雲棲號資訊:【點擊查看更多行業資訊】
在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
越來越多的企業如今正在採用多雲策略,但這將帶來他們無法預料的安全挑戰。爲此,需要了解如何解決常見的多雲安全策略問題。
通過採用正確的計劃,管理多雲安全架構將比許多人認爲得更加容易。制定雲計算安全集成計劃必須克服某些挑戰。其中一個挑戰是建立一致的跨雲安全策略,該策略不僅涵蓋初始部署,而且還涵蓋由可用安全工具和服務支持的安全策略的持續維護。
企業的業務在多雲環境中工作時,可以在所有的公共雲和私有云集中管理安全工具以及工具中創建的策略。然而,不能保證這些工具在第三方雲計算基礎設施中是優秀的甚至可用的。因此,選擇符合企業內部部署安全標準的工具和策略非常重要,並需要提供在每個雲計算基礎設施中一致運行的靈活性。
多雲架構的集中可見性和監視是另一個挑戰。根據業務所依賴的公共雲和私有云,每種雲平臺都將提供不同級別的可見性。此外,許多內部部署工具可能無法提供其慣用的必要監視級別。這種可見性的缺失將會造成漏洞,將給企業業務帶來威脅。
同樣,從網絡和安全角度來看,多雲架構將會增加複雜性。可能會發生安全策略和工具錯誤配置或誤讀。諸如多雲管理或網絡覆蓋之類的現代平臺可以幫助減少在跨多個雲計算基礎設施創建和推送安全策略時出現人爲錯誤的機會,但是這些工具增加了複雜性,從而導致其他安全錯誤。比較好的建議是企業在考慮與其計劃合作的雲計算提供商時,需要正確評估所涉及的風險,以及提供工作人員管理跨雲平臺安全架構的能力。
在多雲環境中保持安全可見性
在多雲環境中保持可見性是安全基礎設施架構的關鍵部分。在理想情況下,可見性應擴展到網絡級別。有幾種工具(所有這些工具都可以集中管理)可用於提供多雲的可見性。多年來,安全事件和事件管理(SIEM)工具提供了大部分可見性。但是,SIEM工具嚴重依賴於日誌數據,這取決於雲計算服務提供商的不同級別的粒度。因此,通過使用SIEM工具的可見性可能不會像某些人想象得那樣有效。
與其相反,網絡檢測和響應(NDR)這個IT安全的新興領域可能更適合於在混合網絡和多雲網絡之間提供必要的可見性。NDR通過從企業網絡中各個平臺(包括私有云和公共雲)中提取網絡遙測數據來監視流量。數據是從包括NetFlow、深度數據包檢查和其他流網絡遙測在內的資源獲取的。然後將數據發送到分析工具,在分析工具中將數據解碼並整合在一起,以準確瞭解網絡上的設備以及通話的對象。在完成之後,就會形成流量基線,並從安全角度分析流量,以識別流量模式異常、次優性能指標,以及與已知和未知威脅的匹配。
從多雲可見性的角度嚴格來看,可以在IaaS雲平臺中部署NDR平臺,以自動創建網絡可見性地圖,以識別所有網絡組件和連接的服務器設備。此外,該工具還顯示了服務器設備與其他設備之間的交互作用。這正是安全管理員所追求的細節級別,它的另一個優勢是使用單一平臺在一個集中的平臺中監控所有內部部署和公共雲資源。
組織應如何應對多雲安全性?
多雲安全的總體目標是可以統一管理的統一的安全工具、流程和程序。對於收購其他公司的組織的IT人員來說,可能會對如何實現多雲安全性有了一定的瞭解。例如,在收購方案中,被收購的企業可能具有自己的(可能與其他情況不同)網絡、服務器和應用程序基礎設施,必須使用它們來適應母公司的數據安全級別。因此,第一步是其工作人員確保完全瞭解要使用的新基礎設施。這項調查的結果將顯示新基礎設施與其現有的基礎設施之間的差距,這與檢查新的公共雲架構時採用的方法完全相同。
下一步是檢查組織的內部安全工具、流程和管理程序,以查看其中哪些將輕鬆適合新的基礎設施,哪些將需要修改或放棄,以支持適用於多雲平臺中所有的雲計算環境。這可能會很棘手,但是如果願意並且能夠進行必要的更改以實現跨雲安全一致性,仍然有可能實現。這可能意味着必須擺脫IT安全團隊喜歡的工具和流程,而支持適用於所有環境的工具和流程。
對於具有大規模多雲目標的企業來說,通過人工實現多雲安全性方法可能不是最有效的時間和資源的利用方式。在這種情況下,採用多雲管理或網絡覆蓋平臺等工具可能更合適。這兩種多雲管理技術可幫助管理員使用其所需的安全工具和流程,而無需考慮基礎設施是什麼。儘管這可以顯著簡化跨雲安全策略,但是需要注意,這是以增加管理、覆蓋成本和複雜性爲代價的。但是,對於計劃在三個或更多私有云或公共雲平臺運行的企業來說,從長期的角度來看,出現額外的成本和複雜性可能是合理的。
【雲棲號在線課堂】每天都有產品技術專家分享!
課程地址:https://yqh.aliyun.com/live立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK
原文發佈時間:2020-07-14
本文作者:Andrew Froehlich
本文來自:“企業網D1Net”,瞭解相關信息可以關注“企業網D1Net”