Recentemente tive a oportunidade de conversar com o diretor sênior, Worldwide Public Cloud Security SEs da Palo Alto Networks, Allan Kristensen, que tem mais de 15 anos de experiência na formação de equipes de soluções de engenharia (sigla em inglês, SE) altamente eficazes.

Com base na minha conversa com o Allan, apresentamos sete princípios essenciais que vão orientá-lo para avaliar e selecionar a oferta de segurança da nuvem certa para seus ambientes em várias nuvens, abrangendo AWS, Azure e Google Cloud Platform.

Primeiro princípio: Suporte a várias nuvens – no mínimo AWS, Azure e GCP

Na nossa experiência, mais de três-quartos dos nossos clientes têm estratégias de várias nuvens (talvez não inicialmente, mas definitivamente no decorrer do caminho). Com isso em mente, é importante selecionar uma solução que possa abranger nuvens e ofereça suporte realmente integrado para várias nuvens, com uma abordagem centralizada que unifique perfeitamente a visibilidade de todos os seus ambientes de nuvem hoje e no futuro.

Segundo princípio: 100% baseado em SaaS e gerenciado por API – não requer agentes ou proxies.

Uma solução SaaS 100% baseada em API é a única forma de gerenciar com eficiência a natureza distribuída e dinâmica dos ambientes de nuvem. Nossa experiência demonstra que os clientes que estão tentando aproveitar produtos pontuais baseados em proxy ou em agentes introduzem fricção considerável e acabam ficando com pontos cegos na segurança.

Terceiro princípio: Descoberta contínua de recursos

Você não consegue proteger o que não consegue ver. É importante selecionar uma solução que monitore continuamente e descubra de forma dinâmica seus recursos da nuvem, como máquinas virtuais, instâncias de banco de dados, buckets de armazenamento, usuários, chaves de acesso, grupos de segurança, redes, gateways, snapshots e mais.

Quarto princípio: Monitoramento com recursos automatizados

A habilidade de aplicar automaticamente políticas de segurança robustas e remediar rapidamente configurações erradas, é igualmente importante para garantir a adesão às políticas de segurança definidas pela sua empresa. Tais recursos devem cobrir todos os principais vetores de riscos nos seus ambientes de nuvem, incluindo:

• Verificações das configurações
• Atividades da rede

As verificações das configurações podem ajudar a detectar e a alertar sobre grupos de segurança vagamente configurados, que permitem tráfego de entrada em todas as portas de todos os endereços de IP.

Quinto princípio: Correlacionar muitos dados

A contextualização contínua de muitos conjuntos de dados diferentes é primordial para a construção de um profundo entendimento da sua postura de segurança. Somente depois que você entender totalmente seu perfil de segurança e os riscos é que você pode remediar os problemas.

Sexto princípio: Remediar é bom. Remediar automaticamente é melhor.

Ter várias opções para remediar problemas (de forma guiada e automatizada) é muito importante para reduzir sua janela de exposição. Por exemplo, se o sistema identificar um grupo de segurança de rede acessível publicamente associado a uma carga de trabalho confidencial, a capacidade de restringir o acesso automaticamente é primordial. A possibilidade de também escrever regras de remediação personalizadas apropriadas para suas necessidades específicas é fundamental.

Sétimo princípio: Integrar

Por último, é importante aproveitar uma plataforma aberta, que permite que você envie alertas da nuvem para ferramentas e fluxos de trabalho existentes, como seus sistemas de tickets SIEM, SOAR, ferramentas de colaboração, etc.

저는 최근에 Palo Alto Networks 전 세계 퍼블릭 클라우드 보안 SE 부문 수석 이사인 알렌 크리스텐슨(Allan Kristensen)과 대화할 기회가 있었는데, 그는 15년 넘게 효율성이 높은 솔루션 엔지니어링(SE) 팀을 구축한 경험을 활용하고 있습니다.

알렌 크리스텐슨 수석 이사와의 대화를 토대로 AWS, Azure, Google 클라우드 플랫폼에 걸쳐 멀티 클라우드 환경에 최적인 클라우드 보안 제품을 평가하고 선택하는 데 필수적인 7가지 기본 원칙을 소개합니다.

원칙 1: 멀티 클라우드 지원 –AWS, Azure, GCP는 기본으로 보장

저희 경험상, 고객의 3/4 이상이 멀티 클라우드 전략을 사용하고 있으며, 처음에는 아니었을 수도 있지만, 장래에는 확실히 이 전략을 사용하게 됩니다. 이러한 점을 염두에 두고 현재와 미래에 각 클라우드 환경에서 가시성을 원활하게 통합하는 중앙 집중식 접근법을 통해 여러 클라우드에 걸쳐 진정한 통합 멀티 클라우드 지원을 제공할 수 있는 솔루션을 선택하는 것이 중요합니다.

원칙 2: 100% SaaS 기반 및 API 기반 - 에이전트나 프록시 없음

100% API 기반 SaaS 솔루션은 클라우드 환경의 다이나믹 분산 특성을 효과적으로 관리할 수 있는 유일한 방법입니다. 저희 경험에 따르면 에이전트나 프록시 기반 포인트 제품을 활용하려는 고객은 상당한 마찰로 인해 보안 사각지대에 놓이게 됩니다.

원칙 3: 지속적인 리소스 검색

보이지 않는 것은 보호할 수 없습니다. VM(virtual machine), 데이터베이스 인스턴스, 스토리지 버킷, 사용자, 액세스 키, 보안 그룹, 네트워크, 게이트웨이, 스냅샷 등과 같은 클라우드 리소스를 지속적으로 모니터링하고 동적으로 검색하는 솔루션을 선택해야 합니다.

원칙 4: 리소스 모니터링 자동화

마찬가지로 강력한 보안 정책을 자동으로 적용하고 잘못된 구성을 신속하게 수정하여 기업에서 정의한 보안 정책을 준수할 수 있는 솔루션 기능도 중요합니다. 이러한 기능은 다음을 비롯하여 클라우드 환경의 주요 리스크 벡터 전체를 포함해야 합니다.

• 구성 확인
• 네트워크 활동

구성 검사를 통해 모든 IP 주소의 인바운드 트래픽을 허용하는 대충 구성된 보안 그룹을 탐지하고 이에 대한 알림을 생성할 수 있습니다.

원칙 5: 많은 데이터를 서로 연결

서로 다른 여러 데이터 세트를 지속적으로 상황별로 구분해야만 보안 상태를 정확하게 파악할 수 있습니다. 보안 프로파일과 리스크를 완전히 파악한 후에만 문제를 신속하게 해결할 수 있습니다.

원칙 6: 치료, 물론 좋습니다. 하지만 자동 치료가 더 좋습니다.

노출 시간을 줄이려면 여러 치료 옵션(안내 및 자동)을 사용해야 합니다. 예를 들어 시스템에서 중요한 워크로드와 연결된 공개 액세스 가능한 네트워크 보안 그룹을 식별한 경우 액세스를 자동으로 제한할 수 있어야 합니다. 또한 특정 요구 사항에 부합하도록 조정한 사용자 지정 치료 규칙을 작성할 수도 있어야 합니다.

원칙 7: 통합

마지막으로 SIEM, SOAR, 티켓팅 시스템, 협업 도구 등과 같은 기존 도구 및 워크플로우에 클라우드 알림을 보낼 수 있는 개방형 플랫폼을 활용해야 합니다.

我最近有機會與 Palo Alto Networks 全球公有雲安全 SE 資深總監 Allan Kristensen 交談，他擁有 15 年以上建立高效率解決方案工程 (SE) 團隊的經驗。

根據我與 Allan 的交談，這裡有七大基本原則可以指導您評估和選擇適合多重雲端環境的雲端安全產品，涵蓋 AWS、Azure 和 Google Cloud Platform。

原則 1：多重雲端支援 - 至少 AWS、Azure 和 GCP

根據我們的經驗，超過四分之三的客戶採用多重雲端策略，可能不是一開始就採用，不過未來肯定會採用。考慮到這一點，選擇能夠跨越雲端並提供真正整合式多重雲端支援的解決方案相當重要，採用集中式方法可以緊密統整目前和未來每個雲端環境的可視性。

原則 2：100% 以 SaaS 為基礎和 API 驅動 - 沒有代理程式或 Proxy

100% 以 API 為基礎的 SaaS 解決方案是有效管理動態且分散的雲端環境唯一適用的方法。根據我們的經驗，客戶嘗試運用代理程式或以 Proxy 為基礎的單點產品，會造成相當大的摩擦，最終會導致安全盲區。

原則 3：持續的資源探索

沒有可視性，防護將無從談起。選擇能夠持續監控並動態探索雲端資源的解決方案相當重要，例如虛擬機器、數據庫執行個體、儲存空間陣列、使用者、存取金鑰、安全性群組、網路、閘道、快照等等。

原則 4：自動化資源監控

解決方案能夠自動套用強大的安全政策並快速補救錯誤設定也同樣重要，如此才能確保遵循公司界定的安全政策。這些功能必須涵蓋雲端環境中的所有關鍵風險途徑，其中包括：

• 設定檢查
• 網路活動

設定檢查有助於偵測和警示設定不嚴謹的安全性群組，這些安全性群組允許所有連接埠接受來自所有 IP 位址的傳入流量。

原則 5：關聯大量數據

若要深入瞭解安全狀況，對於多個不同的數據集進行持續的脈絡分析極為重要。只有在您完全瞭解安全設定檔和風險後，才能迅速補救問題。

原則 6：補救很好。自動補救更好。

若要縮短暴露時間，擁有多種補救選項 (引導式和自動化) 相當重要。例如，如果系統識別與敏感工作負載有關且可公開存取的網路安全性群組，則自動限制存取的能力極為重要。能夠編寫自訂補救規則來滿足特定需求的能力至關重要。

原則 7：整合

最後，運用開放平台相當重要，如此才能將雲端警示傳送到現有工具和工作流程，例如 SIEM、SOAR、票證系統、協作工具等等。

最近我有幸与 Palo Alto Networks 全球公有云安全防护解决方案工程高级总监 Allan Kristensen 进行交谈，Allan Kristensen 拥有 15 年以上组建高效解决方案工程 (SE) 团队的经验。

在我与 Allan 的对话中，提到了 7 个必要的原则，能够指导您评估并选择适当的云安全防护产品，用于包含 AWS和Azure 在内的多云环境中。

原则一：多云支持 - 至少要支持 AWS 和 Azure

根据我们的经验，超过四分之三的客户拥有多云策略——可能最初没有，但一定会逐渐形成。考虑到这一点，选择一个能够在云中扩展，并真正集成了多云支持的解决方案尤为重要，这种解决方案包含集中的方法，能够无缝地统一现在和未来云环境的可视性。

原则二：完全基于 SaaS 且由 API 驱动 - 不含代理

完全基于 API 的 SaaS 解决方案是您高效管理具有动态、分散本质的云环境的唯一方法。我们的经验表明，客户尝试利用代理或基于代理的端点产品会引入严重的摩擦，最终产生安全防护盲点。

原则三：持续地检测资源

您无法保护看不到的事物。选择一种能够持续监控并动态检测云资源（包括虚拟机、数据库实例、存储桶、用户、访问密钥、安全组、网络、网关、快照等）的解决方案非常重要。

原则四：自动资源监控

同样重要的一点是，您的解决方案能够自动应用强大的安全策略并快速修复错误的配置，从而保证遵守企业定义的安全策略。这些功能必须覆盖云环境中所有重要的风险因素，其中包括：

• 配置检查
• 网络活动

配置检查能够帮助检测并警告配置不够严密的安全组，这些安全组可能会允许所有端口上来自所有 IP 地址的入站流量。

原则五：关联大量数据

对多个不同的数据集进行持续的情境化，对于深入了解安全状况非常关键。只有在您完全了解安全配置文件以及风险后，您才能快速地修复问题。

原则六：修复虽好，自动修复更佳。

要减少风险暴露的窗口，具有多种修复选项（引导式和自动化）尤为重要。例如，假设系统识别到与敏感工作负载有关，并且公开可访问的网络安全组，则自动限制其访问的能力十分重要。编写满足指定需求的自定义修复规则的能力同样关键。

原则七：集成

最后，利用开放的平台非常重要，您可以利用该平台向现有工具和工作流发送云警报，其中涉及 SIEM、SOAR、票证系统、协作工具等。

私は最近、パロアルトネットワークスのワールドワイド パブリック クラウド セキュリティSE担当シニア ディレクターを務めるAllan Kristensenと話す機会がありました。彼は、15年以上にわたり、極めて有能なソリューション エンジニアリング(SE)チームを育ててきた経験を持っています。

Allanと私との会話に基づき、貴社がマルチクラウド環境(AWS、Azure、Google Cloud Platformに対応)に合わせ、適切なクラウド セキュリティ ソリューションを評価して選択するために役立つ7つの基本的な指針をまとめました。

原則1: マルチクラウド対応 – 最低限でもAWS、Azure、GCPに対応

私たちの経験によると、お客様の4分の3以上は、マルチクラウド戦略を持っています(当初は持っていなくても、いずれは導入する方向性)。これを踏まえた上で、さまざまなクラウドに対応し、真に統合されたマルチクラウド サポートを提供できるソリューションを選択することが重要です。一元管理アプローチにより、各クラウド環境の可視性を現在から将来にわたってシームレスに統合します。

原則2: 100% SaaSベースでAPI駆動型 – エージェントやプロキシは無し

動的で分散した性質を持つクラウド環境を効果的に管理できる唯一の方法は、100% APIベースのSaaSソリューションです。私たちの経験によると、エージェントまたはプロキシベースのポイント製品を利用しようとするお客様は、製品間の大きな摩擦に直面し、結果的にセキュリティの盲点を生むことになります。

原則3: 継続的なリソースの検出

見えないものを守ることはできません。仮想マシン、データベース インスタンス、ストレージ バケット、ユーザー、アクセス キー、セキュリティ グループ、ネットワーク、ゲートウェイ、スナップショットなどの貴社のクラウド リソースを継続的に監視し、動的に検出するソリューションを選択することが重要です。

原則4: リソース監視の自動化

ソリューションの能力として同じくらい重要なのが、堅牢なセキュリティ ポリシーを自動的に適用し、設定ミスを迅速に修復することにより、貴社が定義したセキュリティ ポリシーを確実に遵守できるようにすることです。これらの機能は、クラウド環境内の以下を含むすべての主要なリスク ベクトルをカバーしなければいけません。

• 設定チェック
• ネットワーク アクティビティ

設定チェックは、あらゆるポート上であらゆるIPアドレスからの受信トラフィックを許可するように緩く設定されているセキュリティ グループを検出し、アラートを発するために役立ちます。

原則5: 多くのデータの関連付け

貴社のセキュリティ体制に関して深い理解を構築するためには、複数の異なるデータ セットを継続的にコンテキスト化することが不可欠です。貴社のセキュリティ プロファイルとリスクについて完全に理解せずに、課題を迅速に修復することはできません。

原則6: 修復は良いことだが、自動修復はもっと良い

リスクを低減するために、複数の修復オプション(ガイド付きと自動化の両方)を持っていることが重要です。例えば、公開されているネットワーク セキュリティ グループとセンシティブなワークロードが関連付けられていることをシステムが特定した場合には、アクセスを自動的に制限できる能力が極めて重要です。貴社の固有のニーズに合わせ、カスタム修復ルールを記述できる能力も、重要な鍵となります。

原則7: 統合

最後に、SIEM、SOAR、チケッティング システム、コラボレーション ツールなどの既存のツールやワークフローにクラウド アラートを送信できるオープン プラットフォームを利用することが重要です。