安全性是任何云計算環(huán)境的重要組成部分,尤其是網(wǎng)絡(luò)犯罪分子試圖利用快速擴展的攻擊面時。并且需要像受保護的云計算基礎(chǔ)設(shè)施一樣靈活和動態(tài)。而且,使用傳統(tǒng)安全解決方案保護云計算環(huán)境同樣是不可能的,因為很難使用傳統(tǒng)網(wǎng)絡(luò)組件和傳統(tǒng)應(yīng)用程序開發(fā)策略構(gòu)建云計算環(huán)境。
有效的安全性不僅需要保護數(shù)據(jù)和用戶之間的連接,而且還需要在整個分布式基礎(chǔ)設(shè)施中保護每個物理或虛擬設(shè)備的每個連接,甚至那些經(jīng)常在多云安裝之間移動的設(shè)備。
在這樣的環(huán)境中,使用不同的安全解決方案會產(chǎn)生復雜性,因為部署僅在單個云平臺上可用的安全解決方案可能在其他云平臺上不可用,并且可能具有功能限制。這種部署實際上限制了云計算的真正潛力。很多的組織未能從整體上解決這一安全挑戰(zhàn),對于挑戰(zhàn)的范圍和規(guī)模往往不堪重負。
四個基本的云安全概念
為了應(yīng)對這些挑戰(zhàn),組織需要將以下四個安全概念納入其云開發(fā)策略:
(1)以安全為主導的云開發(fā)
安全漏洞往往是網(wǎng)絡(luò)犯罪分子對組織進行網(wǎng)絡(luò)攻擊的一個最薄弱環(huán)節(jié)。對于許多組織而言,云計算的采用已經(jīng)成倍地擴展了他們的攻擊面。消除這些薄弱環(huán)節(jié)要求在所有地方始終如一地執(zhí)行安全性,即使基礎(chǔ)設(shè)施處于不斷變化的狀態(tài)。
由于基礎(chǔ)設(shè)施正在迅速擴展和變化,因此總體安全計劃必須成為任何網(wǎng)絡(luò)變更的基本要求。在任何新資源啟動之前,要求使用適當?shù)陌踩ぞ摺⒉呗?、過程,可以使安全性與基礎(chǔ)設(shè)施和應(yīng)用程序更改同步。這需要選擇能夠理解其所在基礎(chǔ)設(shè)施的安全工具,并且還可以在所有環(huán)境(包括多云)中一致地運行,以實施策略并確保實現(xiàn)從數(shù)據(jù)中心到云端的安全應(yīng)用程序和連接的可見性。即使是適應(yīng)性和執(zhí)法方面的微小變化也會導致網(wǎng)絡(luò)犯罪分子能夠利用的安全漏洞。
(2)云原生安全性
由于數(shù)據(jù)和工作流需要在企業(yè)數(shù)據(jù)中心基礎(chǔ)設(shè)施和云中移動,因此安全性需要始終如一地運行。從保護組織物理資產(chǎn)的同一供應(yīng)商處選擇云計算防火墻不一定能解決該問題。這些解決方案需要與云服務(wù)無縫交互,并訂閱這些服務(wù),并以與識別其他資源相同的邏輯方式識別基于云計算的資源。也就是說,用于保護網(wǎng)絡(luò)的基礎(chǔ)技術(shù)與用于保護基于云計算的資源的技術(shù)截然不同,但管理安全性的實踐需要相似。這就是將內(nèi)部部署的安全性集成到云計算基礎(chǔ)設(shè)施至關(guān)重要的原因。
使這個問題更加復雜的是,云計算環(huán)境的運行方式也非常不同,而且組織最終可能會使用一組不同的技術(shù),在不同的云環(huán)境中使用不同的安全控制。這會給協(xié)調(diào)和執(zhí)行安全帶來額外的挑戰(zhàn)。除了云原生集成之外,安全工具還需要能夠動態(tài)地轉(zhuǎn)換策略,以便在不同環(huán)境中一致地實施策略。這就要求選擇一家供應(yīng)商,其解決方案應(yīng)盡可能本地集成到盡可能多的云平臺中,以確保從數(shù)據(jù)中心到云端的一致安全性和連接性,無論云計算基礎(chǔ)設(shè)施如何。
(3)多種形式因素
一致的安全實施取決于在盡可能多的平臺上以及多種不同形式因素中部署相同的安全解決方案。例如,應(yīng)用程序應(yīng)該能夠調(diào)用基于云計算的安全解決方案來識別和保護特定的數(shù)據(jù)和事務(wù)?;谌萜鞯膽?yīng)用程序應(yīng)該可以訪問容器化的安全工具,以便輕松地將安全功能集成到應(yīng)用程序鏈中。在理想情況下,這些工具的運行方式應(yīng)與在分布式基礎(chǔ)設(shè)施中部署的解決方案完全相同,包括分支機構(gòu)和邊緣設(shè)備。
但是,不要陷入這樣的陷阱:認為網(wǎng)絡(luò)防火墻的虛擬版本將足以滿足組織的云計算或容器部署。如前所述,如果組織希望在實施方面保持一致性,并結(jié)合解決單個生態(tài)系統(tǒng)的獨特挑戰(zhàn)的能力,解決方案的每一個形式要素都需要在其所在的環(huán)境中進行本地集成。
(4)集中管理
網(wǎng)絡(luò)管理員最大的抱怨之一是他們無法通過單一控制臺查看和管理整個網(wǎng)絡(luò),該控制臺可擴展物理和虛擬網(wǎng)絡(luò)的可見性。例如一種管理解決方案可以在網(wǎng)絡(luò)的一個區(qū)域中查看和關(guān)閉攻擊,但不能在另一個區(qū)域中查看,可能會導致基礎(chǔ)設(shè)施受損。為了消除安全執(zhí)行方面的差距,組織需要單一控制平臺來獲得可見性,并在整個基礎(chǔ)設(shè)施中定義一致的安全策略,以有效地管理風險。安全解決方案需要共享和關(guān)聯(lián)威脅情報,接收和實施集中協(xié)調(diào)的策略和配置更改,并協(xié)調(diào)所有資源以響應(yīng)檢測到的威脅。
重新考慮安全
將設(shè)備放置在網(wǎng)絡(luò)網(wǎng)關(guān)以監(jiān)控可預測流量和設(shè)備的傳統(tǒng)安全模型已經(jīng)過時。如今,安全需要跨越分布式基礎(chǔ)設(shè)施,在應(yīng)用程序資源增長時動態(tài)擴展,并在基礎(chǔ)設(shè)施不斷適應(yīng)不斷變化的需求時自動調(diào)整。同樣重要的是,它還需要確保一致的功能和策略實施,無論其外形或部署位置如何。實現(xiàn)這一目標可能需要組織重新考慮當前的安全基礎(chǔ)設(shè)施。
如果云計算將在組織的未來業(yè)務(wù)發(fā)展中發(fā)揮重要作用,最好找到一個支持其整體應(yīng)用程序生命周期和基礎(chǔ)設(shè)施路線圖和擴展計劃的供應(yīng)商,尤其是跨多個提供一致保護和功能的解決方案公共云和私有云,即使這意味著替換組織在本地部署的傳統(tǒng)安全硬件。
通過利用廣泛保護工具集的本機集成功能,這些工具集都可以實現(xiàn)自動化和集中管理,這是實現(xiàn)統(tǒng)一策略實施、協(xié)作威脅共享、集中管理和協(xié)調(diào)以及單一視圖所必需的安全基礎(chǔ)。分布式基礎(chǔ)設(shè)施為組織提供了在任何云計算基礎(chǔ)設(shè)施上部署任何應(yīng)用程序的信心。如果沒有一個廣泛的、集成的、自動化的安全框架來擴展和適應(yīng)整個網(wǎng)絡(luò),那么業(yè)務(wù)發(fā)展將是盲目的,而當今的更具攻擊性的網(wǎng)絡(luò)犯罪分子能夠利用這個弱點。
京公網(wǎng)安備 11010502049343號