性和业务需求之间取得平衡,安全防护栏也在不断演进。而且也还是会有例外发生,因为我们必须灵活地满足业务需求。除了安全防护栏,我们还依赖云服务提供商来实施行业基准测试和最佳实践。
通过采用原生云安全控制,我们现在已经可以实现主动合规。这些服务有利于整合通常需要分散进行的控制,同时帮助确保云帐户配置的一致性。由于这些服务集成在用户和开发人员的云体验中,因此它们还支持可重复使用和模块化的安全流程,使体验更佳。
图 2. 采用原生云安全控制时,安全流程在本地实施,数据则来自云服务提供商。
图 3 显示了我们如何在帐户所有者之中应用原生云安全控制和策略,来支持不同环境的生命周期和风险要求。例如,开发环境的要求可能与生产环境不同。类似的帐户可以组成一个组织单元 (OU),所有帐户都受到相同的策略和控制的管理。举个例子,我们将直接连接到英特尔网络的帐户放入一个特殊的 OU 中,并通过在 OU 级别应用的策略来拦截网络管理,从而避免了对这些帐户实施网络管理。
图 3. 我们使用 OU 将需求类似的帐户分为一组。策略和控制可应用于整个 OU 级别,对该 OU 内的所有帐户有效。
提高效率
云安全效率对于英特尔 IT 部门至关重要。通过评估、分析和关联,可以确定哪项功能以及哪个流程将使用数据。这些步骤,连同生命周期管理和检测时间的确定,有助于满足业务要求和服务级别协议,例如恢复时间目标和恢复点目标。由于不必获取不需要的数据从而增加成本,它们还可以增进价值。例如,我们不必获取有可能增加成本的非必要数据,而是在使用数据前对安全事件进行过滤,从而专注于与事件相关的关键和必要数据。我们不断与安全运营中心以及事故修复团队沟通,确定他们需要的数据。这是为了达到平衡,既获得足够的有效数据,也避免产生太多噪声。对于合规数据,我们在来源处就进行过滤,只提取漏洞管理所需要的相关数据。如果业务部门的帐户所有者需要获取更多信息,他们可以直接使用原生云安全门户。
原生云安全控制会自动、动态并尽可能快速地实施一项或多项控制,因此有助于提高效率和敏捷性,而集成和部署第三方解决方案往往需要数天时间。此外,由于通过云服务提供商环境可以立即获取信息,因此就能够更有效地评估可见性和资源风险态势。最后,初步实施会随着功能和服务的增强而扩展,从而减少重复性工作并降低复杂性。
建立关系
使用原生云安全控制不能凭空进行。我们与云服务提供商建立了牢固的合作伙伴关系,针对功能和用户体验开展合作对话。由于英特尔 IT 部门与许多大型企业的 IT 部门相似,所以当我们要求实现某项功能时,云服务提供商就会了解到可能整个 IT 行业都需要这项功能。这种合作于英特尔和云服务提供商双方都有益。一方面,我们能够了解他们的云安全态势管理路线图。另一方面,我们的反馈也有助于他们调整功能,解决问题,并决定下一代产品应如何发展。云服务提供商还与英特尔业务部门的帐户所有者合作。当业务部门的帐户所有者提出某些要求时,云服务提供商可以告知他们安全控制的最佳实践,帮助他们避开安全漏洞。英特尔 IT 部门、云服务提供商和业务部门的帐户所有者之间由此形成的三方对话,以及共同肩负的维护安全的责任,为所有相关方带来了有利结果。
将我们的战略扩展到更多的云服务提供商
虽然我们通常只和两三家全球云服务提供商 (CSP) 合作,但凭借我们的多云战略和在原生云安全控制方面的使用经验,我们能够在需求出现时迅速采取行动。例如,在新冠肺炎疫情爆发前,英特尔 IT 部门与一家总部位于中国的云服务提供商以及东京奥组委(2020 年东京奥运会)合作,将英特尔® 技术应用于 3D 运动员跟踪 (3DAT)。该应用程序采用人工智能,在田径项目赛事期间提供近实时的洞察和层叠的视觉效果,以增强观看体验。
尽管疫情导致奥运会比赛推迟,但凭借我们现有的符合行业标准的最佳实践和用于评估和使用原生云安全控制的多云流程,我们已经准备好与新的云服务提供商开展合作,并以创新的方式使用英特尔® 技术。
结果
我们使用两大支柱来衡量安全战略的成功与否:业务支持和业务敏捷性。我们与公司各业务部门合作,推动采用公有云的新业务,努力实现解决方案的快速部署。我们在条件允许的情况下尽量采用原生云安全控制后,获得了以下优势:
• 加速上市,更快提升安全性:云服务提供商常常会增强其现有服务,或是提供存储、计算或容器等新服务。由于原生云安全功能已集成到云服务提供商的发布流程,英特尔的业务部门不必再等待我们去针对新的变化实施部署,因而能够更快采用基于云的解决方案。安全已经成为无缝的用户或开发人员体验的一部分。我们可以自主地随行业和云服务提供商一同发展,充分利用他们提供的创新技术。
• 降低复杂性:在原生云安全控制下,英特尔的业务部门能够利用与云服务提供商产品的深度集成以及他们快速迭代发布的新功能,不必再部署可能与云服务提供商变更不兼容的第三方产品。
• 节约成本:每年节省的第三方许可费的直接成本约为 200 万美元。同时,每月还可省下约 20 个小时用于处理代理异常或安装丢失代理的时间,又间接节省了成本。此外,因为许多云服务提供商在安全控制出现问题时提供一线支持,因此我们自己的支持成本也得以降低。
• 提高可见性和增强信心:由于安全控制代理可自动安装,我们对虚拟机的安全可见性提高了 8% 到 10%。另外,因为云服务提供商的安全认证中包括安全控制,所以云服务提供商和我们的团队都已经对安全控制进行了周密的验证。
• 改善用户和开发人员的体验:使用第三方安全解决方案会导致用户和开发人员的体验不一致。基于 Web 的接口各不相同,这些解决方案通常不托管在云服务提供商的基础设施中,因此会因为数据传输而导致信息时延。而现在,用户和开发人员能够获得在云服务提供商的门户和帐户之间保持一致的云原生体验。集成得到了简化,点击几下鼠标就能解决大多数问题,使配置合规。此外,现在英特尔的业务部门与英特尔信息安全团队也能够更顺畅地交流了。
迄今为止的主要心得
通过原生云安全控制,凡是需要开展业务的领域,我们都能保驾护航。以下是我们一路走来的一些心得,我们深知这场旅程尚未结束,还有更多需要探索的地方。
• 变革伴随风险:云服务提供商的安全配置变化迭代速度很快。虽然他们会测试自身的产品,但未必会测试我们对他们产品的配置,这可能导致损坏和停机或安全风险。例如,如果他们更改了一个 API,我们想要获得的数据就可能无法发送,导致从未见过的漏洞或事故响应延迟。不要想当然地以为云服务提供商会处理好一切——这是错误的。我们需要加以密切关注,防止任何意外,方能取得成功。随着云服务提供商的发展和其解决方案的改进,我们需要与其建立常态化的合作关系。
• 拥抱变化,紧跟步伐:如今,我们不是只需要了解一个平台,而是必须去了解各种分类下的多种解决方案。不过,如果我们了解了基本信息,也就奠定了良好的基础。我们的 IT 团队必须拥抱变化,求知若渴,并愿意以云安全专业人员的标准来要求自己,提升技能。我们已经在与云服务提供商共同成长,但要想持续提升,就必须紧跟步伐。
• 投资于我们的团队:通过淘汰单一平台并采用原生功能,我们也抓住了一次实现组织发展和技能提升的机会——这也始终是我们的一项长期战略。减少的许可费用会超过增加的培训费用。
• 继续扩大我们的影响范围,并与业务部门合作:虽然业务部门借助原生解决方案可以更容易地使用云服务和安全控制了,但我们仍需保持与业务部门的合作,鼓励他们采纳我们的安全流程,并提升英特尔全公司上下的合规性。
在此过程中,我们难免会犯错,但也会学到更多——这是亘古不变的 IT 挑战。随着不断学习,我们也会取得进步并缩小差距。例如,我们目前仍在少数安全领域使用第三方和非原生的解决方案。我们正在努力将这些解决方案与原生解决方案集成,来打造一个全面的安全堆栈。
不要想当然地以为云服务提供商会处理好一切——这是错误的。我们需要加以密切关注,防止任何意外,方能取得成功。
英特尔 IT 部门的 CIP 英特尔 IT 部门部署以 Splunk 和 Apache Kafka 等先进技术打造的全新网络智能化平台 (CIP),推动英特尔信息安全保障机制的变革。新平台从数百个来源和安全工具中提取数据,围绕数据提供背景丰富的可见性以及通用语言和工作界面。这极大地提高了英特尔整个信息安全部门的生产力、工作效率和有效性。平台提供的实时数据访问、流处理、机器学习工具、统一数据模型以及编排和自动化等诸多功能,能够有效降低识别复杂性日增的威胁及做出响应所用的时间,并最终加快获取洞察的速度,以尽早防御威胁。 CIP 基础设施基于英特尔® 至强® 铂金处理器、英特尔® 3D NAND 固态盘和英特尔® 傲腾™ 固态盘,可为安全专家提供所需的计算能力,帮助他们更快、更智能地获取洞察,同时缩短安全工具之间切换所需的时间。更多信息,请参阅相关内容部分中提及的前两份白皮书。 |
未来举措
我们已经完成了云安全原生化的第一个重大飞跃。不过,我们的工作不会止步于此。业务使用情况和行业将不断演进。我们正在考虑的一些领域包括:
• 我们将继续改进集成便利性,与云服务提供商合作,继续提升用户和开发人员的体验、运营效率和安全性。
• 随着云服务的不断发展、云服务的数量越来越多,集成越来越紧密,我们必须做好规划,让跨越服务和解决方案的安全性更上一层楼,这将能识别出多项服务集成所引起的安全风险。
• 我们的控制已经涵盖大多数业务部门的需求。在安全解决方案不兼容或不符合业务部门要求的少数领域,我们将努力缩小差距,扩大覆盖面,与英特尔的业务部门合作,使他们的用例符合我们的标准云安全架构。
结论
凭借多云战略,我们得以采用公有云来促进创新,提升企业资源的敏捷性。它还有助于我们保持安全态势,帮助保护英特尔存储在任意位置的宝贵数据,改善用户和开发人员的体验。尽管我们采用多云战略已有多年,但仍在不断努力精简和增强多云战略。在云产业和云服务提供商的发展过程中,我们看到了针对各类人员、流程和技术开展尽职调查并升级战略的契机。随着行业的不断变化并走向成熟,也随着我们不断学习和应用持续发展的最佳实践,我们将继续秉承这些做法。
用原生云安全控制替代许多第三方安全解决方案带来了显著的业务效益,包括降低成本、促进集成和业务敏捷性、改善用户和开发人员体验。此外,采用原生云安全控制也让英特尔的各大业务部门可以为各种独特的业务模式选择多种经过核验的云,同时帮助保护英特尔的知识产权。虽然我们采用多种原生云安全控制,但也还在采用部分第三方解决方案,从而实现深度防御,并增强云服务提供商安全产品。
作为整个英特尔更宏大的数字化转型的一部分,我们的多云之旅永无止境。公有云环境和功能日新月异,我们必须紧跟步伐。我们将继续在这一征途中前进,并在必要时调整步伐和方向。鉴于形势在不断变化,这场旅程或许不存在 “终点”,但我们会努力调整,迅速学习新技能,在业务的发展和演进过程中保持领先。
相关内容
如果您喜欢本白皮书,您可能对以下相关的英特尔 IT 白皮书也会感兴趣:
• Transforming Intel’s Security Posture with Innovations in Data Intelligence(以数据智能化创新改变英特尔安全态势)
• Building a Modern, Scalable Cyber Intelligence Platform with Apache Kafka(借助 Apache Kafka 构建可扩展的现代网络智能化平台)
• Building a Multi-Cloud-Ready Enterprise Network(构建多云就绪型企业网络)
• Securing the Cloud for Enterprise Workloads: The Journey Continues(保护用于企业工作负载的云:旅程仍在继续)
• Intel IT’s Multi-Cloud Strategy: Focused on the Business(英特尔 IT 多云战略:专注于业务)
• Security Architecture Enables Intel’s Digital Transformation(安全架构助力英特尔数字化转型)
如欲了解有关英特尔 IT 部门最佳实践的更多信息,请访问 intel.cn/IT。
IT@Intel
我们将 IT 专业人员与他们在英特尔内部的 IT 同行连接起来。英特尔 IT 部门解决了一些当前极其复杂棘手的技术难题,我们希望在公开的同行交流论坛上,直接与其他 IT 专业人员分享这些经验教训。
我们的目标非常简单:提升整个组织的效率,提升 IT 投资的业务价值。
请关注我们并加入对话:
• Twitter
• #IntelIT
• LinkedIn
• IT Peer Network
如果您想了解更多信息,请访问 intel.cn/IT,或者联系您当地的英特尔代表。