AppsFlyer每天处理多个云托管服务80TB数据。它通过密切关注身份治理和访问控制来扩大其安全需求。
CISO他们面临的最大的网络安全挑战之一是,当他们的组织将工作负上时,如何保持数据保护和隐私。特别是,他们应该如何在纯云环境中管理安全控制?
由于新冠肺炎疫情的普及和在家办公模式的相应转变,这将在组织向云服务转移的背景下变得更加重要。就像研究公司一样IDC这种流行病是在2020年10月的一份报告中指出的。“它在很大程度上被证明是云采用和云扩展的加速器,并将继续以云为中心IT变化更快。”
IDC预计到2024年,全球云服务、支持云服务的硬件和软件组件以及围绕云服务的专业和管理服务机会的支出将超过1万亿美元,并保持两位数复合年增长率的16%。
在可预见的未来,各种形式的云将在整个过程中IT行业发挥着越来越重要的作用,甚至占据着主导地位,IDC集团全球研究部副总裁Richard Villars表示。到2021年底,大多数企业都将建立一种机制,以加快向以云为中心的数字基础设施和应用服务的转变,他说。
鉴于云服务的重要性日益增加,企业需要了解如何在这种不断变化的环境中有效地保持高水平的安全。
移动营销分析与归因平台提供商AppsFlyer为如何做到这一点提供了一个很好的例子。
扩大大型多云环境中的安全性
该公司的IT没有本地服务器,环境是100%云原生的。其平台使用包括AWS、Google Cloud、Microsoft Azure包括阿里云在内的各种云服务提供商。云环境覆盖五个国家,服务器1.5万多台,每天需要处理超过80TB的数据。AppsFlyer是美国以外最大的AWS拥有数万资源的部署公司之一。
“由于AppsFlyer它是一家基于云的公司。我们面临的最大威胁和担忧是如何扩大安全性,管理和验证我们环境中的所有不同组件,包括身份、基础设施、网络和周围的一切,”Guy Flechter他在公司工作CISO,直到最近才离开为初创公司工作。
“这一点非常重要,因为我们需要能够支持组织中的所有安全需求,包括工程团队和DevOps等等,等等,”Flechter说。“如果我们不能扩大我们的安全,我们最终会被迫告诉我们组织中的一些团队,我们不能支持一些计划。”
身份治理和访问权限优先
AppsFlyer2020年,安全团队优先考虑身份治理和访问权限管理。对于开发人员,DevOps对于数据科学家来说,目标是确保最小权限访问的实施,其策略可以适用于每个用户的配置文件。
然而,访问权限的使用在大型云环境中很难管理。AppsFlyer为了限制对重要资源的高风险访问,加强环境,限制对重要资源的高风险访问,加强环境,删除未使用的用户、角色和权限。
最大的挑战之一是提供可见性,因为云中的移动部件太多,很容易启动更多的资源和基础设施,Flechter说。“例如,开发人员可以添加新的实例和存储桶,以及分配不同的访问权限和权利,”他说。
要应对各种挑战,AppsFlyer部署了一个来自Ermetic权限管理系统。“在我们选择Ermetic以前,我们根据安全要求对云基础设施授权管理产品进行了非常全面的评估,”Flechter说。“该产品需要支持多个云供应商。我们希望该解决方案能够支持操作,而不仅仅是可见性。它需要帮助我们弥补安全漏洞。最后,我们还希望从工具中修复问题,并与其他自动化工具集成。”
“我认为安全工具只有在能够同时支持操作流程的情况下才有效,”Flechter说。“如果它只提供良好的可视性,那么它只是一个很好的仪表板。平台还需要提供所需的操作能力,以支持活动的可见性。”
AppsFlyer一开始,平台逐渐推广到其不同的云环境中,一次又一次。很容易连接到每个云平台,因为它们都支持它API集成获取读取权,Flechter说。每次连接不到15分钟。
“一旦我们开始了Ermetic在获取数据后,我们立即发现了环境中的安全漏洞,并开始修复,”Flechter他说。该平台可以在没有任何微调的情况下开始发现风险。
该系统可以根据资产的敏感性和风险优先考虑需要首先解决的问题。例如,访问一个对外界开放的例子AWS S3 bucket。bucket是AWS的Simple Storage Service产品中提供的公共云存储资源“即使许可本身不是特权或行政许可,也会被标记为更高优先级的过度许可,”Flechter说。
AppsFlyer安全团队将使用该平台审查所有第三方的环境访问,并删除所有不再使用的SaaS应用程序,包括一些安全和优化工具。该团队还审查了有权访问敏感数据的应用程序,并删除了不必要的权限。
构建完整的云安全产品组合
授权管理系统只是AppsFlyer安全计划的一部分。该公司仍在使用它Broadcom的Symantec Secure Access Cloud来对AWS身份验证和授权中的资源。“它使我们能够保持安全和细粒度的访问管理,使用软件定义的边界来执行零信任原则,”Flechter说。
AppsFlyer还使用了Rezilion提供云工作负载保护工具,使公司能够缩小攻击面,防止恶意活动;Salt Security API保护平台可以保护和连接AppsFlyer云资源的API,阻止试图操纵公司云服务API攻击;还有Amazon威胁检测工具GuardDuty。GuardDuty为了保护恶意活动和未经授权的行为AWS存储在中间的帐户、工作负载和数据。
随着安全技术组合的到位,AppsFlyer现在我们可以全面了解不同账户和不同云提供商之间的云环境,这在过去是不可用的。“我们还能够自动修复安全漏洞,并继续扩展到事件响应等其他领域,”Flechter说。
修复云安全盲点
公司还可以更经济、更有效地识别和修复云安全盲点,Flechter说。“我们可以自信地知道,在每个云环境中,我们的风险在哪里,我们需要解决什么问题,我们需要解决什么自动化,”他说。“我们可以深入到一个特定的环境中,但事实上,我们也可以在一个地方看到四个云环境的全局视图,这对我们来说非常有价值。”
最大的好处之一是AppsFlyer现在对身份和权限有了更深的了解。“我们可以立即查明未使用的权限,”Flechter说。“这使我们能够以自动化的方式持续实施零信任访问。我们的安全管理比以前好多了。”