多云部署安全須知

責(zé)任編輯:editor004

作者:Dave Shackleford

2017-04-12 11:07:15

摘自:TechTarget中國

摘要:多云部署讓企業(yè)對規(guī)劃進(jìn)行了大量的思考,特別是在安全性方面。所有用戶、組和角色都應(yīng)該認(rèn)真地定義訪問多云部署的權(quán)限,而且這個中央身份和訪問平臺,無論是內(nèi)部還是云商,都應(yīng)該集中審核、控制。

多云部署讓企業(yè)對規(guī)劃進(jìn)行了大量的思考,特別是在安全性方面。專家Dave Shackleford觀察到了多云的挑戰(zhàn)。

隨著越來越多的企業(yè)不斷在跨應(yīng)用、平臺和服務(wù)中增加云的使用,多云一詞越來越受到關(guān)注。 但是這個術(shù)語也帶來了一些疑惑。例如,什么是多云?

對大多數(shù)組織來說,只是使用幾種不同的云服務(wù)進(jìn)行組合,創(chuàng)建一個混合模型來共享數(shù)據(jù)、應(yīng)用組件、連接,或者這三者的組合。對許多人來說,這可能是不同基礎(chǔ)設(shè)施即服務(wù)(IaaS)和平臺即服務(wù)環(huán)境之間的簡單混合云,例如使用Docker和Azure?;蛘呤荌aaS和幾個 集成到內(nèi)部部署和云應(yīng)用環(huán)境中的軟件即服務(wù)。

多云部署中的數(shù)據(jù)分類和聯(lián)網(wǎng)

在處理多個云提供商時,企業(yè)會考慮到一些安全問題。第一個是數(shù)據(jù)分類,它真正適用于哪種云部署,而不是多云部署。確保你的企業(yè)已經(jīng)有了政策和治理方法,以跟蹤你正在使用的云環(huán)境中允許運行哪些數(shù)據(jù)。這在多云架構(gòu)中變得更加重要,因為不同的云提供商之間暴露或共享數(shù)據(jù),也將有不同的安全策略和功能,如果未仔細(xì)地映射供應(yīng)商之間的共享數(shù)據(jù),則可能會影響你的合規(guī)狀態(tài)。

第二個重點是網(wǎng)絡(luò)和應(yīng)用互連。大多數(shù)多云部署嚴(yán)重依賴網(wǎng)絡(luò)連接,這些網(wǎng)絡(luò)連接一般是對應(yīng)用組件使用TLS; 對完全連接的網(wǎng)絡(luò)子網(wǎng)則使用IPsec。確保攜帶敏感信息的所有連接都使用了適當(dāng)?shù)念愋秃图墑e的保護(hù)進(jìn)行加密。

多云安全的進(jìn)一步思考

理想情況下,多云環(huán)境的所有認(rèn)證和授權(quán)將利用共享形式的訪問管理。這應(yīng)該適用于最終用戶訪問,以及管理訪問和控制。共享訪問和身份管理的完成,一般是通過使用內(nèi)部的單點登錄,同時,也越來越多地通過身份即服務(wù)提供商,這些提供商通過聯(lián)邦標(biāo)準(zhǔn)與多個云提供商集成。

所有用戶、組和角色都應(yīng)該認(rèn)真地定義訪問多云部署的權(quán)限,而且這個中央身份和訪問平臺,無論是內(nèi)部還是云商,都應(yīng)該集中審核、控制。

安全事件管理是在多云部署計劃占相當(dāng)大的部分,因為云端日志記錄將只涵蓋該供應(yīng)商環(huán)境的事件。理想情況下,所有日志應(yīng)發(fā)送回到內(nèi)部安全信息和事件管理或分析系統(tǒng),或基于云的事件管理平臺上,如Splunk Cloud、Loggly或Sumo Logic。

遷移到多個云提供商環(huán)境時,要考慮到正在使用的第三方安全供應(yīng)商的產(chǎn)品,因為目前不是所有的云安全產(chǎn)品都支持所有的云提供商。 例如,發(fā)現(xiàn)某些安全供應(yīng)商設(shè)備在Amazon Web Service(AWS)Marketplace中有,但不在Azure Marketplace中有,反之亦然。如果你對單一供應(yīng)商進(jìn)行重大投資,那么當(dāng)你移動到多云時,這可能會限制新云環(huán)境中可用的安全控制。

特別要注意那些提供加密管理,和對系統(tǒng)及應(yīng)用配置、性能可見的工具,因為這些工具無法被替代,而且成本也常常是雙倍的。

使用多云部署的一個真正的安全優(yōu)勢是,可以找到最適合企業(yè)運行環(huán)境的云提供商的安全控制,并加以利用。例如,Microsoft Azure可能會提供比其他提供商更好的本機(jī)Windows系統(tǒng)和應(yīng)用程序控件,但是Amazon提供了可配置的分布式拒絕服務(wù)預(yù)防服務(wù)(AWS Shield),可以作為更好的前端防線,因為DNS和路由可能在AWS內(nèi)部就是現(xiàn)成的。為了利用這一優(yōu)勢,在評估云提供商時,安全控制將成為首要考慮因素,不幸的是并不總是這樣。

盡管面臨著安全挑戰(zhàn),企業(yè)還將繼續(xù)遷移到多云部署中,因為不同的云提供商提供了不同的靈活性和成本節(jié)約。隨著企業(yè)的發(fā)展,企業(yè)需要牢記多云架構(gòu)的潛在風(fēng)險以及保護(hù)這種環(huán)境的最佳做法。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號