内置与附加：从何处获得云安全性

出版时间:2022年1月作者:里克•特纳罗伊Illsley内置和螺栓,:到哪里去寻你的安全云 内置与附加：从何处获得安全性云Omdia委托研究,由Oracle内容Omdia 视图关键 消息结论附录241112 内置与附加：从何处获得安全性云Omdia视图总结云采用在企业 IT 中快速发展。软件即服务 （SaaS） 交付模式云计算在整整十年前如雨后春笋般涌现成一个巨大的细分市场，而现在，随着企业对云变得更加满意 一般来说，基础设施和平台作为一个服务（IaaS 和 PaaS）模式的增长速度更快。根据Omdia的ICT企业洞察调查（见进一步的阅读后面的一节),公众云使用情况（以以某种形式运行的组织工作负载的百分比来衡量）公共云—IaaS、PaaS 或 SaaS）从 2019 年的 25% 增加到 2021 年的 46%。克利里，SaaS领导收费并且仍然是市场的最大部分，因为它的 SaaS 采用需要最少组织转向云以满足其应用程序要求的工作。相比之下，两个IaaSPaaS 需要更深层次的承诺，开发人员参与创建，IT操作维护,应用房地产。企业应用程序基础架构的这种演变提出了如何最好地保护组织的代码和数据（驻留在云中）。IaaS 和 PaaS 提供商，以下简称d作为云服务提供商 （CSP），销售计算和存储，以及核心功能，例如数据库。他们还捆绑到他们的服务中，通常不收取额外费用，相当数量的安全功能，例如身份和访问管理 （IAM）、加密和密钥管理。然而,除了这些“-在“安全功能,第三方,专门的网络安全供应商提供自己的技术，用于部署在相同的云中，通常通过参与由CSP运营的市场。它们提供 CSP 无法提供的功能自身，例如下一代防火墙 （NGFW）、入侵检测/防御系统（IDPS）、特权访问管理 （PAM） 和云权限管理 （CPM）。可是它们还提供了一些与CSP本身重叠的网络安全能力领域捆绑到他们的服务中，在客户脑海中提出了一个明显的问题：我是否使用我的 CSP提供我，还是应该去找专门的第三方安全供应商？企业客户应该如何衡量“螺栓”的价值-在“安全技术活力请示内置的？显然，后者可以免费使用，但超越了这个狭窄的财务维度，与螺栓固定选项相比，利用内置选项是否也具有操作优势？甚至有没有云服务的内置能力一样好的场景，甚至从纯粹的安全角度来看，比那些附加的更好？换句话说，您的云资产通过CSP内置到服务中的功能比通过第三聚会安全产品?© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云本白皮书旨在解决这个问题，着眼于“构建”的利弊-在“和the”螺栓-on“，特别是在甲骨文云服务产品的背景下，又名甲骨文云基础设施 （OCI），考虑它作为服务中的默认值包含的安全技术，以及其市场中的专用安全供应商必须提供什么。© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云关键信息•能够展示云提供商针对其内置安全性的清晰路线图能力发展是至关重要的。••零散和/或孤立的安全解决方案既带来风险，也带来机遇。需要获得从裸机到 SaaS 的整个环境的整体视图，以减少减轻运营负担，提高云的安全性。新兴的云计算技术提供新的保障威胁CSP 如何应对新的云技术范式？一个关键的考虑因素是内置安全功能如何覆盖快速变化的云原生容器、无服务器和基础结构即代码 （IaC） 等技术以及新的安全性他们代表的挑战。容器与虚拟机和无服务器环境存在不同的安全风险引入更多安全漏洞的机会。IaC 为以下方面带来了新的便利性开发人员，但如果做得错误，它也可以扩展组织信息的攻击表面。安全考虑的另一个复杂因素是边缘的出现—移动计算到生成数据的位置，用于实时分析和报告。这是特别重要的是，大部分边缘将基于云原生技术。云服务提供商已经认识到边缘的重要性，并推出了特定的产品，如Oracle。客户可以部署到的专用区域Cloud@Customer和 Exadata Cloud@Customer为这些分布式工作负载提供边缘云。专注的初创企业本身就存在风险当然，还有来自第三方安全提供商的产品旨在解决这些新的问题。技术。然而，有问题的供应商往往是小型初创企业，因此增加了安全产品和解决方案提供商的数量，这本身就构成安全风险。它不是仅意味着组织需要管理更多的供应商关系，但是，当这些供应商是规模较小、较年轻的公司，他们可能会倒闭、倒闭或被组织不想与之开展业务的其他供应商收购。因此，一个主要问题是云提供商是如何构建的。——安全发展。云提供商是否有一个展示持续创新的未来路线图，还是一种被动的方法只有成熟的技术提供解决方案?© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云了解甲骨文的建——安全技术甲骨文推出了甲骨文云基础设施（OCI），这是其IaaS和PaaS产品的基础。2016 年 10 月，从那时起，它一直在扩大其地理覆盖范围和技术能力。在云服务的安全性方面，该公司已经内置了一系列产品，包括:•身份和访问管理甲骨文的SaaS交付的身份服务,OCI我允许企业管理和自动化用户身份的端到端生命周期，为用户提供安全、精细地访问企业资源和资产。•“公盟”证书—Oracle 可以通过 OCI 证书服务颁发自己的数字证书。这使个人、计算机和组织能够通过使用公钥加密的互联网。证书还可用于验证对云工作负载。该设施还可以防止客户去第三方认证权威。••OCI堡垒—临时访问服务，提供受限和有时间限制的安全访问到没有公共终结点且需要严格资源访问控制的资源，例如计算实例、裸机和虚拟机、MySQL、ATP、Oracle 容器引擎Kubernetes （OKE），以及任何其他允许安全外壳（SSH）协议访问的资源。Oracle数据安全—帮助客户识别配置风险的服务，建立安全基线并监视数据库是否偏离该基线。它扫描数据库来定位和分类敏感数据，静态屏蔽测试和开发系统，评估用户安全性并监控用户活动。数据安全是单一的控制台，用于管理 Oracle 数据库的日常安全性和合规性要求包含在 OCI 数据库服务（包括 Oracle Cloud@Customer）中，并且可用适用于在本地或第三方云中运行的 Oracle 数据库。••甲骨文云警卫—帮助客户监控、识别、实现和加强的服务他们在 OCI 上的安全状况，因此可以归类为云安全状况管理 （CSPM） 服务。客户使用它来检查其 OCI 资源的安全性与配置及其操作员和用户相关的弱点，用于风险活动。后检测到问题，Cloud Guard 可以根据以下条件建议、协助或采取纠正措施您的配置。它还会引发来自其他 OCI 安全服务（如漏洞）的警报扫描、数据安全以及证书。甲骨文的安全区域—一项服务，使客户能够设置和实施安全策略OCI 中的云区间，具有策略库和嵌入式最佳实践，可实现安全性与CPSM相关的控制措施。因此，它补充了Oracle Cloud Guard和OCI IAM。可应用于区间中资源的其他强制控制。© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云•OCI漏洞扫描服务(VSS)—帮助客户从应用补丁的消除风险漏洞和开放端口，通过评估和监控其 OCI 实例。它集成了Oracle 云防护，帮助客户识别漏洞和常见漏洞配置错误，从而改善其 OCI 实例的安全状况。© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云表1:甲骨文——云安全服务产品名称类别“公盟”我身份和访问管理数字证书“公盟”证书OCI堡垒短暂的访问Oracle数据安全统一数据库云安全平台云安全姿势管理执行安全的姿势OCI脆弱性管理实例甲骨文云警卫甲骨文的安全区域OCI漏洞扫描服务(VSS)来源:Omdia安全应该被设计成任何云作为服务的一部分提供甲骨文开发安全技术以支持其 OCI 云服务的理由是使安全性易于使用、规范性和集成性。该公司认为，安全性应该是基础和内置，使客户不必在安全性之间进行权衡和成本。安全服务已集成到 OCI 本身中，实际上是一些相同的工具Oracle 用于保护其 60 多种不同的 SaaS 和 PaaS 服务，所有这些服务都由OCI IaaS平台。随着云使用量预计将持续增长，任何云架构都必须具有设计的安全性让客户有信心使用云服务冰。Omdia认为”了-”与“螺栓-on“是一个使云本质上安全使用的问题（构建——),同时提高其对特定用例场景的适用性（附加）。换句话说，这两个产品应被视为互补而非竞争，如果存在重叠，则客户应该考虑他们期望CSP提供什么的简单问题，以及专业安全能力。比较操作优势和第三方安全产品的弱点非均质性与CSP相比，第三方供应商的安全产品的一个主要优势本身就是他们的异质性。显然，一个专门的安全供应商有既得利益© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云能够在所有主要云平台上工作，包括 OCI，因此必须支持他们的提供云计算的不同技术方法。相比之下，CSP只需要关心为云提供安全性。基础设施，事实上，有些人甚至可能认为这样做是有利的，因为客户在他们的平台将能够使用其不一定可用的安全技术竞争对手的。如果您已经开始或正在认真考虑，多云战略，其中不同类型的工作负载和计算要求分布在多个 CSP 中。另一方面，如果您选择全力以赴使用单个提供商如Oracle,可以跳转到第三方y供应商的异质性并没有提供优势。管理费用/复杂性当然，另一方面，部署和管理第三方的额外复杂性。云资产之上的安全工具。这些工具可能需要自己的专用管理控制台，将它们与云工作负载本身分开管理，从而潜在地重现多个控制台的可怕“转椅”管理问题，至今仍如此在本地环境中很常见。当然，您使用的第三方平台越多，转椅头痛的可能性更大。此外，第三方安全工具也可能需要额外的资源才能在 CSP 中运行，或者可能会公开 API 访问密钥才能连接远程CSP。与底层云平台更紧密地集成CSP安全工具和产品的另一个潜在优势是它们更紧密的集成。与底层平台本身。您应该期望，甚至要求CSP自己的安全工具对有关性能和配置的任何数据具有最高级别的访问权，并可以利用所有CSP 广泛的分析工具，用于检测错误配置和/或异常行为。它应该如果您愿意，还可以推荐安全修复程序，甚至可以自动执行它们。相比之下，第三方安全工具可能难以从他们处理的每个CSP，尤其是因为他们需要提取此类数据以派生的方式从中获取的见解可能因 CSP 而异。以下是一些受益于 OCI 构建的客户示例——安全功能保护他们的云的资产。获得一个组织的整体图片从风险安全位置是至关重要的管理的角度亲爱的成分使用Cloud Guard的公司之一是Darling Ingredients，这是一家生物废物处理器。将其回收成新的生物制品。OCI 客户求助于 Cloud Guard 来监控其© 2022 年奥米迪亚。保留所有权利。禁止未经授权的复制。 内置与附加：从何处获得安全性云随着其生产实例部署到 Oracle 云中更严格的安全区域，取得了进展。Darling喜欢该服务的图形用户界面和图形功能，使其网络和在每个部署阶段结束时登录的 SecOps 团队。达林强调，作为一个内置的功能，在开始使用它之前，其团队没有集成工作。医疗服务提供者一家大型医疗保健提供商最近受益于 Oracle 数据安全对数据安全的关注，当他们刷新了临时数据库，但忽略了删除或禁用对环境的访问对于生产用户。Data Safe发现测试系统已经更新了数十个有权查看敏感数据的帐户。在发现后的几分钟内，该客户就能够通过禁用不适当的帐户来解决风险，然后使用Data Safe的活动审核来验证这些帐户均未用于查看受保护的医疗保健信息 （PHI）。Soho媒体Soho Media，一家致力于战略，品牌识别，视觉传达领域的设计工作室，广告和网页设计使用Data Safe来保护其数据库，监控和评估用户数据库中的活动。该公司表示，它发现Data Safe易于实施和使用，但仍足够强大，可以满足其