摘要:混合云所提供的靈活性和控制能力是它在可預(yù)見(jiàn)的未來(lái)有望成為主流云計(jì)算模型的原因���。一種新的計(jì)算方法遷移到云計(jì)算并不意味著完全放棄控制權(quán),但它確實(shí)需要接受一種基于身份數(shù)據(jù)和工作負(fù)載而不是底層平臺(tái)的新安全思維���。
許多組織對(duì)云計(jì)算都有非常好的初次體驗(yàn)�����,因此它們很快就想轉(zhuǎn)移到一個(gè)混合云環(huán)境中��,在私有云和公共云之間共享數(shù)據(jù)和工作負(fù)載�。混合云所提供的靈活性和控制能力是它在可預(yù)見(jiàn)的未來(lái)有望成為主流云計(jì)算模型的原因���。
然而���,在構(gòu)建混合云的過(guò)程中,公司通常不會(huì)考慮安全問(wèn)題�����。當(dāng)他們意識(shí)到這個(gè)環(huán)境引入了一些傳統(tǒng)基礎(chǔ)設(shè)施中不存在的獨(dú)特安全考慮時(shí)���,這可能會(huì)導(dǎo)致令人不快的意外��。這就是為什么混合云需要在設(shè)計(jì)上是安全的����。
云安全是一個(gè)共同的責(zé)任
公共云提供商提供企業(yè)級(jí)的安全性����,但這并不能免除客戶保護(hù)數(shù)據(jù)、實(shí)施訪問(wèn)控制和教育用戶的責(zé)任�����。私有云安全非常復(fù)雜,因?yàn)樗接性瓶梢圆扇《喾N形式��。它們可以完全駐留在現(xiàn)場(chǎng)���,完全在公共云或某種組合中托管。私有云基礎(chǔ)設(shè)施還可以專用于單個(gè)租戶�,也可以跨多個(gè)區(qū)域共享,并提供專用資源��。每個(gè)環(huán)境都有不同的安全需求��。
云計(jì)算的規(guī)模和動(dòng)態(tài)性使可見(jiàn)性和控制變得復(fù)雜����。許多客戶錯(cuò)誤地認(rèn)為云提供商負(fù)責(zé)安全。事實(shí)上�,安全是一項(xiàng)共同的責(zé)任。根據(jù)我的經(jīng)驗(yàn)��,大多數(shù)云安全失敗的原因是客戶沒(méi)有履行他們的義務(wù)���。
沒(méi)有單一的云安全機(jī)制可以完成全部工作����。對(duì)于理想的云安全環(huán)境應(yīng)該是什么樣子,也沒(méi)有多少共識(shí)���。因此�����,這個(gè)市場(chǎng)上的大多數(shù)產(chǎn)品還在不斷發(fā)展�����。設(shè)計(jì)安全始于評(píng)估風(fēng)險(xiǎn)和構(gòu)建技術(shù)框架�����。
一種新的計(jì)算方法
遷移到云計(jì)算并不意味著完全放棄控制權(quán)��,但它確實(shí)需要接受一種基于身份�����、數(shù)據(jù)和工作負(fù)載(而不是底層平臺(tái))的新安全思維�。能夠圍繞業(yè)務(wù)支持而不是設(shè)備保護(hù)重新定位自己的安全專業(yè)人員特別適合保護(hù)公共云�。
云計(jì)算是高度分布式和動(dòng)態(tài)的�����,工作負(fù)載不斷地上下旋轉(zhuǎn)���。可見(jiàn)性對(duì)安全性至關(guān)重要����。Gartner認(rèn)為���,云安全應(yīng)該解決三個(gè)傳統(tǒng)上不屬于IT領(lǐng)域的核心問(wèn)題:多租戶風(fēng)險(xiǎn)��、虛擬化安全和SaaS控制���。
多租戶風(fēng)險(xiǎn)是云架構(gòu)固有的,因?yàn)槎鄠€(gè)虛擬機(jī)(vm)共享相同的物理空間�����。大型公共云提供商竭盡全力降低一個(gè)租戶訪問(wèn)另一個(gè)VM中的數(shù)據(jù)的可能性��,但如果服務(wù)器配置不當(dāng)�����,內(nèi)部基礎(chǔ)設(shè)施是很容易受到影響的。對(duì)一個(gè)混合云環(huán)境所做的更改也可能無(wú)意中影響到另一個(gè)��。
虛擬化安全性是指虛擬化環(huán)境特有的風(fēng)險(xiǎn)���。雖然虛擬機(jī)監(jiān)控程序和vm在很多方面都比裸機(jī)環(huán)境更安全�,因?yàn)椴僮飨到y(tǒng)與硬件是隔離的����,但是使用存儲(chǔ)和網(wǎng)絡(luò)等共享資源也會(huì)引入專用服務(wù)器上不存在的潛在漏洞。
SaaS環(huán)境需要更多地關(guān)注身份驗(yàn)證和訪問(wèn)控制�����,因?yàn)橛脩舨⒉粨碛芯W(wǎng)絡(luò)���。需要制定治理標(biāo)準(zhǔn)���,以確保用戶對(duì)數(shù)據(jù)采取適當(dāng)?shù)念A(yù)防措施,并滿足所有必要的法規(guī)和遵從性指南��。
沒(méi)有這些新能力�,組織將很難獲得對(duì)混合云環(huán)境的可見(jiàn)性����,因此幾乎不可能確定哪些計(jì)算和存儲(chǔ)任務(wù)正在哪些地方��,使用哪些數(shù)據(jù)以及在哪個(gè)方向上進(jìn)行��。在這種情況下���,策略的提供和執(zhí)行可能很快變得不切實(shí)際�。但是����,如果組織使用新的云本地工具實(shí)踐設(shè)計(jì)安全原則��,他們可以獲得單一窗格的活動(dòng)視圖��,從而實(shí)現(xiàn)策略實(shí)施����。
安全混合云部署的三個(gè)關(guān)鍵
有三個(gè)領(lǐng)域值得特別關(guān)注:加密、端點(diǎn)安全和訪問(wèn)控制��。
加密是最好的數(shù)據(jù)保護(hù)形式����。在任何階段���,進(jìn)出公共云的數(shù)據(jù)都應(yīng)該加密,敏感數(shù)據(jù)永遠(yuǎn)不應(yīng)該不加密�。所有云提供商都支持加密,但不一定是默認(rèn)���??蛻粜枰x擇最合適和最安全的加密密鑰類型�。
當(dāng)通過(guò)公共互聯(lián)網(wǎng)訪問(wèn)公共云服務(wù)時(shí),需要特別注意端點(diǎn)安全�,以防止為攻擊者創(chuàng)建訪問(wèn)點(diǎn)或成為惡意軟件的目標(biāo)。例如���,如果攻擊者破壞了一臺(tái)PC�,并以公司公共云的管理員身份登錄���,那么他就擁有了進(jìn)入這個(gè)王國(guó)的鑰匙��,硬件防火墻的保護(hù)不夠��。
安全web網(wǎng)關(guān)(SWG)利用URL過(guò)濾��、高級(jí)威脅防御(ATD)和惡意軟件檢測(cè)來(lái)保護(hù)組織并強(qiáng)制執(zhí)行internet策略合規(guī)性���。SWG以物理和虛擬的本地設(shè)備��、基于云的服務(wù)或混合云/內(nèi)部部署解決方案的形式交付�。它們提供了額外的一層保護(hù)��,以抵御勒索軟件等破壞性攻擊���,并使基于云的服務(wù)更安全����、更高效地被采用�。
最后,如果員工��、承包商和供應(yīng)商同時(shí)使用公共和私有云����,那么特定于云的訪問(wèn)控制是必要的����。單點(diǎn)登錄(SSO)和聯(lián)合訪問(wèn)控制可以在保持控制和安全監(jiān)控的同時(shí)最大限度地減少不便��。
身份和訪問(wèn)管理即服務(wù)(IDaaS)可以在多租戶和專用環(huán)境中工作���。它提供跨組織整個(gè)云環(huán)境的身份治理和管理、訪問(wèn)管理和分析功能�。IDaaS還可以與現(xiàn)有的訪問(wèn)管理軟件集成,以管理對(duì)遺留應(yīng)用程序的訪問(wèn)���。
云安全聯(lián)盟擁有廣泛的資源庫(kù)��,涵蓋了混合云安全的實(shí)踐����。在開(kāi)始遷移過(guò)程之前�,組織應(yīng)該熟悉這些指南。從一開(kāi)始就將安全性構(gòu)建到混合基礎(chǔ)設(shè)施中�����,可以最大限度地減少以后回填的痛苦和延遲��。
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/6511.html
