AppsFlyer：一個基于多云的企業(yè)該如何進行安全控制

AppsFlyer每天會通過多個云托管服務來處理其80TB的數(shù)據(jù)。它通過密切關注身份治理和訪問控制擴展了它的安全需求。

CISO們所面臨的最大網(wǎng)絡安全挑戰(zhàn)之一是，當他們的組織將工作負載轉(zhuǎn)移到云上時，該如何維護數(shù)據(jù)保護和隱私。特別是，他們該如何在純云環(huán)境中管理安全控制?

由于新冠病毒疫情的大流行以及隨之而來的向在家辦公模式的轉(zhuǎn)變，在組織向云服務遷移的背景下，這一點將變得更加重要。正如研究公司IDC在2020年10月的一份報告中指出的那樣，這一流行病“已在很大程度上被證明了是云采用以及云擴展的加速器，并將繼續(xù)推動向以云為中心的IT的更快轉(zhuǎn)變。”

IDC預測，到2024年，全球在云服務、支撐云服務的硬件和軟件組件，以及圍繞云服務的專業(yè)和管理服務機會上的支出將超過1萬億美元，并保持16%的兩位數(shù)復合年增長率。

在可預見的未來，各種形式的云將在整個IT行業(yè)發(fā)揮越來越大的作用，甚至是占據(jù)主導地位，IDC全球研究部的集團副總裁Richard Villars表示。到2021年底，大多數(shù)企業(yè)都將建立一種機制，以加快向以云為中心的數(shù)字基礎設施和應用服務的轉(zhuǎn)變，他說。

鑒于云服務的重要性在與日俱增，企業(yè)需要弄清楚該如何在這種不斷變化的環(huán)境中有效地保持高水平的安全性。

移動營銷分析和歸因平臺提供商AppsFlyer提供了一個很好的例子來說明該如何做到這一點。

在大型多云環(huán)境中擴展安全性

該公司的IT環(huán)境是100%云原生的，沒有本地服務器。其平臺使用包括了AWS、Google Cloud、Microsoft Azure和阿里云在內(nèi)的提供商的多種云服務。其云環(huán)境覆蓋了五個國家，擁有15000多臺服務器，每天需要處理超過80TB的數(shù)據(jù)。AppsFlyer是美國以外最大的AWS部署公司之一，擁有數(shù)以萬計的資源。

“由于AppsFlyer是一家基于云的公司，我們所面臨的最大威脅和擔憂就是如何擴展安全性，以管理和驗證我們環(huán)境中的所有不同組件，包括身份、基礎架構(gòu)、網(wǎng)絡和周圍的一切，”Guy Flechter說，他在公司擔任CISO，直到最近才離開為一家初創(chuàng)公司工作。

“這一點很重要，因為我們需要能夠支持組織內(nèi)的所有安全需求，包括工程團隊和DevOps團隊，等等，”Flechter說?！叭绻覀儫o法擴展我們的安全性，我們最終將被迫告訴我們組織內(nèi)的一些團隊，我們無法支持某些計劃?！?/p>

身份治理和訪問權限是優(yōu)先事項

AppsFlyer的安全團隊將身份治理和訪問權限管理作為了2020年的優(yōu)先事項。對于開發(fā)人員、DevOps和數(shù)據(jù)科學家來說，目標是確保實施最小權限訪問，并且其策略能夠適合每個用戶的配置文件。

然而，在大型云環(huán)境中很難管理訪問權限的使用。此外，AppsFlyer還希望能夠?qū)徍耸谟杌A架構(gòu)的所有訪問權限，以限制對重要資源的高風險訪問，強化環(huán)境，并刪除未使用的用戶、角色和權限。

最大的挑戰(zhàn)之一是提供可見性，因為云中有太多的移動部件，很容易就啟動更多的資源和基礎設施，F(xiàn)lechter說?！袄?，開發(fā)人員可以添加新的實例和存儲桶，以及分配不同的訪問權限和權利，”他說。

為了應對各種挑戰(zhàn)，AppsFlyer部署了一個來自Ermetic的權限管理系統(tǒng)。“在我們選擇Ermetic之前，我們根據(jù)安全需求對云基礎架構(gòu)授權管理產(chǎn)品進行非常全面的評估，”Flechter說?！霸摦a(chǎn)品需要支持多個云提供商。我們希望該解決方案能夠支持運營，而不僅僅是提供可見性。它需要幫助我們彌補安全漏洞。最后，我們還希望能夠從工具內(nèi)部修復問題，并與其他自動化工具進行集成?！?/p>

“我認為安全工具只有在能夠同時支持運營流程的情況下才是有效的，”Flechter說?！叭绻惶峁┝肆己玫目梢曅?，那么它就只是一個不錯的儀表板。還需要平臺提供所需的操作能力，以支持根據(jù)其提供的可見性來執(zhí)行活動?！?/p>

AppsFlyer開始時是逐步將該平臺推廣到其不同的云環(huán)境中的，一次一個。連接到每個云平臺都很容易，因為它們都支持API集成來獲得讀取權限，F(xiàn)lechter說。每次連接只需要不到15分鐘。

“一旦我們開始從Ermetic中獲取了數(shù)據(jù)，我們馬上就發(fā)現(xiàn)了我們環(huán)境中的安全漏洞，并開始修復這些漏洞，”Flechter說。該平臺不需要任何微調(diào)就能開始發(fā)現(xiàn)風險，他說。

該系統(tǒng)可以根據(jù)資產(chǎn)的敏感性和風險，對需要首先解決的問題進行優(yōu)先排序。一個例子是訪問一個對外界開放的AWS S3 bucket。bucket是AWS的Simple Storage Service產(chǎn)品中所提供的公共云存儲資源“它將被標記為更高優(yōu)先級的過度許可，即使該許可本身不是特權或行政許可的，”Flechter說。

AppsFlyer安全團隊會使用該平臺審核所有第三方對其環(huán)境的訪問，并刪除所有不再使用的SaaS應用程序，包括一些安全和優(yōu)化工具。該團隊還審查了有權訪問敏感數(shù)據(jù)的應用程序，并刪除了不必要的權限。

構(gòu)建完整的云安全產(chǎn)品組合

授權管理系統(tǒng)只是AppsFlyer安全計劃的一個組成部分。該公司還在使用來自Broadcom的Symantec Secure Access Cloud來對AWS中的資源進行身份驗證和授權?！八刮覀兡軌虮３职踩图毩６鹊脑L問管理，使用軟件定義的邊界來執(zhí)行零信任原則，”Flechter說。

AppsFlyer還使用了Rezilion提供的云工作負載保護工具，使公司能夠縮小攻擊面，防范惡意活動;而Salt Security API保護平臺則可以保護連接到AppsFlyer云資源的API，并阻止試圖操縱公司云服務API的攻擊;還有Amazon的威脅檢測工具GuardDuty。GuardDuty可以持續(xù)監(jiān)視惡意活動和未經(jīng)授權的行為，以保護AWS中所存儲的帳戶、工作負載和數(shù)據(jù)。

隨著安全技術組合的到位，AppsFlyer現(xiàn)在可以在不同的帳戶和不同的云提供商之間全面了解其云環(huán)境，這在以前是沒有的?！拔覀円灿心芰ψ詣有迯桶踩┒?，并繼續(xù)擴展到其他領域，如事件響應，”Flechter說。

修復云安全的盲點

該公司也可以更經(jīng)濟高效地識別和修復云安全盲點，F(xiàn)lechter說。“我們可以滿懷信心地知道，在每一個云環(huán)境中，我們的風險到底在哪里，需要解決哪些問題，而且我們已經(jīng)擁有了哪些解決這些問題所需的自動化，”他說?！拔覀兛梢陨钊氲揭粋€特定的環(huán)境，但事實上，我們也可以在一個地方看到所有四個云環(huán)境的全局視圖，這對我們來說是非常寶貴的。”

最大的好處之一是AppsFlyer現(xiàn)在對身份和權限有了更深入的了解?！拔覀兛梢粤⒓床槊魑词褂玫臋嘞?，并將其刪除，”Flechter說?！斑@使我們能夠以自動化的方式持續(xù)地實施零信任訪問。我們的安全態(tài)勢管理比以前好多了?！?/p>