在數(shù)分鐘內(nèi)輕松部署和擴展數(shù)據(jù)豐富的應(yīng)用程序。Mesosphere DC / OS包括在生產(chǎn)中彈性運行容器化應(yīng)用程序和數(shù)據(jù)服務(wù)所需的一切。
AWS公司在云計算市場長期處于領(lǐng)先地位。但是如今,越來越多的公司正在采用其他云計算供應(yīng)商。通常這不是用一個廠商云平臺替換另一個云平臺,而是不同的業(yè)務(wù)需求(如管理風(fēng)險和成本)適合不同的云供應(yīng)商的問題。使用多個供應(yīng)商云平臺的其他因素是,供應(yīng)商競相為其產(chǎn)品定性,并不斷添加新功能。此外,許多運行微軟Azure的組織都提供了免費的Azure信用額度。那么為什么不充分利用并降低總體云計算成本呢?
運行多云環(huán)境沒有任何問題,而實際上這可能是企業(yè)精心策劃的一部分。但是當(dāng)企業(yè)這樣做時,需要確保其采取適當(dāng)?shù)陌踩胧?。在這里將介紹當(dāng)企業(yè)進入多云環(huán)境時應(yīng)該關(guān)注的五個原則。首先,來看看全球市場上的主要的廠商。
公共云市場的三大主角
在全球公共云平臺世界中有三大主角:亞馬遜網(wǎng)絡(luò)服務(wù)(AWS),微軟Azure,谷歌云平臺。 AWS是成立最早的公共云平臺,并且占有最大的市場份額,在全球云計算市場占據(jù)57%的份額,微軟Azure擁有34%的份額,而谷歌云平臺擁有15%的市場份額。
一篇名為“公共云戰(zhàn)爭:AWS vs Azure vs Google”提供了一個很好的分析,在幾方面對這些主要因素進行比較:
•計算能力
•存儲和數(shù)據(jù)庫
•聯(lián)網(wǎng)
•定價
如果企業(yè)想要確定在每個服務(wù)中運行的環(huán)境和資源,那么本文將給出一個明確的條目。
現(xiàn)在,來討論如何確保企業(yè)的多云環(huán)境。
如何在多云環(huán)境中運行安全
(1)避免ShadowOps
如果組織同意使用不同的供應(yīng)商的服務(wù),運行多個云環(huán)境,那么這一切都很好。如果這樣做的好處超過成本,那么一定要利用競爭優(yōu)勢來降低成本,并獲得所需的功能。也就是說,很多組織關(guān)閉了幾個獨立的AWS賬戶,或者采用一些分散在AWS,Azure和Google的不同實例。當(dāng)DevOps團隊成員決定對其特定用例進行最佳選擇時,可能會發(fā)生這種情況,而無需考慮哪個最適合整個組織。
正如人們對ShadowOps所解釋的不是糟糕的DevOps那樣,這樣做可以使組織安全性更低。有趣的是,到2020年,三分之一的企業(yè)經(jīng)歷的成功攻擊將是影響IT資源。因此,無論組織決定堅持使用一個云提供商提供服務(wù)還是分散的基礎(chǔ)架構(gòu),確保所有人參與,并了解為什么這是組織的最佳方法的原因。這將減少ShadowOps發(fā)生的數(shù)量,反過來又會提高組織的整體安全性。
(2)確定可見性的優(yōu)先級
無論組織選擇什么云平臺,都需要確保所有實例都具有完整的可見性。這意味著當(dāng)組織選擇云安全解決方案時,應(yīng)優(yōu)先選擇提供深度可見性的優(yōu)先級,在理想情況下是在工作負(fù)載層。
在云中,基于簽名的監(jiān)控措施是不夠的。組織應(yīng)該專注于通過基于行為的監(jiān)控來提高可見性。換句話說,組織想要一個解決方案,能夠放大觀察在所有實例的行為,并快速檢測異常行為。
組織的安全解決方案應(yīng)該能夠:
•識別不受信任的系統(tǒng)修改
•通過對用戶和進程的行為監(jiān)控來捕捉威脅
•立即檢測異常用戶,進程和文件活動
如果組織在云實例中具有完整的可見性,則無論其使用的是AWS,微軟Aure,谷歌云,還是這三者的混合,這都是無關(guān)緊要的。組織仍然可以安全地行。
(3)遵循最佳實踐
每個平臺都有自己的一套最佳實踐。所以如果組織要在多個平臺上運行實例,需要確保自己了解每個實例的最佳實踐。AWS提供了平臺上最佳實踐的指南,微軟Azure列表也有一系列深入討論各種云安全主題的文章,谷歌云平臺共享其最佳實踐列表。當(dāng)然,還有很多的重疊,并且是一些一般規(guī)則應(yīng)用,例如:
•隨時知道組織的環(huán)境正在發(fā)生什么。
•設(shè)置警報(按嚴(yán)重性排列),通知組織有關(guān)策略外的行為。
•滿足并超越合規(guī)要求。
•保持良好的狀態(tài):保持一切更新和修補。
云計算供應(yīng)商自己共享的最佳實踐是一個很好的開始,因為他們比任何人都更了解他們的技術(shù),他們有責(zé)任教育和支持他們的客戶。除此之外,還有一些專家已經(jīng)廣泛地撰寫了有關(guān)云安全最佳實踐的內(nèi)容。
(4)專注于自動化
人類很容易出錯。專家在2017年的Gartner安全與風(fēng)險管理峰會上指出,到2020年,95%的云計算安全失敗將成為客戶的錯誤。在安全方面,人為錯誤可能會引起各種風(fēng)險。依靠機器自動執(zhí)行常規(guī)的可重復(fù)任務(wù)是確保不損害安全狀態(tài)的好方法,尤其是在多個云供應(yīng)商上運行多個實例的時候。
建議組織利用自動化來設(shè)計安全。要做到這一點,組織應(yīng)該關(guān)注:
•更新云計算的治理規(guī)則
•了解共同的責(zé)任模式
•采取持續(xù)的風(fēng)險治理方法
在云平臺中運行,組織的DevOps團隊能夠發(fā)展得更快。它能夠持續(xù)集成和持續(xù)的開發(fā)周期,可以讓組織在競爭中脫穎而出。但它也可能引入風(fēng)險,因此組織希望確保利用自動化來確保所有安全最佳實踐得到有效管理,同時使錯誤最小化。
(5)堅持共同責(zé)任模式
最后,確保組織了解共享的責(zé)任模式。專家在2017年Gartner安全和風(fēng)險管理峰會上指出,79%的企業(yè)在過去5年中經(jīng)歷了實際轉(zhuǎn)化為重大運營風(fēng)險。最重要的是,當(dāng)組織利用公共云(無論是AWS,谷歌云平臺,微軟Azure還是這三個云平臺的任何組合)時,都可以保護云平臺中的所有內(nèi)容。組織可以依靠AWS,Google和Microsoft這三家廠商提供服務(wù)來保護云本身,但組織必須確保其應(yīng)用程序,數(shù)據(jù)和其他系統(tǒng)在云平臺中得到完全保護。如果有人在沒有權(quán)限的情況下登錄,并采取措施使組織面臨風(fēng)險,組織需要確保其了解自己的責(zé)任在哪里開始和結(jié)束,并堅持到底。
總結(jié)
如今,越來越多的組織能夠利用云平臺上的競爭市場,這是一個非常好的現(xiàn)象。雖然AWS已經(jīng)取得了明顯的領(lǐng)先優(yōu)勢,但了解哪種公共云適合組織實現(xiàn)其目標(biāo),這值得組織努力探索。
只要組織將安全最佳做法放在首位,并采取措施確保云計算環(huán)境的可見性,企業(yè)將可以安全地利用公共云的優(yōu)勢,而不會因任何潛在的缺陷而受到影響。
京公網(wǎng)安備 11010502049343號