許多組織對雲計算都有非常好的初次體驗,因此它們很快就想轉移到一個混合雲環境中,在私有云和公共雲之間共享數據和工作負載。混合雲所提供的靈活性和控制能力是它在可預見的未來有望成爲主流雲計算模型的原因。
然而,在構建混合雲的過程中,公司通常不會考慮安全問題。當他們意識到這個環境引入了一些傳統基礎設施中不存在的獨特安全考慮時,這可能會導致令人不快的意外。這就是爲什麼混合雲需要在設計上是安全的。
雲安全是一個共同的責任
公共雲提供商提供企業級的安全性,但這並不能免除客戶保護數據、實施訪問控制和教育用戶的責任。私有云安全非常複雜,因爲私有云可以採取多種形式。它們可以完全駐留在現場,完全在公共雲或某種組合中託管。私有云基礎設施還可以專用於單個租戶,也可以跨多個區域共享,並提供專用資源。每個環境都有不同的安全需求。
雲計算的規模和動態性使可見性和控制變得複雜。許多客戶錯誤地認爲雲提供商負責安全。事實上,安全是一項共同的責任。根據我的經驗,大多數雲安全失敗的原因是客戶沒有履行他們的義務。
沒有單一的雲安全機制可以完成全部工作。對於理想的雲安全環境應該是什麼樣子,也沒有多少共識。因此,這個市場上的大多數產品還在不斷髮展。設計安全始於評估風險和構建技術框架。
一種新的計算方法
遷移到雲計算並不意味着完全放棄控制權,但它確實需要接受一種基於身份、數據和工作負載(而不是底層平臺)的新安全思維。能夠圍繞業務支持而不是設備保護重新定位自己的安全專業人員特別適合保護公共雲。
雲計算是高度分佈式和動態的,工作負載不斷地上下旋轉。可見性對安全性至關重要。Gartner認爲,雲安全應該解決三個傳統上不屬於IT領域的核心問題:多租戶風險、虛擬化安全和SaaS控制。
多租戶風險是雲架構固有的,因爲多個虛擬機(vm)共享相同的物理空間。大型公共雲提供商竭盡全力降低一個租戶訪問另一個VM中的數據的可能性,但如果服務器配置不當,內部基礎設施是很容易受到影響的。對一個混合雲環境所做的更改也可能無意中影響到另一個。
虛擬化安全性是指虛擬化環境特有的風險。雖然虛擬機監控程序和vm在很多方面都比裸機環境更安全,因爲操作系統與硬件是隔離的,但是使用存儲和網絡等共享資源也會引入專用服務器上不存在的潛在漏洞。
SaaS環境需要更多地關注身份驗證和訪問控制,因爲用戶並不擁有網絡。需要制定治理標準,以確保用戶對數據採取適當的預防措施,並滿足所有必要的法規和遵從性指南。
沒有這些新能力,組織將很難獲得對混合雲環境的可見性,因此幾乎不可能確定哪些計算和存儲任務正在哪些地方,使用哪些數據以及在哪個方向上進行。在這種情況下,策略的提供和執行可能很快變得不切實際。但是,如果組織使用新的雲本地工具實踐設計安全原則,他們可以獲得單一窗格的活動視圖,從而實現策略實施。
安全混合雲部署的三個關鍵
有三個領域值得特別關注:加密、端點安全和訪問控制。
加密是最好的數據保護形式。在任何階段,進出公共雲的數據都應該加密,敏感數據永遠不應該不加密。所有云提供商都支持加密,但不一定是默認。客戶需要選擇最合適和最安全的加密密鑰類型。 大連婦科醫院排名 http://yyk.39.net/dl/zonghe/f9a8f.html
當通過公共互聯網訪問公共雲服務時,需要特別注意端點安全,以防止爲***者創建訪問點或成爲惡意軟件的目標。例如,如果***者破壞了一臺PC,並以公司公共雲的管理員身份登錄,那麼他就擁有了進入這個王國的鑰匙,硬件防火牆的保護不夠。
安全web網關(SWG)利用URL過濾、高級威脅防禦(ATD)和惡意軟件檢測來保護組織並強制執行internet策略合規性。SWG以物理和虛擬的本地設備、基於雲的服務或混合雲/內部部署解決方案的形式交付。它們提供了額外的一層保護,以抵禦勒索軟件等破壞性***,並使基於雲的服務更安全、更高效地被採用。
最後,如果員工、承包商和供應商同時使用公共和私有云,那麼特定於雲的訪問控制是必要的。單點登錄(SSO)和聯合訪問控制可以在保持控制和安全監控的同時最大限度地減少不便。
身份和訪問管理即服務(IDaaS)可以在多租戶和專用環境中工作。它提供跨組織整個雲環境的身份治理和管理、訪問管理和分析功能。IDaaS還可以與現有的訪問管理軟件集成,以管理對遺留應用程序的訪問。
雲安全聯盟擁有廣泛的資源庫,涵蓋了混合雲安全的實踐。在開始遷移過程之前,組織應該熟悉這些指南。從一開始就將安全性構建到混合基礎設施中,可以最大限度地減少以後回填的痛苦和延遲。